Замініть конфігурацію http nginx за замовчуванням без зміни типових nginx.conf

Мій намір : я хотів би змінити конфігурацію за замовчуванням, визначену в /etc/nginx/nginx.conf(у debian 8). Ідея полягає в тому, щоб цей файл був повністю не торканим, щоб полегшити майбутні оновлення системи та мати можливість отримати останні зміни для параметрів, які я не переосмислював.

Що я зробив : я створив власну конфігурацію так /etc/nginx/conf.d/само, як і для кількох інших служб debian.

Проблема : Однак, здається, неможливо перекрити деяку конфігурацію, тому що я отримую директиву "X" - це дублікат помилки. Схоже, Nginx не підтримує конфігурацію, що перекриває так, як це роблять інші служби.

Питання : Чи є спосіб змінити та додати нову опцію в контекст http nginx, не отримуючи директиву, що є дублюючою помилкою? Або я повинен повністю відмовитись від ідеї і розгулу nginx.conf?

Велике спасибі за вашу допомогу.

Це подібне питання насправді не вирішує мою проблему, оскільки я також хочу отримати прибуток від параметрів за замовчуванням, встановлених автоматично для мене (наприклад worker_processes auto;)

Або я повинен повністю відмовитись від ідеї та сказувати nginx.conf?

Так, слід.

Єдині зміни, які коли-небудь вносяться обслуговувачами пакетів, - це будь-які

• Більш розумні за замовчуванням параметри, у будь-якому випадку, ви повинні налаштувати себе довгий час тому
• #- попередньо встановлені приклади, які без вашої дії все одно не використовуються

У минулому, тільки значні зміни були ssl_protocols, ssl_prefer_server_ciphersі worker_processes. Ви, мабуть, повинні були переосмислити ці роки, перш ніж їх встановити в пакет дебютів, здавалося б, розумною справою для користувачів, які підтримують пакет.

У минулому єдине реальне пом'якшення, яке могло бути поставлене за допомогою системи nginx.conf, що додається max_ranges 1;для CVE-2017-7529, не надсилалось жодним дистрибутивом, про який я знаю, вони випустили виправлення для його вразливості перед більшістю адміністраторів навіть застосували пом’якшення.

Ви не можете розраховувати, що технічне обслуговування пакетів буде швидшим, ніж ви додаєте потенційно можливі порушення, таким чином, ви, ймовірно, не отримаєте прибуток від успадкування їх конфігурації. Обслуговувачі упаковок не можуть знати, що найкраще для мільйонів випадків використання там, і тому буде надзвичайно консервативним у зміні цінностей тут.

Поки ваша система резервного копіювання працює належним чином, ймовірно, все-таки хороша ідея зберегти конфігурацію, щоб apt під час інтерактивних оновлень запитав вас про те, як діяти при змінах конфігуратора у файлі.

Як ви зрозумієте, які зміни застосовані між різними випусками? Ви можете порівняти всі (неперевірені, незахищено завантажені) доступні версії пакету, як це:

(cd "$(mktemp -d)"; rmadison --url=debian nginx-common | awk '{print $3}' | while read a; do curl "http://ftp.debian.org/debian/pool/main/n/nginx/nginx-common_${a}_all.deb" | dpkg -x - x${a}; done; for a in x*/etc/nginx/nginx.conf; do [ -z "$la" ] && la="$a" && continue; diff -wus "$la" "$a";la="$a" ; done; pwd)