如圖所示運行加固腳本，腳本會自動檢測Linux發(fā)行版本，顯示選項框后輸入相應(yīng)的數(shù)字進行選擇相應(yīng)選項進行加固或備份恢復(fù)操作 

注：首次執(zhí)行時進行備份將系統(tǒng)配置保存于腳本所在目錄下的backup目錄下，以便后續(xù)需要恢復(fù)配置時使用；再次運行腳本時，將不會再進行備份，需要將原備份目錄刪除后重新執(zhí)行，當(dāng)OS type檢測為unknown時，請謹(jǐn)慎使用該腳本

1.ALL：選擇1后順序執(zhí)行2-7安全加固，執(zhí)行完加固后，按9退出。

2.Set Password Complexity Requirements：設(shè)置密碼復(fù)雜度，選擇2后自動進行密碼復(fù)雜度設(shè)置（默認(rèn)口令長度不少于12位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類字符)，如需自定義密碼復(fù)雜度，請參考《優(yōu)秀實踐》的1.1.1節(jié)步驟手動進行配置。

3.Set Remote Login Configuration(SSH)：設(shè)置遠(yuǎn)程登陸，選擇3后腳本會自動配置SSH協(xié)議版本為2，然后需要用戶輸入y或n“是否禁止root登錄”、“允許登錄的用戶”等配置項，禁止root登錄前，請確保已經(jīng)有至少一個普通用戶可用于遠(yuǎn)程登錄；執(zhí)行此加固項后需重啟SSH服務(wù)。

4.Set Shell History and TMOUT：進行history&TMOUT配置，選擇4后腳本會根據(jù)優(yōu)秀實踐自動配置HISTSIZE和HISTTIMEFORMAT，然后根據(jù)用戶輸入超時時長配置會話超時時間。

5.Set Key Login(SSH)：使用密鑰對登陸，選擇5后腳本會根據(jù)優(yōu)秀實踐建議自動配置SSH配置文件，然后根據(jù)用戶輸入注入相應(yīng)的公鑰；注：加固前，請務(wù)必主備好可用的公私鑰對，詳細(xì)生成方法見《優(yōu)秀實踐》的1.1.4節(jié)；執(zhí)行此加固項后需重啟SSH服務(wù)。

6.Set SSH Por：設(shè)置SSH端口，選擇6后腳本會根據(jù)用戶輸入配置相應(yīng)的端口，當(dāng)用戶輸入的端口已被占用時，腳本會給出提示，要求用戶重新選擇，執(zhí)行此加固項后需重啟SSH服務(wù)。

7.Set Su User：設(shè)置用戶su權(quán)限，選擇7后腳本會根據(jù)用戶輸入配置相應(yīng)的用戶擁有su權(quán)限，執(zhí)行此加固項前請確保相應(yīng)的用戶已經(jīng)創(chuàng)建成功。

8.Recover Configuration：恢復(fù)配置，選擇8后腳本會自動恢復(fù)備份時的配置，備份配置恢復(fù)后可能需要SSH服務(wù)，請按照提示手動進行重啟。

9.Exit：退出，執(zhí)行完加固或恢復(fù)后，按9退出腳本。

如圖所示運行加固腳本，顯示選項框后輸入相應(yīng)的數(shù)字進行選擇相應(yīng)選項進行加固或備份恢復(fù)操作

注：腳本在首次執(zhí)行時會將系統(tǒng)配置保存于C:\policy.cfg，以便后續(xù)需要恢復(fù)配置時使用，再次運行腳本時，將不會再進行備份，需要原備份文件被刪除后重新執(zhí)行

1. All the operation：選擇1后順序執(zhí)行2-7安全加固項，執(zhí)行完加固后，按Enter退出。

2. Set password Complexity：設(shè)置密碼復(fù)雜度，選擇2會根據(jù)優(yōu)秀實踐自動進行密碼復(fù)雜度設(shè)置，如需自定義復(fù)雜度請參考《優(yōu)秀實踐》1.2.1節(jié)步驟手動進行配置。

3. Set password history check：口令歷史記錄校驗配置，選擇3腳本會根據(jù)實踐文檔建議自動進行配置，如需自定義配置請參考《優(yōu)秀實踐》1.2.4節(jié)步驟手動進行配置。

4. Set password lock conf：口令鎖定配置，選擇4腳本會根據(jù)實踐文檔建議自動進行配置；如需自定義配置請參考《優(yōu)秀實踐》1.2.3節(jié)步驟手動進行配置。

5. Set default account：系統(tǒng)默認(rèn)賬戶配置，選擇5腳本會根據(jù)實踐文檔建議自動進行配置，以及根據(jù)用戶輸入重命名管理員賬戶，詳見《優(yōu)秀實踐》1.2.2節(jié)，注：腳本執(zhí)行后，請務(wù)必記住管理員賬戶名，否則將無法登錄系統(tǒng)。

6. Set disconnect timeout：會話超時配置，選擇6腳本會根據(jù)實踐文檔建議自動進行配置；如需自定義配置請參考《優(yōu)秀實踐》1.2.6節(jié)步驟手動進行配置。

7. Hide the last login account：最后登錄賬號配置，選擇7腳本會根據(jù)實踐文檔建議自動進行配置；如需自定義配置請參考《優(yōu)秀實踐》1.2.5節(jié)步驟手動進行配置。

8. Exit：退出，執(zhí)行完加固或恢復(fù)后，按8退出腳本。

9. Recover the Configuration：恢復(fù)配置，選擇9進行配置恢復(fù)；恢復(fù)執(zhí)行后需重啟系統(tǒng)使配置生效

根據(jù)《優(yōu)秀實踐》建議，使用安全組控制高危管理端口訪問，遵從“最小化”及“默認(rèn)失敗”安全原則，保證僅有業(yè)務(wù)需要的、可信的源可以訪問，減小攻擊面

此外，用戶也可以使用iptables(Linux系統(tǒng))，Windows防火墻進行配置，可以達(dá)到安全組同樣的效果，兩者選其一即可，具體配置方法請參考《優(yōu)秀實踐》的第2章節(jié)