安全基线

这是一份“默认推荐”的安全清单，适用于 PanBox 系列的自托管部署。

网络与暴露面

• 尽量不要直接把应用端口暴露到公网；优先通过 Nginx/Caddy 反代统一入口。
• 反代层启用 HTTPS（Let's Encrypt）并添加访问控制（Basic Auth / OAuth / IP 白名单）。
• 只对外开放必要端口（80/443）。

密码与凭据

• 生产环境务必修改默认密码（数据库、后台账号、盐值等）。
• 不要把 .env、Cookie/Token、私钥提交到仓库。
• 建议使用密码管理器与定期轮换。

容器与权限

• 避免使用特权容器（--privileged）或挂载 docker.sock。
• 如必须使用高权限能力，请做到“专机专用、网络隔离、最小可用范围”。

备份与恢复

• 定期备份数据目录（数据库卷、上传目录、配置文件）。
• 做一次“恢复演练”，确保备份是可用的。

日志与审计

• 开启访问日志与应用日志，保留必要的审计线索。
• 遇到异常流量、频繁登录失败等情况及时封禁或收紧访问。