shylocker110 发表于 2014-12-30 02:43:52

nginx中每个servers有必要都要配置吗?

看到vhost.sh新添加域名的servers中带有和默认nginx的servers中相同的location这个有必要吗?另外不是说nginx0.8版之后默认的是default_server参数吗?现在lnmp1.1中默认的是default参数,有必要改成default_server吗?


默认的nginx中已经有了类似下面的这个代码,新添加域名的servers中还有必要再写一次吗?
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
}


另外nginx空字节临时补丁是加在默认的servers中还是每个域名的servers中都要加啊?
# nginx url bug
if ($request_uri ~ " ") { return 444; }

licess 发表于 2014-12-30 09:26:43

改不改都行,目前来说都是兼容的

没听说过最近又这个空字节的漏洞

shylocker110 发表于 2014-12-30 16:59:24

回复 2# 的帖子

Nginx 的安全限制可能会被某些请求给忽略,(CVE-2013-4547).
在nginx1.4.4以下均存在此漏洞。
if ($request_uri ~ " ") { return 444; }这个到底是放在nginx默认severs中,还是每个域名的severs中都要放啊?
还有下面这些
                if ($request_uri ~* "[+|(%20)]union[+|(%20)]") { return 444; }
                if ($request_uri ~* "[+|(%20)]and[+|(%20)]") { return 444; }
                if ($request_uri ~* "[+|(%20)]select[+|(%20)]") { return 444; }

licess 发表于 2014-12-30 19:10:02

你可以按漏洞利用方法自己测试一下看看
这种语句必须要加到server段里

shylocker110 发表于 2014-12-30 22:37:10

回复 4# 的帖子

-_-!。。那是加到添加的域名里面还是加到nginx默认的里面啊?

licess 发表于 2014-12-31 09:57:37

哪个要用,哪个server就加
页: [1]
查看完整版本: nginx中每个servers有必要都要配置吗?