## 二、服务器安全 1. 【<font color=red>强制</font>】开发、测试、联调等非生产环境服务器，应禁止开放外网IP。 2. 【<font color=red>强制</font>】生产环境服务器仅允许对外网开放80、443等Web服务端口，禁止对外网开放SSH登录、Windows远程连接、数据库、rsync、FTP等端口。非标端口应由安全组确认必要时方可开放。 3. 【<font color=red>强制</font>】数据库及大数据计算类软件禁止开放外网访问权限，应由白名单控制内部访问源，仅限有权限的内部环境访问。数据库类软件，必须设置强口令。 > **说明**：部分数据库（尤其是NoSQL数据库）默认安装情况下，存在默认口令为空的问题，可能造成未授权访问等安全风险。 > > **数据库及大数据计算类软件包括但不限于**： > a) 关系型数据库，如：MySQL、MariaDB、PostgreSQL、Oracle、SQL Server等。 > b) NoSQL，如：Redis、Memcached、MongoDB、HBase、CouchDB、Neo4J等。 > c) NewSQL，如：TiDB等。 > d) 大数据计算类软件，如：Hadoop、Spark等。 4. 【<font color=red>强制</font>】禁止使用root权限运行任何应用，应使用最低权限运行。 5. 【<font color=red>强制</font>】除软件镜像等可公开资源外，Web容器的目录浏览功能均应关闭。 6. 【<font color=red>强制</font>】对外网开放的服务器中，不应存在数据库管理程序（如：adminer、phpMyAdmin）、服务器监控类程序（如：nagios、zabbix、cacti）、phpinfo程序。 7. 【<font color=red>强制</font>】Tomcat默认文件应当删除，包括管理后台、示例代码、文档等。 > **说明**：Tomcat管理后台可被用于部署war包，攻击者通过部署特定war包，可以入侵服务器。Tomcat示例代码中，包括多个漏洞，存在Session操纵等风险。 8. 【<font color=red>强制</font>】服务器部署后，禁止留存SVN/Git相关文件、备份文件/压缩包等，防止源代码泄露。 9. 【推荐】仅有内网IP的服务器，如无必要需求，应禁用主动外连，即该服务器不能访问外网。