您最有经验的操作系统和 Web 服务器通常是最安全的。

安全性取决于所有层，而不仅仅是 Web 服务器。如果您选择一个漏洞很少的，但不了解如何配置它，您很可能不了解如何安全地配置它。

它们都是成熟的 Web 服务器，因此您最了解的服务器就是您最能保护的服务器。

对我来说，这个问题的答案是“视情况而定”。

首先，我想这取决于您所说的安全。如果您希望避免软件缺陷，那么您可以从http://www.secunia.com或http://www.cvedetails.com等网站查看相关产品的漏洞统计信息。

从这些您可以了解有多少安全问题已被公开承认和修补，这可能会导致您说产品或多或少是安全的。

不幸的是，并非所有产品都受到相同级别的审查，因此这可能不是一个好的衡量标准。

要考虑的另一件事是安全功能。如果您需要特定的安全功能（例如，WAF 集成），那么这可能会推动您选择网络服务器。

就您的具体问题而言，我想说 Apache 最近的安全记录相当不错（我在最新版本中看到的大多数漏洞往往位于模块而不是核心服务器中）。

至于其他人，如果没有任何已发布的漏洞，您可以争辩说它们是安全的，但是它们可能仍然存在未公开承认的问题。

尽管最近范围标题疯狂，但我认为您可以为 Apache 提供一个很好的案例，如果您将其简化为您需要的内容。mod_security 对 Apache 来说也是一个不错的加分项。

您还应该不仅根据业绩记录做出决定，还应该根据您认为他们未来的表现如何做出决定。其中很大一部分是流程成熟度、代码库状态等的函数。我认为 Apache 总体上做得很好，尽管就像我说的那样，只将它剥离到你需要的部分。

Apache 有很多眼球，这意味着它会报告更多的错误，但请记住，仅仅因为没有针对产品报告错误并不意味着它们不存在，所以如果你是以攻击为目标，我认为您希望尽可能少的未知数，而 Apache 可能会在这方面获胜。

对我来说，在 apache 或 nginx 或 lighttpd 上无关紧要，保持更新很重要，只安装每周/每月审核和更新的更新插件和模块，最重要的是永远不要在 Web 应用程序上犯错误（ python,perl,php,mysql ,rtmp ....) 如果您的 apache 及其模块已修补/更新，并且您有 sqli 或 php 缓冲区溢出，因此它是无用的，并且关于操作系统，您可以制作一个安全的 Windows 服务器和您可以制作一个易受攻击的unix服务器

来源：我是精英白黑客

http://www.zone-h.org/archive/notifier=k3rnel31

http://www.zone-h.org/archive/notifier=k3rnel31_2

http://www.zone-h.org/archive/notifier=k3rnel31_3

http://www.zone-h.org/archive/notifier=k3rnel31_4