如圖所示運(yùn)行加固腳本，腳本會(huì)自動(dòng)檢測(cè)Linux發(fā)行版本，顯示選項(xiàng)框后輸入相應(yīng)的數(shù)字進(jìn)行選擇相應(yīng)選項(xiàng)進(jìn)行加固或備份恢復(fù)操作 

注：首次執(zhí)行時(shí)進(jìn)行備份將系統(tǒng)配置保存于腳本所在目錄下的backup目錄下，以便后續(xù)需要恢復(fù)配置時(shí)使用；再次運(yùn)行腳本時(shí)，將不會(huì)再進(jìn)行備份，需要將原備份目錄刪除后重新執(zhí)行，當(dāng)OS type檢測(cè)為unknown時(shí)，請(qǐng)謹(jǐn)慎使用該腳本

1.ALL：選擇1后順序執(zhí)行2-7安全加固，執(zhí)行完加固后，按9退出。

2.Set Password Complexity Requirements：設(shè)置密碼復(fù)雜度，選擇2后自動(dòng)進(jìn)行密碼復(fù)雜度設(shè)置（默認(rèn)口令長(zhǎng)度不少于12位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類字符)，如需自定義密碼復(fù)雜度，請(qǐng)參考《優(yōu)秀實(shí)踐》的1.1.1節(jié)步驟手動(dòng)進(jìn)行配置。

3.Set Remote Login Configuration(SSH)：設(shè)置遠(yuǎn)程登陸，選擇3后腳本會(huì)自動(dòng)配置SSH協(xié)議版本為2，然后需要用戶輸入y或n“是否禁止root登錄”、“允許登錄的用戶”等配置項(xiàng)，禁止root登錄前，請(qǐng)確保已經(jīng)有至少一個(gè)普通用戶可用于遠(yuǎn)程登錄；執(zhí)行此加固項(xiàng)后需重啟SSH服務(wù)。

4.Set Shell History and TMOUT：進(jìn)行history&TMOUT配置，選擇4后腳本會(huì)根據(jù)優(yōu)秀實(shí)踐自動(dòng)配置HISTSIZE和HISTTIMEFORMAT，然后根據(jù)用戶輸入超時(shí)時(shí)長(zhǎng)配置會(huì)話超時(shí)時(shí)間。

5.Set Key Login(SSH)：使用密鑰對(duì)登陸，選擇5后腳本會(huì)根據(jù)優(yōu)秀實(shí)踐建議自動(dòng)配置SSH配置文件，然后根據(jù)用戶輸入注入相應(yīng)的公鑰；注：加固前，請(qǐng)務(wù)必主備好可用的公私鑰對(duì)，詳細(xì)生成方法見《優(yōu)秀實(shí)踐》的1.1.4節(jié)；執(zhí)行此加固項(xiàng)后需重啟SSH服務(wù)。

6.Set SSH Por：設(shè)置SSH端口，選擇6后腳本會(huì)根據(jù)用戶輸入配置相應(yīng)的端口，當(dāng)用戶輸入的端口已被占用時(shí)，腳本會(huì)給出提示，要求用戶重新選擇，執(zhí)行此加固項(xiàng)后需重啟SSH服務(wù)。

7.Set Su User：設(shè)置用戶su權(quán)限，選擇7后腳本會(huì)根據(jù)用戶輸入配置相應(yīng)的用戶擁有su權(quán)限，執(zhí)行此加固項(xiàng)前請(qǐng)確保相應(yīng)的用戶已經(jīng)創(chuàng)建成功。

8.Recover Configuration：恢復(fù)配置，選擇8后腳本會(huì)自動(dòng)恢復(fù)備份時(shí)的配置，備份配置恢復(fù)后可能需要SSH服務(wù)，請(qǐng)按照提示手動(dòng)進(jìn)行重啟。

9.Exit：退出，執(zhí)行完加固或恢復(fù)后，按9退出腳本。

如圖所示運(yùn)行加固腳本，顯示選項(xiàng)框后輸入相應(yīng)的數(shù)字進(jìn)行選擇相應(yīng)選項(xiàng)進(jìn)行加固或備份恢復(fù)操作

注：腳本在首次執(zhí)行時(shí)會(huì)將系統(tǒng)配置保存于C:\policy.cfg，以便后續(xù)需要恢復(fù)配置時(shí)使用，再次運(yùn)行腳本時(shí)，將不會(huì)再進(jìn)行備份，需要原備份文件被刪除后重新執(zhí)行

1. All the operation：選擇1后順序執(zhí)行2-7安全加固項(xiàng)，執(zhí)行完加固后，按Enter退出。

2. Set password Complexity：設(shè)置密碼復(fù)雜度，選擇2會(huì)根據(jù)優(yōu)秀實(shí)踐自動(dòng)進(jìn)行密碼復(fù)雜度設(shè)置，如需自定義復(fù)雜度請(qǐng)參考《優(yōu)秀實(shí)踐》1.2.1節(jié)步驟手動(dòng)進(jìn)行配置。

3. Set password history check：口令歷史記錄校驗(yàn)配置，選擇3腳本會(huì)根據(jù)實(shí)踐文檔建議自動(dòng)進(jìn)行配置，如需自定義配置請(qǐng)參考《優(yōu)秀實(shí)踐》1.2.4節(jié)步驟手動(dòng)進(jìn)行配置。

4. Set password lock conf：口令鎖定配置，選擇4腳本會(huì)根據(jù)實(shí)踐文檔建議自動(dòng)進(jìn)行配置；如需自定義配置請(qǐng)參考《優(yōu)秀實(shí)踐》1.2.3節(jié)步驟手動(dòng)進(jìn)行配置。

5. Set default account：系統(tǒng)默認(rèn)賬戶配置，選擇5腳本會(huì)根據(jù)實(shí)踐文檔建議自動(dòng)進(jìn)行配置，以及根據(jù)用戶輸入重命名管理員賬戶，詳見《優(yōu)秀實(shí)踐》1.2.2節(jié)，注：腳本執(zhí)行后，請(qǐng)務(wù)必記住管理員賬戶名，否則將無法登錄系統(tǒng)。

6. Set disconnect timeout：會(huì)話超時(shí)配置，選擇6腳本會(huì)根據(jù)實(shí)踐文檔建議自動(dòng)進(jìn)行配置；如需自定義配置請(qǐng)參考《優(yōu)秀實(shí)踐》1.2.6節(jié)步驟手動(dòng)進(jìn)行配置。

7. Hide the last login account：最后登錄賬號(hào)配置，選擇7腳本會(huì)根據(jù)實(shí)踐文檔建議自動(dòng)進(jìn)行配置；如需自定義配置請(qǐng)參考《優(yōu)秀實(shí)踐》1.2.5節(jié)步驟手動(dòng)進(jìn)行配置。

8. Exit：退出，執(zhí)行完加固或恢復(fù)后，按8退出腳本。

9. Recover the Configuration：恢復(fù)配置，選擇9進(jìn)行配置恢復(fù)；恢復(fù)執(zhí)行后需重啟系統(tǒng)使配置生效

根據(jù)《優(yōu)秀實(shí)踐》建議，使用安全組控制高危管理端口訪問，遵從“最小化”及“默認(rèn)失敗”安全原則，保證僅有業(yè)務(wù)需要的、可信的源可以訪問，減小攻擊面

此外，用戶也可以使用iptables(Linux系統(tǒng))，Windows防火墻進(jìn)行配置，可以達(dá)到安全組同樣的效果，兩者選其一即可，具體配置方法請(qǐng)參考《優(yōu)秀實(shí)踐》的第2章節(jié)