Nginx优化与防盗链

目录

一、隐藏版本号

1.修改配置文件

2.自定义修改源代码

二、修改用户与组

1.修改配置文件指定用户

三、缓存时间

1.修改配置文件加入特定参数

四、日志切割

1.编写脚本实现日志切割

2.添加权限并执行脚本 

3.设置计划任务 

五、连接超时 

1.配置文件设置

六、更改进程数

1.查看CPU核数

2.修改配置文件

七、配置网页压缩 

1.修改配置文件 

2.上传图片并添加到网页 

八、配置防盗链 

1.源主机配置 

1.1配置网页和文件

1.2添加映射 

2.盗链主机配置 

2.1配置网页和文件

2.2添加映射 

3.验证结果 

---

一、隐藏版本号

1.修改配置文件

在服务器运维中，有时需要查看Nginx服务器的版本信息，或者为了安全性目的隐藏或修改该信息。以下是使用Fiddler工具和curl命令查看Nginx版本信息的步骤，以及修改版本信息的两种方法

vim /usr/local/nginx/conf/nginx.conf
 
http {
   include       mime.types;
   default_type application/octet-stream;
   server_tokens off;                        //添加，关闭版本号
   ......
}
 
systemctl restart nginx
curl -I http://172.16.58.10

2.自定义修改源代码

vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1"                  //修改版本号
#define NGINX_VER "IIS" NGINX_VERSION            //修改服务器类型
                                    
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --withhttp_stub_status_module
 
make && make install   编译

vim /usr/local/nginx/conf/nginx.conf
http {
   include mime.types;
   default_type application/octet-stream;
   server_tokens on;      //打开显示版本号
......
}
 
//重启服务
systemctl restart nginx
//测试
curl -I http://172.16.58.10

修改版本号和服务器类型

编译安装完成之后，重启服务器查看版本

二、修改用户与组

1.修改配置文件指定用户

vim /usr/local/nginx/conf/nginx.conf
 
user nginx nginx;        //取消注释，修改用户为 nginx ,组为nginx
 
systemctl restart nginx
ps aux | grep nginx
//主进程由root创建，子进程由nginx创建//

三、缓存时间

当 Nginx 将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度

一般针对静态网页设置，对动态网页不设置缓存时间

1.修改配置文件加入特定参数

vim /usr/local/nginx/conf/nginx.conf
http {
......
 server {
 ...... 
 location / {
 root html;
 index index.html index.htm;
 }
 
 location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 
#加入新的 location，以图片作为缓存对象
 root html;
 expires 1d;        //指定缓存时间，1天
 }
......
 }
}
 
//重启服务
systemctl restart nginx
 
//测试访问
http://172.16.58.10/hzw.jpg

四、日志切割

1.编写脚本实现日志切割

vim /opt/fenge.sh
 
#!/bin/bash
// Filename: fenge.sh
 
// 获取前一天的日期
day=$(date -d "-1 day" "+%Y%m%d")
 
// 定义日志文件路径和 Nginx PID 文件路径
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
 
// 创建日志文件目录（如果不存在）
[ -d $logs_path ] || mkdir -p $logs_path
 
// 移动并重命名日志文件
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-$day
 
// 向 Nginx 主进程发送 USR1 信号，重新打开日志文件
kill -USR1 $(cat $pid_path)
 
// 删除30天之前的日志文件
find $logs_path -mtime +30 -exec rm -rf {} \;

2.添加权限并执行脚本 

添加权限

chmod +x /opt/fenge.sh

./opt/fenge.sh

ls /var/log/nginx

ls /usr/local/nginx/logs/access.log

3.设置计划任务 

使用 crontab 编辑器设置一个定时任务，每天凌晨 1 点自动运行 fenge.sh 脚本

crontab -e
0 1 * * * /opt/fenge.sh

五、连接超时 

HTTP 有一个 KeepAlive 模式，它告诉 web 服务器在处理完一个请求后保持这个 TCP 连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接

KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能

1.配置文件设置

vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 65 180;  三次握手的超时时间
client_header_timeout 80;  等待客户端发送请求头的超时时间会送408 错误
client_body_timeout 80;    设置客户端发送请求体的超时时间
......
}

重启服务

systemctl restart nginx

六、更改进程数

在高并发场景，需要启动更多的 Nginx 进程以保证快速响应，以处理用户的请求，避免造成阻塞

1.查看CPU核数

确定服务器的 CPU 核数，以便设置合适的 Nginx 进程数

cat /proc/cpuinfo | grep -c "physical id"  # 查看物理 CPU 的数量

查看 Nginx 主进程中包含的子进程数

ps aux | grep nginx  # 查看 Nginx 主进程和子进程

2.修改配置文件

根据 CPU 核数调整 Nginx 的 worker_processes 和 worker_cpu_affinity 参数

vim /usr/local/nginx/conf/nginx.conf
worker_processes 2; #修改为核数相同或者2倍
worker_cpu_affinity 01 10; #设置每个进程由不同cpu处理，进程数配为4时0001 0010
0100 1000

worker processes
定义：指定 Nginx 启动的工作进程数
推荐值：通常设置为与CPU核数相同或其 2倍，以最大限度地利用多核CPU的并行处理能力
例如，如果服务器有 4个 CPU 核，worker_ processes可以设置为 4 或 8

worker_cpu _affinity
定义：用于将每个Nginx工作进程绑定到特定的CPU核，以提高缓存命中率和整体性能.
功能：通过绑定Nginx进程到特定的CPU核，可以减少进程在不同CPU核之间的迁移，从而提高性能

worker connections
定义：指定每个工作进程所能处理的最大连接数
作用：这个值越高，Nginx能够同时处理的并发连接数就越多。需要根据实际的流量和负载情况进行调整

七、配置网页压缩 

Nginx 的 ngx_http_gzip_module 压缩模块提供对文件内容压缩的功能

允许 Nginx 服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

1.修改配置文件 

vim /usr/local/nginx/conf/nginx.conf

http {
......
    gzip on;     #取消注释，开启gzip压缩功能
    gzip_min_length 1k;     #最小压缩文件大小
    gzip_buffers 4 64k;     #压缩缓冲区，大小为4个64k缓冲区
    gzip_http_version 1.1;  #压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
    gzip_comp_level 6;      #压缩比率 1：压缩比最小，速度最快；9：压缩比最大，传输速度最快，但处理也最慢，也比较的消耗CPU资源
    gzip_vary on;     #支持前端缓存服务器存储压缩页面
    gzip_types text/plain text/javascript application/x-javascript text/css
    text/xml application/xml application/xml+rss image/jpg image/jpeg image/png
    image/gif application/x-httpd-php application/javascript application/json;
#压缩类型，表示哪些网页文档启用压缩功能
......
}

2.上传图片并添加到网页 

八、配置防盗链 

防盗链功能用于防止其他网站未经授权直接引用你的网站上的资源（如图片）。通过以下配置，可以设置防盗链策略，并对不合法的请求进行处理

这里我们需要2台linux来模拟盗取实验

源主机 172.16.58.10

盗链主机 172.16.58.20

1.源主机配置 

vim /usr/local/nginx/conf/nginx.conf

http {
......
    server {
    ......
        location ~* \.(jpg|gif|swf)$ {
            valid_referers none blocked *.kgc.com kgc.com;
            if ( $invalid_referer ) {
                rewrite ^/ http://www.kgc.com/error.png;
                #return 403;
            }
        }
    ......
    }
}

1.1配置网页和文件

vim index.html

1.2添加映射 

2.盗链主机配置 

2.1配置网页和文件

vim index.html

2.2添加映射 

3.验证结果 

在盗图网站主机上进行浏览器验证

http://www.benet.com