## 二、服務器安全 1. 【<font color=red>強制</font>】開發、測試、聯調等非生產環境服務器，應禁止開放外網IP。 2. 【<font color=red>強制</font>】生產環境服務器僅允許對外網開放80、443等Web服務端口，禁止對外網開放SSH登錄、Windows遠程連接、數據庫、rsync、FTP等端口。非標端口應由安全組確認必要時方可開放。 3. 【<font color=red>強制</font>】數據庫及大數據計算類軟件禁止開放外網訪問權限，應由白名單控制內部訪問源，僅限有權限的內部環境訪問。數據庫類軟件，必須設置強口令。 > **說明**：部分數據庫（尤其是NoSQL數據庫）默認安裝情況下，存在默認口令為空的問題，可能造成未授權訪問等安全風險。 > > **數據庫及大數據計算類軟件包括但不限于**： > a) 關系型數據庫，如：MySQL、MariaDB、PostgreSQL、Oracle、SQL Server等。 > b) NoSQL，如：Redis、Memcached、MongoDB、HBase、CouchDB、Neo4J等。 > c) NewSQL，如：TiDB等。 > d) 大數據計算類軟件，如：Hadoop、Spark等。 4. 【<font color=red>強制</font>】禁止使用root權限運行任何應用，應使用最低權限運行。 5. 【<font color=red>強制</font>】除軟件鏡像等可公開資源外，Web容器的目錄瀏覽功能均應關閉。 6. 【<font color=red>強制</font>】對外網開放的服務器中，不應存在數據庫管理程序（如：adminer、phpMyAdmin）、服務器監控類程序（如：nagios、zabbix、cacti）、phpinfo程序。 7. 【<font color=red>強制</font>】Tomcat默認文件應當刪除，包括管理后臺、示例代碼、文檔等。 > **說明**：Tomcat管理后臺可被用于部署war包，攻擊者通過部署特定war包，可以入侵服務器。Tomcat示例代碼中，包括多個漏洞，存在Session操縱等風險。 8. 【<font color=red>強制</font>】服務器部署后，禁止留存SVN/Git相關文件、備份文件/壓縮包等，防止源代碼泄露。 9. 【推薦】僅有內網IP的服務器，如無必要需求，應禁用主動外連，即該服務器不能訪問外網。