隨著企業資訊化應用系統因應市場需求增加，24小時持續營運的伺服器主機也隨之增加，由於透過提供連網便利性提供服務，應用系統必需提供適當的資訊安全措施保護，於是企業建置各式防火牆解決方案之外，作業系統本身的安全強化設定，是整體安全強化措施中最基本的關鍵。
因應Red Hat Enterprise Linux(以下簡稱RHEL)作業系統的設定項目眾多，國際組織也推出相對應的設定準則，以供系統維運人員參考的指引及設定。國家資通安全研究院也推出TWGCB規範，參考部分OpenSCAP的規範項目，作為政府組態基準。其中提供各規範項目的中文說明與設定步驟，預期提供企業參照設定。
本研究探討TWGCB for RHEL8規範，在台灣金融企業的實務應用情境下，可能因應用場景特殊適配性需要進行參數的調整，或是在設定後可能造成的邊際影響進行進一步的說明。援用Red Hat官方技術資料庫的文件，以提供規範影響的說明及設定細節，提供給系統維運人員在滿足資訊安全合規性的要求下，能更了解相關背景資訊，以確保應用服務穩定運作，提高系統的執行效率，達到更好的服務滿意度。

As enterprise application systems continue to increase in response to market demand, the number of application servers that run continuously 24 hours a day also increases. Since services are provided through the provision of network facilities, the application system must provide corresponding information security mechanisms. Therefore, in addition to various firewall solutions built by enterprises, the security hardening settings of the operating system itself are the most basic key to overall security enhancement.
For the many settings of the Red Hat Enterprise Linux (RHEL) operating system, international organizations have also launched corresponding setting guides to provide guidance and setting reference for system configuration. The National Institute of Cyber Security has also launched the TWGCB specification, which incorporates some OpenSCAP specifications as government configuration. Each setting item provides Chinese instructions and setting steps to provide reference for enterprise settings.
This study explores TWGCB for the RHEL8 specification. In the actual application scenario of Taiwan's financial enterprises, due to the special adaptability of the application scenario, it may adjust the parameters, or further explain the possible marginal impact after setting, and reference from Red Hat's official technical database to provide instructions. The impact of specifications and setting details allows system maintenance engineer to better understand relevant background information, while meeting information security compliance requirements and ensuring the stability of application services.

目錄
中文提要	ii
英文提要	iii
目錄	iv
圖目錄	ix
表目錄	x
第一章	緒論	1
1.1	研究背景	1
1.2	研究目的	2
1.3	研究方法與進行步驟	3
第二章	技術背景與相關研究	5
2.1	合規即程式碼(COMPLIANCEASCODE)	5
2.2	項目分析方法及範例	5
2.3	金融業界系統安全性合規設定經驗	6
第三章	TWGCB FOR RHEL 8分析	10
3.1	磁碟與檔案系統分析 (001 - 031)	11
3.1.1	限制未使用的檔案系統驅動程式載入 (001-003)	11
3.1.2	掛載目錄權限及相關設定整理 (004 - 028)	11
3.1.3	限制具有全域寫入權限的目錄需設定STICKY BIT (029)	12
3.1.4	停用AUTOFS 自動掛載服務 (030)	13
3.1.5	停用 USB 儲存裝置驅動程式 (031)	13
3.2	系統設計與維護分析 (032 - 091)	14
3.2.1	GPG簽章驗證 (032)	14
3.2.2	SUDO分析 (033 - 035)	14
3.2.3	AIDE分析 (036 - 037)	16
3.2.4	開機載入程式檔案原則分析 (038 - 039)	18
3.2.5	開機載入程式密碼設定分析 (040)	20
3.2.6	單一使用者身份驗證 (041)	21
3.2.7	PROCESS CORE DUMP限制 (042)：	21
3.2.8	啟用記憶體位址空間配置隨機化功能 (043)	24
3.2.9	設定全系統加密原則分析 (044)	24
3.2.10	關鍵帳號/群組檔案的所有權與權限設定 (045 - 060)	27
3.2.11	檔案與目錄權限檢查 (061 - 065)	28
3.2.12	系統命令檔案分析 (066 - 068)	29
3.2.13	程式庫檔案分析 (069 - 071)	29
3.2.14	帳號認證安全與系統身份驗證設定 (072, 075-077, 086, 091)	30
3.2.15	ROOT帳號路徑變數分析 (073 - 074)	31
3.2.16	使用者家目錄分析 (079 - 085)	32
3.2.17	帳號唯一性分析 (078, 087 - 090)	33
3.3	系統服務分析 (092 - 101)	34
3.4	安裝與維護軟體分析 (102 - 107)	36
3.5	網路設定分析 (108 - 131)	36
3.6	日誌與稽核分析 (132 - 182)	38
3.6.1	AUDIT 稽核系統啟用與設置 (132 - 136, 146, 147, 173)	38
3.6.2	稽核日誌與設定檔保護 (137 - 145)	40
3.6.3	關鍵事件與操作監控稽核 (148 - 172)	42
3.6.4	系統日誌管理 (174 - 182)	43
3.7	SELINUX分析 (185 - 191)	44
3.7.1	核心功能啟用 (185, 186)	45
3.7.2	安全政策設定 (187, 188)	45
3.7.3	潛在風險管理 (189)	45
3.7.4	減少不必要的套件 (190, 191)	45
3.8	CRON設定分析 (192 - 207)	45
3.8.1	CRON功能啟用 (192)	45
3.8.2	CRON日誌記錄 (207)	46
3.8.3	CRON 相關設定檔與目錄的擁有權與權限設定 (193 - 204)	46
3.8.4	ALLOW, DENY使用權限控管 (205, 206)	47
3.9	帳號存取與控制分析 (208 - 243)	47
3.9.1	可設定密碼次數 (208) 與 強制ROOT密碼須符合密碼規則 (209)	49
3.9.2	密碼最小長度 (210)	52
3.9.3	密碼複雜度與組成規則 (211 - 219)	53
3.9.4	密碼政策與有效期限設定 (225, 226, 227, 228, 222, 224)	54
3.9.5	登入與帳戶鎖定機制	56
3.9.6	使用者帳號與權限管理(230, 231, 232, 237, 240, 243)	58
3.9.7	GNOME環境控制 (234, 235, 236, 239)	60
3.9.8	使用者環境與介面控制 (233, 238)	61
3.9.9	使用者預設新建檔案或目錄權限設定UMASK (241, 242)	62
3.10	FIREWALLD防火牆組態基準原則分析 (244 - 248)	63
3.10.1	設定項目與狀態	63
3.10.2	規則檢查指令	63
3.11	SSH伺服器組態基準原則分析 (262 - 292)	64
3.11.1	啟用SSHD守護程序 (262)	64
3.11.2	設定 SSH 協定版本 (263)	65
3.11.3	強化 SSHD_CONFIG 設定檔安全性 (264 - 265)	65
3.11.4	限制 SSH 存取權限 (266)	65
3.11.5	保護主機金鑰檔案 (267 - 270)	67
3.11.6	加密演算法設定 (271)	69
3.11.7	日誌記錄等級 (272)	71
3.11.8	停用 X11 FORWARDING (273)	72
3.11.9	限制登入與驗證行為 (274 - 279)	72
3.11.10	控制 SSH 連線與逾時行為 (280, 281, 284, 285)	78
3.11.11	其他強化安全的參數 (282, 283, ...)	82
3.11.12	移除高風險驗證檔案 (290, 291)	89
3.11.13	覆寫全系統加密原則 (292)	90
第四章	結論與未來展望	91
4.1	結論	91
4.2	未來展望	94
參考文獻列表	96

圖目錄
圖 1 - 研究步驟示意圖	3
圖 2 - PERMITUSERENVIRONMENT與PATTERN-LIST參數設定關係圖	77
圖 3 - USEPAM設定關連示意圖	83

表目錄
表 1 - 掛載目錄權限整理列表	11
表 2 - AIDE比對的快照資料庫與日誌位置表	18
表 3 - GRUB設定檔預設權限列表	19
表 4 - 全系統加密原則（CRYPTO POLICIES）比較表	25
表 5 - 關鍵帳號/群組檔案的所有權與權限表	27
表 6 - 系統服務功能列表	35
表 7 - 系統預設值與TWGCB安全建議不一致項目列表	36
表 8 - 日誌與設定檔權限列表	40
表 9 - AUDIT RULES的規則整理表	42
表 10 - CRON 相關設定檔與目錄的擁有權與權限整理表	46
表 11 - CRON ALLOW, DENY 使用權限設定表	47
表 12 - SYSTEM-AUTH與PASSWORD-AUTH適用情境比較表	50
表 13 - 密碼複雜度與組成參數設定建議表	53
表 14 - 密碼複雜度與組成參數設定建議表	54
表 15 - FIREWALLD設定項目與狀態表	63
表 16 - TWGCB設定值與本研究建議值比較表	91
表 17 - SSH連線限制條件表	92

1.	World Economic Forum, Earning Digital Trust: Decision-Making for Trustworthy Technologies (Nov. 15, 2022). [www3.weforum.org/docs/WEF_Earning_Digital_ Trust_2022 .pdf ]
2.	行政院國家資通安全會報技術服務中心，政府零信任網路說明，2022. [download. nics.nat.gov.tw/UploadFile/zerotrustnetworks/政府零信任網路說明_V1.9_ 1110712.pdf]
3.	數位部鎖定4大技術驗證打造數位信任生態系 (2024/4/13 09:32) [www.cna.com.tw /news/afe/202404130020.aspx]
4.	OpenSCAP security policies(2024)。www.open-scap.org/security-policies/ choosing-policy/
5.	伍有智(2014)。安全內容自動化協定在 Fedora 系統 上之實作及 GUI 設計。國立高雄師範大學資訊教育研究所碩士學位論文 
6.	陳靖宏(2014)。Android 裝置上基於SCAP的安全系統設計與實現。國立高雄師範大學資訊教育研究所碩士學位在職進修專班碩士學位論文。
7.	國家資通安全研究院(2023)。TWGCB-01-008_Red Hat Enterprise Linux 8政府組態基準說明文件1.2版。www.nics.nat.gov.tw/core_business/cybersecurity_defense  /GCB/GCB_Documentation/。
8.	劉爰君(2021)。政府組態基準(GCB)應用探討-校園電腦組態為例。義守大學資訊工程學系碩士學位論文。
9.	楊士岳(2023)。導入雲端運算的策略與合規性-以台灣金融業為例。國立台灣科技大學資訊管理系EMBA碩士在職專班碩士學位論文。
10.	陳明鴻(2023)。基於Google Apps Script和LINE Chatbot設計Linux維運客服機器人。天主教輔仁大學資訊工程研究所碩士學位論文。
11.	ComplianceAsCode。complianceascode.readthedocs.io/en/latest/index.html
12.	Red Hat(2024)。Create a /tmp partition that uses filesystem type of tmpfs in kickstart access.redhat.com/solutions/4598541
13.	Red Hat(2024)。How to add mount options for /tmp in systemd unit file? access.redhat.com/solutions/1340503
14.	Red Hat(2024)。How to disable USB storage devices on Red Hat Enterprise Linux? access.redhat.com/solutions/18978
15.	Red Hat(2024)。How to define a new AIDE database.。access.redhat.com/solutions /6389661
16.	Red Hat(2024)。How to exclude directory from AIDE integrity check ?。access.redhat.com /solutions/6980145
17.	Red Ha(2024)。How to determine if the system is booted in BIOS or UEFI mode。access.redhat.com/solutions/3781221
18.	Red Hat(2025)。How to password-protect the GRUB2 boot menu in RHEL 7 and above。access.redhat.com/solutions/2253401
19.	Red Hat(2024)。How to enable coredumps for daemon process (services) in RHEL。access.redhat.com/solutions/649193
20.	Red Hat(2025)。How do I use systemd-coredump to collect crashing application core files?。access.redhat.com/solutions/2139111
21.	Red Hat(2025)。Strong crypto defaults in RHEL 8 and deprecation of weak crypto algorithms。access.redhat.com/articles/3642912
22.	Red Hat(2024)。Default permission for /etc/shadow and /etc/gshadow。access.redhat.com /solutions/2048573
23.	Red Hat(2012)。How can I configure auto-login for FTP in Red Hat Enterprise Linux? access.redhat.com/articles/16466
24.	Red Hat(2025)。rsh and rsh-server packages missing in RHEL 8。access.redhat.com /solutions/4933451
25.	Red Hat(2024)。Configure rsync as a daemon。access.redhat.com/solutions/4130981
26.	Red Hat(2024)。What is the avahi-daemon service and can it be disabled? access.redhat.com/solutions/25463
27.	Red Hat(2024)。How do I configure SNMP v3 on Red Hat Enterprise Linux? access.redhat.com/solutions/17815
28.	Red Hat(2025)。The rsh and rsh-server packages are missing in RHEL 8/9。access.redhat.com/solutions/4933451
29.	Red Hat(2024)。How much memory does auditd backlog require? access.redhat.com /solutions/4347341
30.	Red Hat(2024)。Audit daemon log file is larger than max size。access.redhat.com /solutions/3549241
31.	Red Hat(2024)。How to configure permissions of log files created by rsyslog。access.redhat.com/solutions/39827
32.	Red Hat(2024)。Set Password Policy & Complexity for RHEL 8 & 9 via pam_pwhistory, pam_pwquality & pam_faillock。access.redhat.com/solutions/5027331
33.	Red Hat(2024)。Set Password Complexity/Policy with pam_pwquality in Red Hat Enterprise Linux 8, 9。access.redhat.com/solutions/6979714
34.	Red Hat(2024)。Set Password Policy with pam_pwhistory in Red Hat Enterprise Linux。access.redhat.com/solutions/6980935
35.	Red Hat(2024)。Which configuration file has precedence over password length parameter 'PASS_MIN_LEN' ? access.redhat.com/solutions/656833
36.	Red Hat(2025)。How to prevent sudoers users not to run restricted sudo commands after switching to root。access.redhat.com/solutions/7032849
37.	Red Hat(2024)。How to restrict the maximum simultaneous ssh logins from a specific user on Red Hat Enterprise Linux。access.redhat.com/solutions/59562
38.	Red Hat(2023)。How to disable ssh1 and force sshd to accept protocol 2 connections (ssh2)。access.redhat.com/articles/2632
39.	Red Hat(2024)。How do the sshd_config AllowGroups and AllowUsers directives work together? access.redhat.com/solutions/20981
40.	Red Hat(2024)。Why is using AllowUsers(user@domain) of sshd_config not working on RHEL8? access.redhat.com/solutions/6990209
41.	Red Hat(2024)。Ciphers, MACs or KeX algorithms differ from "sshd -T" to what is provided by current crypto policy level。access.redhat.com/solutions/6711911
42.	Red Hat(2024)。What does PermitRootLogin forced-commands-only mean and how to use it?。access.redhat.com/solutions/406353
43.	Red Hat(2024)。Is the setting "UsePAM no" in OpenSSH daemon supported on Red Hat Enterprise Linux 7?。access.redhat.com/solutions/3498451
44.	Red Hat(2024)。The default value for the "ChallengeResponseAuthentication" in "/etc/ssh/sshd_config" file。access.redhat.com/solutions/336773
45.	Red Hat(2024)。How to configure ssh hostbased authentication using shosts.equiv file ?。access.redhat.com/solutions/788143