## 二、服务器安全
1. 【<font color=red>强制</font>】开发、测试、联调等非生产环境服务器,应禁止开放外网IP。
2. 【<font color=red>强制</font>】生产环境服务器仅允许对外网开放80、443等Web服务端口,禁止对外网开放SSH登录、Windows远程连接、数据库、rsync、FTP等端口。非标端口应由安全组确认必要时方可开放。
3. 【<font color=red>强制</font>】数据库及大数据计算类软件禁止开放外网访问权限,应由白名单控制内部访问源,仅限有权限的内部环境访问。数据库类软件,必须设置强口令。
> **说明**:部分数据库(尤其是NoSQL数据库)默认安装情况下,存在默认口令为空的问题,可能造成未授权访问等安全风险。
>
> **数据库及大数据计算类软件包括但不限于**:
> a) 关系型数据库,如:MySQL、MariaDB、PostgreSQL、Oracle、SQL Server等。
> b) NoSQL,如:Redis、Memcached、MongoDB、HBase、CouchDB、Neo4J等。
> c) NewSQL,如:TiDB等。
> d) 大数据计算类软件,如:Hadoop、Spark等。
4. 【<font color=red>强制</font>】禁止使用root权限运行任何应用,应使用最低权限运行。
5. 【<font color=red>强制</font>】除软件镜像等可公开资源外,Web容器的目录浏览功能均应关闭。
6. 【<font color=red>强制</font>】对外网开放的服务器中,不应存在数据库管理程序(如:adminer、phpMyAdmin)、服务器监控类程序(如:nagios、zabbix、cacti)、phpinfo程序。
7. 【<font color=red>强制</font>】Tomcat默认文件应当删除,包括管理后台、示例代码、文档等。
> **说明**:Tomcat管理后台可被用于部署war包,攻击者通过部署特定war包,可以入侵服务器。Tomcat示例代码中,包括多个漏洞,存在Session操纵等风险。
8. 【<font color=red>强制</font>】服务器部署后,禁止留存SVN/Git相关文件、备份文件/压缩包等,防止源代码泄露。
9. 【推荐】仅有内网IP的服务器,如无必要需求,应禁用主动外连,即该服务器不能访问外网。
- 说明
- Python编程规范
- Python风格规范
- Python语言规范
- Java编程规范
- 一、命名约定
- 二、常量定义
- 三、格式约定
- 四、OOP约定
- 五、集合处理
- 六、并发控制
- 七、控制语句
- 八、注释约定
- 九、异常日志
- 十、日志约定
- Android开发规范
- 前端开发规范
- HTML
- JavaScript
- CSS
- MySQL约定
- 一、基本规范
- 二、库表设计规范
- 三、字段设计规范
- 四、索引规范
- 五、SQL设计规范
- 六、业务字段命名规范
- 开发安全约定
- 一、代码安全
- 二、移动开发安全
- 三、服务器安全
- 四、安全意识
- 版本管理
- Git使用规范
- 技术实践及可视化
- 一、Code Review
- 二、单元测试
- 三、自动化测试
- 四、技术债
- 五、CI
- IOS开发规范