Or should I completely abandon the idea and rampage the nginx.conf?
Sim, você deveria.
As únicas alterações que são feitas pelos mantenedores de pacotes são
- padrões mais sensatos para parâmetros que você deve ter configurado há um tempo atrás
-
#-prefixed exemplos que não seriam usados sem sua ação de qualquer maneira
No passado, as únicas alterações significativas eram ssl_protocols , ssl_prefer_server_ciphers e worker_processes . Você deveria ter ignorado os de qualquer maneira anos antes de configurá-los no pacote deb parecia uma coisa razoável para os mantenedores do pacote.
No passado, a única atenuação real que poderia ter sido enviada com um nginx.conf de todo o sistema, adicionando max_ranges 1; para CVE-2017-7529 não foi enviado por nenhuma distribuição que eu conheça, eles lançaram a correção para a vulnerabilidade antes mesmo de a maioria dos administradores aplicar a mitigação.
Você não pode esperar que os mantenedores de pacotes sejam mais rápidos do que você está adicionando potencialmente quebrando as mudanças, assim você provavelmente não lucrará herdando sua configuração. Os mantenedores de pacotes não podem saber o que é melhor para os milhões de casos de uso existentes e, portanto, serão extremamente conservadores na alteração de valores aqui.
Desde que o seu sistema de backup funcione corretamente, é provável que seja uma boa idéia manter a configuração no lugar, para que o apt pergunte durante as atualizações interativas como agir de acordo com as mudanças do mantenedor no arquivo de configuração.
Como você descobre quais alterações foram aplicadas entre diferentes versões? Você pode comparar todas as versões de pacotes disponíveis (não verificadas, baixadas de forma insegura) como esta:
(cd "$(mktemp -d)"; rmadison --url=debian nginx-common | awk '{print $3}' | while read a; do curl "http://ftp.debian.org/debian/pool/main/n/nginx/nginx-common_${a}_all.deb" | dpkg -x - x${a}; done; for a in x*/etc/nginx/nginx.conf; do [ -z "$la" ] && la="$a" && continue; diff -wus "$la" "$a";la="$a" ; done; pwd)