2018年9月22日 星期六

[Security] 弱點掃描修正 - SMB Signing Disabled

SMB Signing Disabled

弱點名稱:已停用 SMB 簽署 (SMB Signing Disabled)

弱點描述:遠端 SMB 伺服器不需要簽署。
未經驗證的遠端攻擊者可惡意利用此弱點,對 SMB 伺服器發動攔截式攻擊。
Signing is not required on the remote SMB server.
An unauthenticated, remote attacker can exploit this to conduct man-in-the-middle attacks against the SMB server.

描述:
這項原則設定決定 SMB 伺服器元件是否需要封包簽章.
伺服器訊息區(SMB) 通訊協定是 Microsoft 檔案及列印共用和許多其他網路作業 (例如遠端 Windows 系統管理) 的基礎.
為避免攔截式攻擊修改傳送中的 SMB 封包,SMB 通訊協定支援 SMB 封包的數位簽章.
這項原則設定決定允許和 SMB 用戶端進行進一步的通訊之前,
SMB 封包簽章是否必須經過交涉若啟用此設定,
Microsoft 網路伺服器將不會與 Microsoft 網路用戶端通訊, 除非該用戶端同意執行 SMB 封包簽章.
若停用此設定, 會在用戶端與伺服器之間交涉 SMB 封包簽章.
修補建議:
在主機的組態中強制訊息簽署。在 Windows 中,
此項目位於原則設定「Microsoft 網路伺服器:數位簽署通訊 (永遠)」中。
在 Samba 中,此設定稱為「伺服器簽署」。如需詳細資訊,請參閱「另請參閱」連結。
修正步驟:
1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項]
3. 在右邊窗點擊 "Microsoft 網路伺服器:數位簽章伺服器的通訊(自動)".
4. 選擇 "啟用", 點擊 "確定" (GCB 設定值為 啟用)
CCE: CCE-9040-7
Nessus Plugin ID: 57608
轉自撲哧大大 : https://www.pu.idv.tw/2018/04/smb-signing-disabled.html

[Security] 弱點掃描修正 - Network Time Protocol (NTP) Mode 6 Scanner

Network Time Protocol (NTP) Mode 6 Scanner

修改NTP配置文件
#vi /etc/ntp.conf
添加以下內容(建議使用此方式):
restrict default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited
或在提供NTP查詢的網段加入noquery參數:
restrict 1.1.2.1 mask 255.255.255.0 nomodify notrap noquery
建議方法中兩條配置為高版本NTP中的默認配置,noquery參數限制了mode 6 query,可根據NTP服務端實際配置參考修改。
noquery:Deny ntpq and ntpdc queries. Time service is not affected.
notrap:Decline to provide mode 6 control message trap service to matching hosts.
nomodify:Deny ntpq and ntpdc queries which attempt to modify the state of the server.

參考文檔:http ://doc.ntp.org/current-stable/accopt.html
http://support.ntp.org/bin/view/Support/AccessRestrictions






作者:Shad0wpf
链接:https://www.jianshu.com/p/0106ff85df0b
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

[Security] 弱點掃描修正 - SSL Weak Cipher Suites Supported

SSL Weak Cipher Suites Supported

修改SSL配置文件中的的SSL Cipher參數
不同Web服務軟件的配置文件位置及參數名稱不同,需根據實際情況查找。
具體安全算法配置可參考此網站:https://cipherli.st/
如Apache修改以下內容:

驗證方法:
nmap -p 443 --script "ssl-enum-ciphers" xx.xx.xx.xx








作者:Shad0wpf
链接:https://www.jianshu.com/p/0106ff85df0b
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

[Security] 弱點掃描修正 - SSH Weak Algorithms Supported

SSH Weak Algorithms Supported

SSH的配置文件中加密算法沒有指定,默認支持所有加密算法,包括arcfour,arcfour128,arcfour256等弱加密算法。
整改測試參考:SSH&SSL弱加密算法漏洞修復.
修改SSH配置文件,添加加密算法:
vi /etc/ssh/sshd_config
最後面添加以下內容(去掉arcfour,arcfour128,arcfour256等弱加密算法):
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
ssh_config和sshd_config都是ssh服務器的配置文件,二者區別在於,前者是針對客戶端的配置文件,後者則是針對服務端的配置文件。
保存文件後重啟SSH服務:
service sshd restart or service ssh restart
驗證:
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc
ssh -vv -oMACs=hmac-md5
參考信息:http://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/
使用Nmap驗證:
nmap --script "ssh2*" 45.76.186.62


SSH Weak MAC Algorithms Enabled

與上述漏洞修復使用同樣的方式,sshd_config文件添加以下行:

MACs hmac-sha1,umac-64,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160





作者:Shad0wpf
链接:https://www.jianshu.com/p/0106ff85df0b
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

[Security] 弱點掃描修正 - SMB Password Encryption Not Required

SMB Password Encryption Not Required

Linux:修改smb配置文件
#vi /etc/samba/smb.conf
添加以下內容:
encrypt passwords = yes

Samba配置參考:https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html






作者:Shad0wpf
链接:https://www.jianshu.com/p/0106ff85df0b
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

[Security] 弱點掃描修正 - SMB Signing Disabled

SMB Signing Disabled

Linux:修改smb配置文件
#vi /etc/samba/smb.conf
添加以下內容:
server signing = mandatory
https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

Windows:編輯註冊表
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
修改RequireSecuritySignature值為1








作者:Shad0wpf
链接:https://www.jianshu.com/p/0106ff85df0b
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

2018年9月17日 星期一

[科技新知] iOS12 功能介紹

為什麼一個版更可以讓老設備起死回生呢?
究竟iOS12 做了哪些變化!!!請看下面的介紹

更穩定、流暢的使用體驗
在今年稍早時候的 WWDC 大會上,蘋果就表示,設備升級到 iOS 12 後,相機啓動速度將提升 70%,鍵盤彈出速度提升 50%,app 啓動速度最多能提升到 40%。在今年六月初的 WWDC 大會後,作者幾乎第一時間就更新到了 iOS 12,不得不說,這看似沒什麼變化的「變化」,往往給使用者帶來的影響是最大的。除此之外,iOS 12 還能根據設備的處理器性能進行自動調節,在運算量大的時候,會適當提升處理器性能;運算量需求低的時候,處理器性能自動降低。簡單來說,就是讓手機更省電,更穩定。不過軟體的優化是無法彌補硬體的不足,如果你的手機升級了 iOS 12 仍然耗電,不妨檢查一下電池是否過老了吧。
早該來了:簡訊驗證碼自動填寫還多功能,在 iOS 上往往要比 Android 要來得晚一些,比如說簡訊驗證碼自動填寫就是。無論如何,它總歸是來了。在 iOS 12 中,當你在註冊時收到一條驗證碼時,點擊鍵盤上方自動識別的數字就可以一鍵輸入,十分方便。
通知中心大變臉
在 iPhone 中查看通知,一直是埋在 iOS 使用者心中一顆隱隱作痛的刺——要不是一口氣看完,不然就任它堆積。在 iOS 12 中,蘋果終於把單純按照時間順序來排列新消息通知的規則進行優化。現在,通知中心具有了對對新消息進行分組的功能,同一 app 的通知會被匯總在一起,不再單條顯示佔據顯示面積,通知中心將更加的「輕量」。可以看到,由統一個應用推送來的多條新消息會以卡片堆疊的形式展示在你的頁面,輕點即可展開查看消息詳情。此外,你還可以對應用設置「隱式推送」,被設置應用的新消息推送將只會在通知欄上出現,雖然會忽視消息角標,但不會出現在鎖螢上,也不會顯示橫幅或播放聲音。

Shortcuts,高度自定義你的 Siri

還記得去年蘋果收購 Workflow 的消息嗎?Workflow 是 iOS 上一款強大的自動化工具,不需要具有開發基礎,通過簡單的移動和組合,就可以為你的 iPhone、iPad 和 Apple Watch 創造一個高度定制化的工作流。在 iOS 12 中,蘋果為 Siri 加入了 Shortcuts 功能,AppSo 認為這可以看作是將 Workflow 整合到了 Siri 中。什麼是 Shortcuts 呢?簡單來說,就是你現在可以用 Siri 來喚起你的 Workflow 了。這麼說可能還是有些模糊,舉個例子:你經常需要開車回家,但對路線又不是熟悉。那麼你可以在 Siri Shortcuts 中提前設置一個關鍵語,例如說「我要回家了」。
接著,你需要在 Siri Shortcuts 設定在你說出這個關鍵詞後想要得到的反饋,比如說:
  • 自動規劃從當前位置到家的路線
  • 在車上放一些你喜歡的音樂
  • 家中的空調開始工作
只需一次事前設定,之後,你只需要在離開辦公室時對 Siri 說一句「我要回家了」,這一切就將自動發生。類似的還有「我的鑰匙丟了」、「早安」……你完全可以根據自己的生活習慣來設置一個屬於你自己的 Workflow,可以說是效率的一次飛躍。同時,Siri 還會學習你的行為習慣。舉個例子,你每天早上起床總是喜歡通過 app 點一杯咖啡,那麼在連續這麼做幾天之後,你很有可能驚喜地發現,當你起床後拿起手機時,Siri 會問你是否要來一杯美式咖啡?而你需要做的只是輕輕一點——甚至不用打開那個 app——一切都已經為你設置好了。

螢幕時間:用手機監督你「少玩手機」

螢幕時間功能將統計你每周使用手機的情況,包括查看 app 的使用頻率、時長。包括 iPhone 究竟螢幕喚醒了多久,你在在哪些 app 上停留的時間最長,甚至螢幕喚醒次數、通知查看次數都能查得到。除此之外,你還可以為特定的 app 設置使用時間限制,超過時間訪問的話,就會收到 Time Limit 的提示。
Animoji & Memoji
去年,蘋果給我們帶來了 Animoji。在今年的 iOS 12 中,不僅大家都愛的 Animoji 又升級了一次,新增了幽靈、考拉、老虎、霸王龍貼紙,還增加了舌頭跟蹤,簡單來說就是你的 Animoji 會吐舌頭賣萌了!除此之外,你還可以定制屬於你的個性化的新表情 Memoji。選擇膚色,選擇髮型,選擇瞳孔顏色,各式各樣的眼鏡……
Facetime:支持多人視訊
FaceTime 增加了群組視訊功能, 最多支持 32 個人同時進行視訊。你可以在 iMessage 中創建一個群聊,並直接在群聊當中發起多人視訊。上文提到的 Animoji 和 Memoji 也可以直接應用在 FaceTime 中,讓視訊聊天更加有趣。
更智慧的相簿,輕鬆重溫每段回憶
在 iOS 12 的「相簿」app 中,蘋果為廣大 iPhone 使用者設計了一個全新的界面。同時優化了照片的搜索功能,你可以通過搜索圖片的主題、地點等來搜索圖片。它還可以為你的照片提供智慧的建議,並且支持把不同類型的照片分類。比如說在同一天同一個地點拍攝的照片自動歸為一類,並生成「回憶」,點擊進入當天的回憶就會自動生成一段配有音樂的小影片,幫助你回憶起那日的點點滴滴。可能是一場無肉不歡的聚會,也可能是一次說走就走的旅行。
Measure:AR 加持,簡單使用
在 iOS 12 中,蘋果做了一把 AR 尺,就是 Measure 這個 app。你可以通過它使用手機測量真實物體長度和高度,並且識別出矩形,計算面積。比如說我要測量這個顯示螢,只需拿鏡頭對準被測物,點擊「+」就可以標記。移動鏡頭,將線拉到另一個點上,就可以測出兩點之間的距離,點擊白色的快門鈕,就可以記錄截圖。
節錄至 INSIDE科技網 :https://www.inside.com.tw/2018/09/17/ios-12-ready-to-go

搶先體驗 iPhone iOS12 的快速

要怎麼升級到 iOS 12?

首先,先在 iOS 裝置上的 Safari 中打開「https://beta.thuthuatios.com/en/」,並選擇 iOS Beta Profile 的「Download」,記得要選 iOS 12 版本的,不要安裝錯了。
搶先體驗 iOS 12 無需開發者帳號也可以升級 1
這邊會要求你打開設定來安裝描述檔,這邊點選「允許」。
如果你有 Apple Watch 或 Apple TV 的裝置,別忘了在安裝目的地選擇「iPhone」。
接下來我們就會正式開始安裝描述檔了,這邊要記得一件事,如果安裝 iOS 11 Beta 的描述檔,記得先將它刪除,否則將無法安裝 iOS 12 的描述檔。這邊點選「安裝」並輸入密碼。
接下來在條款許可的部分選擇「安裝」,這邊會要求你將 iPhone 重新啟動,請選擇「重新啟動」。
重新啟動後,再回到軟體更新的地方就可以看到 iOS 12 Developer Beta 的更新了,只要點下「下載並安裝」即可升級至 iOS 12 。
此方法是先安裝Beta版的描述檔再進行更新,但因為這版的型號已經為GM版本
故直接更新完就會變成iOS12,雖然再過幾天就開放更新了,但為了避免當天伺服器塞車所以可以先偷吃步用這種方法優先體驗iOS12的魅力
話說老K有先把手邊的備用機iPhone 5 & iPhone 6這兩支手機更新至iOS12體驗
只能說謝謝Apple又讓這兩隻塵封已久的老機器重生,iOS12優化的比iOS11還好
值得大家更新,但在更新前記得先使用iTunes完整備份唷,以防萬一

轉錄至蘋果仁 : https://applealmond.com/posts/33256


搶先升級成 macOS 10.14 Mojave

要怎麼升級到 macOS 10.14  Mojave?

首先,先在 Mac 上的 Safari 中打開「https://beta.thuthuatios.com/en/」,並選擇 macOS Beta Profile 的「Download」,記得要選 macOS 10.14 版本的,不要選成 macOS 10.13.6 的。
macOS 10.14 Beta 搶先升級 免開發者帳號升級教學 1
下載完成後,我們接著安裝 macOS 10.14 Beta 的描述檔,點擊「macOSDeveloperBetaAccessUtility.pkg」的檔案來開始安裝。
接下來就開始正式安裝 macOS 10.14 Beta 的描述檔了,這邊的流程都選擇「繼續」。
軟體許可協議的部份則選擇「同意」,否則將無法安裝 macOS 10.14 的描述檔。
同意之後繼續安裝 macOS 10.14 的 Beta 描述檔,這邊選擇「安裝」即可。
安裝完成後,Macx App Store 會自動啟動並轉至 macOS 10.14 Beta 的下載頁面,這邊點一下「下載」來下載 macOS 10.14 Beta 的系統。
macOS 10.14 Beta 搶先升級 免開發者帳號升級教學 8
下載完成後,將會執行 macOS 10.14 Beta 系統的安裝程序,這邊點一下「Continue」即可開始安裝 macOS 10.14 Mojave Beta 到我們的 Mac 上。
macOS 10.14 Beta 搶先升級 免開發者帳號升級教學 9
全部跑完後會先出現的版本為macOS 10.14 Beta,這時你在更新一次macOS
等安裝完後就會變成Mojave的正式版本了,再把描述檔移除!
為什麼要這麼搞剛呢,因為發布當天伺服器一定會爆炸,所以可以先行升級其實也很
不錯啊,加上使用深色模式後工作上眼睛看了也比較舒服

節錄至 蘋果仁 : https://applealmond.com/posts/33273

2018年9月4日 星期二

[Cisco] CCNA考試必背-實用指令

因為老K最近剛上完CCNA在準備要考試
但是其實在公司很少用到Cisco的設備只能用"GNS3" & "PacketTracer"
來練習指令,這邊也蠻推薦大家使用這兩套模擬器來做練習

下面是查到比較常用到的指令


使用者模式(User Mode)
 Hostname>ping 192.168.168.168    測試網路指令
 Hostname>traceroute 192.168.168.168    利用TTL(Time To Live,TTL)追蹤封包連線所經過路線
 Hostname#en   進入特權模式(Privileged Mode)
 Hostname#sh history   檢視在路由器上輸入的前十個命令
 Hostname#sh terminal    確認終端機歷史緩衝區的長度 (History is enabled, history size is 10.)
 Hostname#terminal history size 25    改變歷史緩衝區之大小 (History is enabled, history size is 25.)
 Hostname #copy running-config stratup-config    將運行組態(DRAM),儲存至啟動組態(NVRAM)
 Hostname #erase stratup-config    刪除啟動組態,*注意:此動作請勿執行*
 Hostname#clear counters s0/0/0   清除介面上的計數器
 Hostname#copy flash tftp     IOS 備份到 TFTP 伺服器
 Hostname#debug ip rip    顯示路由器上傳送和接收到的RIP 更新
Hostname(config)#configure terminal    整體設定模式(Configuration Global Mode)
Hostname(config)#setup    執行 Continue with configuration dialog? [yes/no]: (對話框模式)
Hostname(config)#reload  重新載入startup-config(啟動組態)
Hostname(config)#banner motd *    標題訊息(* 為結束字元,不可為?字元);取消指令:no banner login
Hostname(config)#no ip domain-lookup    停用名稱解析服務,避免耗時的DNS查詢
Hostname(config)#hostname NAME    變更設備名稱為 NAME
Hostname(config)#service password-encryption    手動為密碼加密,解除前面請加上No
Hostname(config)#enable secret *****    特權模式加密式密碼設定
Hostname(config)#config-register 0x2101    改變組態暫存器,於 rommon 1 >confreg 0x2142rommon 2 >reset
Hostname(config)#ip host NAME X.X.X.X    建構名稱解析主機表,一台主機最多八個IP
Hostname(config)#ip classless    設定為無級別,使用預設路由有切割子網路就定要設定
Hostname(config)#default-gateway X.X.X.X    設定預設閘道 For Switch
Hostname(config)#default-network X.X.X.X    設定預設閘道 For Route
Hostname(config)#ip route 目的 遮罩 閘道 [AD]    設定靜態路由(例:ip route 192.168.1.0 255.255.255.0 172.16.1.254 或離開介面 s0/0/0 ) AD0255(越低優先)
Hostname(config)#vtp mode server    設定 VTP 運行模式為 Server Client  Transparent
Hostname(config)#vtp domain NAME    設定 VTP 網域名稱
Hostname(config)#vtp password XXX    設定 VTP 密碼
Hostname(config)#spanning-tree vlan 1 priority 4096    變更交換器優先權的設定值為 4096 (最低優先/倍數增加)表示永遠為根橋接器
Hostname(config)#ip ospf cost ?    變更 OSPF 成本值
Hostname(config-line)#line vty 0 XX    主要命令(Line)設定Console(RS-232)  Vty(Telnet連線)
Hostname(config-line)#exec-timeout 0 0    設定逾時計時器,預設值:10分鐘,0 0 絕對不會逾時
Hostname(config-line)#logging synchronous    防止控制台螢幕干擾您輸入的命令
Hostname(config-line)#password *****    設定Line連線方式之密碼(明碼),需開啟提示認證 (config-line)#login
Hostname(config-if)#interface fastEthernet 0/0    介面模式(Interface Mode) 0/0
Hostname(config-if)#ip address X.X.X.X 255.255.255.0    設定介面的IP
Hostname(config-if)#description    針對介面加入註解描述,例:description *這是一個介面描述指令*
Hostname(config-if)#no shutdown    啟動介面 FastEthernet0/1 is administratively(管理性) down, line protocol is down (disabled)
Hostname(config-if)#clock rate 64000    為DCE端時才需要設定時脈
Hostname(config-if)#no cdp enable    關閉一個介面的CDP,全部關閉:no cdp run
Hostname(config-if)#int range fa0/1 - 10    一次設定範圍 fa0/1  fa0/10 Port
Hostname(config-if)#switchport mode access    告訴交換器這是第二層的 Port
Hostname(config-if)#switchport mode trunk    設定該 Port 為主幹介面            
Hostname(config-if)#switchport access vlan XX    指定某個 VLAN 給該介面的 Port
Hostname(config-if)#switchport trunk allowed vlan remove ?    丟棄 VLAN X 的傳送與接收資訊
Hostname(config-if)#mac-address-table static MAC vlan 1 int fa0/1    設定 MAC Address 給該 Port
Hostname(config-if)#switchport port-security maximum 1    表示該 Port 只能使用一個 MAC Address violation shutdown 違反則 Shutdown
Hostname(config-if)#bandwidth 256    變更線路頻寬(單位:K)
Hostname(config-if)#delay 300000    變更延遲時間         
Hostname(config-if)#ip ospf priority     設定 OSPF 優先權;預設為 1 越大越優先
Hostname(config-vlan)#vlan XX    建立一個 Vlan XX,指定名稱:name VLAN;開啟:no shutdown
Hostname(config-subif)#int fa0/0.1    建立子介面(Subinterface),該介面不能設有IP只能在子介面上設IP
Hostname(config-subif)#encapsulation dot1Q 1     讓子介面支援主幹通訊封裝(For Route 設定)
Hostname(config-router)#passive-interface s0/0/0    限制介面路由協定(RIPRIP V2EIGRPOSPF)不宣傳,採被動式
Hostname(config-router)#route rip    路由設定模式(Route Mode For RIP),選擇版本(config-router)#version 2,宣告網段:network X.X.X.0
Hostname(config-router)#route ospf (AS)    建立 OSPF 路由協定;宣告網段network 10.0.0.0 0.255.255.255 area 0AREA 0 為主幹
Hostname(config-router)#maximum-paths     變更路由數量,達到負載平衡
Hostname(config-router)#metric maximun-hop     變更中繼站(Hop)數量,最大 255 
Hostname(config-router)#no auto-summary    告訴 EIGRP 要宣告該路由器之間的所有子網路
Hostname(config)#do sh XXXXX    於非特權模式下執行 Show的功能(do show)
Hostname#sh version    檢視IOS版本資訊
 Hostname#sh hosts    檢視新建的主機名稱解析表
 Hostname#sh sessions    檢視路由器與遠端裝置正在進行的連線,可用 disconnect 終止連線
 Hostname#sh users    列出路由器上所有作用中的控制台與VTY的使用者,清除連線:clear line XXX
 Hostname#sh protocols    檢視每片介面之第一層與第二層狀態,以及所用IP位置
 Hostname#sh ip arp    檢視ARP快取
 Hostname#sh ip route    顯示整個路由表
 Hostname#sh ip route eigrp    只顯示路由表內 EIGRP 項目
 Hostname#sh ip route eigrp neighbors    顯示所有 EIGRP 鄰居
 Hostname#sh ip route eigrp topology    顯示 EIGRP 拓墣表
 Hostname#sh ip interface brief    提供路由器介面之第三層設定的資訊;brief (精簡化參數)
 Hostname#sh ip ospf     顯示 OSPF 運行資訊
 Hostname#sh ip protocols    顯示目前路由器所執行的協定資訊
 Hostname#sh mac-address-table    檢視 MAC 
 Hostname#sh controllers s0/0/0    顯示實體介面本身資訊,並查看路由介面是否有連接DCE纜線;(連線訊息:DCE V.35 clock rate 64000)
 Hostname#sh cdp neighbors   使用CDP(Cisco發現協定)收集鄰居資訊
 Hostname#sh cdp entry * version   可篩選只顯示 protocols 或 version
 Hostname#sh int trunk    檢視所有 VLAN 狀態(Status),預設為 trunking
 Hostname#sh vtp status   檢視 VTP 資訊
 Hostname#sh vlan    查詢 VLAN 狀態
 Hostname#sh running-config    檢視運行組態檔資訊
 Hostname#sh processes    查詢目前裝置使用效能
 Hostname#sh spanning-tree    顯示交換器優先權資訊
% Incomplete command.    非完整命令
% Invalid input detected at '^' marker.    標記為無效指令
% Ambiguous command:"XXX"    不清楚的指令