Если вы прослушиваете / привязываете порт 80, то вам нужна возможность CAP_NET_BIND_SERVICE (для привязки к порту <1024). Традиционно это разрешено только пользователю root / admin ( здесь большая проблема безопасности ).
Однако в современном Linux вы можете запускать его как непривилегированный пользователь специального назначения и предоставить серверу именно такую возможность.
Вы также можете настроить брандмауэр для ограничения количества соединений в секунду. (чтобы уменьшить DOS).
В Linux вы можете поместить его в контейнер (например, в Docker), чтобы ограничить используемые системные ресурсы.