比如CVE-2010-2266是一个Nginx的拒绝服务漏洞。
就软件安全本身来看,Nginx和Apache最大的区别在于,检查Apache安全时更多的要关注Module的安全,而Nginx则需要注意软件本身的安全,及时升级软件版本。
与Apache一样,Nginx也应该以单独的身份运行,这是所有Web Server、容器软件应该共同遵守的原则。
Nginx的配置非常灵活,在对抗DDOS和CC攻击方面也能起到一定的缓解作用,比如下面的一些配置信息:
worker_processes 1;
worker_rlimit_nofile 80000;
events{
worker_connections 50000;
}
server_tokens off;
log_format IP `$remote_addr`;
reset_timeout_connection on;
listen xx.xx.xx.xx:80 default rcvbuf=8912 sndbuf=16384 backlog=32000 accept_filter=httpready;
在Nginx配置中还可以做一些简单的条件判断,比如客户端User_Agent具有什么特征,或者来自某个特定referer、IP等条件,响应动作可以是返回错误号,或进行重定向。