Apache、nginx、またはlighttpdのどちらがより安全なWebサーバーですか?
PHPアプリケーション用に選択するWebサーバーを決定しようとしています。
Apache、nginx、lighttpdのどれが最も安全ですか?これらのうち、最も深刻なセキュリティホールがあったのはどれですか。
最も経験のあるOSおよびWebサーバーは通常が最も安全です。
セキュリティは、Webサーバーだけでなく、すべてのレイヤーに依存します。脆弱性が非常に少ないものを選択しても、その構成方法がわからない場合は、安全に構成する方法がわからない可能性があります。
これらはすべて成熟したWebサーバーであるため、最もよく理解できるのは、最も安全に保護できるサーバーです。
私にとって、この質問への答えは「依存する」です。
まず第一に、それはあなたが安全で何を意味するかによると思います。ソフトウェアの欠陥がないことを探しているなら、 http://www.secunia.com や http://などのサイトから、問題の製品の脆弱性統計を見ることができます。 www.cvedetails.com 。
それらから、公に認められてパッチが適用されたセキュリティ問題の数を確認できます。これにより、製品のセキュリティは多かれ少なかれ安全であると言えます。
残念ながら、すべての製品が同じレベルの精査を受けるわけではないので、それは良い尺度ではないかもしれません。
考慮すべきもう1つのことは、セキュリティ機能です。必要な特定のセキュリティ機能(WAF統合など)がある場合、それがWebサーバーの選択を左右する可能性があります。
あなたの特定の質問に関して言えば、Apacheは最近かなり良いセキュリティの記録を持っていると思います(私がより最新のバージョンで見た脆弱性のほとんどはコアサーバーではなくモジュールにある傾向があります)。
その他については、公開された脆弱性がなければ安全であると主張できますが、それでも公に認められていない問題が残っている可能性があります。
最近の範囲ヘッダーの狂気にも関わらず、必要なものだけに絞れば、Apacheの良い例になると思います。 mod_securityはApacheにとっても素晴らしいプラスです。
また、実績だけでなく、今後どのようにうまくいくかを考えて決定する必要があります。その多くは、プロセスの成熟度、コードベースの状態などの関数です。Apacheは、一般的にはかなりうまく機能していると思いますが、先ほど言ったように、必要なものだけに減らします。
Apacheには多くの注目が集まっています。つまり、より多くのバグが報告されますが、製品に対してバグが報告されていないからといって、そこにバグがないというわけではないので、注意してください。攻撃の標的にされた私の意見では、可能な限り未知数をできるだけ少なくしたいと考えており、Apacheはおそらくその数に勝っています。
私にとっては、Apache、nginx、またはlighttpdには関係ありません。更新にとどまることが重要で、毎週または毎月モデレートおよび更新される更新されたプラグインとモジュールのみをインストールします。最も重要なことは、Webアプリケーションでミスをしないことです( python、Perl、php、mysql、rtmp ....)Apacheとそのモジュールにパッチが適用されているか更新されている場合、およびsqliまたはphpのバッファオーバーフローが発生すると役に立たなくなり、OSについては安全なWindowsサーバーを作成できます。脆弱なUNIXサーバーを作成できる
出典:私はエリートホワイトハッカーです
http://www.zone-h.org/archive/notifier=k3rnel31
http://www.zone-h.org/archive/notifier=k3rnel31_2