nginx best practices

6. For administrators

@@ -78,4 +78,20 @@
     попытках входа, желательно их влючить.
     Проведите бенчмарк. https://www.cisecurity.org/benchmark/kubernetes/
     Даже если вы не используете Rancher, почитайте инструкцию по харденингу https://rancher.com/docs/rancher/v2.x/en/security/hardening-2.2/
-    и бенчмаркингу https://releases.rancher.com/documents/security/latest/Rancher_Benchmark_Assessment.pdf
+    и бенчмаркингу https://releases.rancher.com/documents/security/latest/Rancher_Benchmark_Assessment.pdf
+6.3 Bare-metal Nginx
+https://geekflare.com/nginx-webserver-security-hardening-guide/
+https://www.upguard.com/articles/10-tips-for-securing-your-nginx-deployment
+    - SSL/TLS - используйте только SSL/TLS-соединение, отключайте или настраивайте редирект на HTTP. Используйте
+    протокол TSL вместо устаревшего SSL3. Проверьте безопасность SSL на https://www.ssllabs.com/ssltest/. Отключите
+    устаревшие шифры. Используйте chain сертификат, так как иначе могут возникать ошибки в Chrome. Настройте DH для TSL,
+    сгенерируйте уникальный DH GROUP и добавьте ssl_dhparam.
+    - Минимизируйте утечки информации - удалите версию из баннера nginx.
+    - Отключите неежелательные методы - TRACE и DELETE, так как это может повлиять на возможность проведения XSS-атак.
+    Подумайте об отключении TRACE и TRACK.
+    - Для предотврещания clickjacking-атак можно добавлять заголовок X-FRAME-OPTIONS.
+    - Добавьте заголовок X-XSS-Protection для защиты от XSS-атак.
+    - Подумайте об использовании ModSecurity в качестве WAF.
+    - Всегда обновляйте nginx до последней версии.
+    - Отключите все неиспользуемые модули.
+    - Ограничте размер буфера для клиента.