nginx优化与防盗链

最新推荐文章于 2024-07-18 17:58:14 发布
最新推荐文章于 2024-07-18 17:58:14 发布
阅读量100 收藏
点赞数
文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76867694/article/details/131070567
版权

一,隐藏nginx服务版本号

#查看nginx服务版本号方式
方法一:在浏览器访问产看数据包头
在这里插入图片描述
方法二:使用命令直接查看
在这里插入图片描述
修改方法
方法一
配置文件http块中添加server_tokens off;关闭版本号

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;					#添加,关闭版本号
    ......
}
systemctl restart nginx
curl -I http://192.168.88.30

#修改nginx服务配置文件
在这里插入图片描述
修改后查看nginx服务头部
在这里插入图片描述
在这里插入图片描述
方法二:
修改源代码文件。重新编译安装

vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" 					#修改版本号
#define NGINX_VER "IIS" NGINX_VERSION 			#修改服务器类型

cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx 
--with-http_stub_status_module
make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
	......
}

systemctl restart nginx
curl -I http://192.168.80.10

#进入/opt/nginx-1.12.0/src/core/nginx.h配置文件
在这里插入图片描述
#在解压目录下重新编译安装
在这里插入图片描述
#回到nginx配置文件打开隐藏版本的设置
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二,修改nginx用户与组

#修改配置文件user 行

vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; 								#取消注释,修改用户为 nginx ,组为 nginx

systemctl restart nginx
ps aux | grep nginx   #查看验证运行用户

在这里插入图片描述
在这里插入图片描述

三,配置nginx服务网页缓存

#修改主配置文件选项
当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
一般针对静态网页设置,对动态网页不设置缓存时间
可以分别在http 块 server块 location 块中配置
http块中配置, 所有虚拟主机网站网页全部缓存
http://www.accp.com/xxx http://www.benet.com/xxx
server块配置,影响某一个虚拟主机站点
http://www.accp.com/xxx
location块配置,根据访问页面路径判断缓存否,某一个访问请求的结果
http://www.accp.com/abc.xx test/xx

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		
		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 		
		#加入新的 location,以图片作为缓存对象
			root html;
			expires 1d;									
			#指定缓存时间,1天
		}
......
	}
}
http://www.kgc.com/wangsicong.jpg

systemctl restart nginx

#配置文件中设置
在这里插入图片描述
#检查语法
在这里插入图片描述

#添加一个图片文件
在这里插入图片描述
在这里插入图片描述
#浏览器访问
在这里插入图片描述

四.nginx日志分割

为了方便掌握nginx运行状态,,nginx自身不具备日志分割处理功能,需要脚本实现控制功能实现日志自动分割,通过linux计划任务周期性的进行分割
#nginx日志分割脚本
在这里插入图片描述
实现脚本整体逻辑;以天保存日志,查看日志目录是否存在,不存在则创建,将保存的日志移到日志保存文件以时间结尾保存,自动生成新日志文件,查找出大于30天的日志文件进行删除

vim /root/fenge.sh
#!/bin/bash
# Filename: fenge.sh
day=$(date -d "-1 day" "+%Y%m%d")		#显示前一天的时间
logs_path="/var/log/nginx"        #定义日志目录变量
pid_path="/usr/local/nginx/logs/nginx.pid"   #设置用以获取pid号的变量

[ -d $logs_path ] || mkdir -p $logs_path 			#创建日志文件目录,判断是否有日志文件没有则创建
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-$day	
#移动并重命名日志文件
kill -USR1 $(cat $pid_path)			               #重建新日志文件
find $logs_path -mtime +30 -exec rm -rf {} \;				       #删除30天之前的日志文件
#find $logs_path -mtime +30 | xargs rm -rf

#kill -USR1 分割日志文件
在这里插入图片描述
在这里插入图片描述
#日志分割脚本
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
#添加到计划性任务中

crontab  -e    #设置计划任务

在这里插入图片描述
注意计划任务保证服务 systemctl status crond 服务是开启的

五 , nginx 连接超时

HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
    keepalive_timeout 60 60;
	keepalive_requests 10000;
    client_header_timeout 80;
    client_body_timeout 80;
...... 
}

keepalive_timeout
指定KeepAlive的超时时间(timeout)。指定一个长连接最多可以保持多长时间,
服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,
所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。
第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。
这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,
Nginx 不会发送 Keep-Alive 响应头。

client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。
如果客户端在指定时间内没有发送一个完整的 request header,
Nginx 返回 HTTP 408(Request Timed Out)。

client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。
如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
#查看连接保持时间
在这里插入图片描述

六 ,更改nginx进程数

更改进程数的适合场景
在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞

修改配置文件 的work _processes参数

  • 一般设为cpu的个数或者核数
  • 高并发情况下可设置为c pu个数或者和核数的2倍,也可设置为 : auto 自动获取设置个数

cat /proc/cpuinfo | grep -c "physical id"	#查看cpu核数
ps aux | grep nginx :							#查看nginx主进程中包含几个子进程

vim /usr/local/nginx/conf/nginx.conf
worker_processes  2;				#修改为核数相同或者2倍
worker_cpu_affinity 01 10;			#设置每个进程由不同cpu处理,
                                    进程数配为4时0001 0010 0100 1000
#将每个worker子进程与特定CPU物理核心绑定,提升cpu利用率,进而提升性能。
避免同一个worker子进程在不同的CPU核心上切换或者多个进程跑在一个CPU上,缓存失效,
降低性能。

#nginx配置文件/ usr/local/nginx/ conf/nginx .conf 文件中设置work _processes进程数量 在这里插入图片描述
#查看设置后work _processes进程数量
在这里插入图片描述
默认情况下。nginx多个进程可能跑在一个cpu上可以分配不同的进程给不同cpu 处理,充分利用硬件多核多cpu ,将每个进程绑定不同cpu,实现在这里插入图片描述
个进程都有不同cpu处理

worker_cpu_affinity 01 10;			#设置每个进程由不同cpu处理,
进程数配为4时0001 0010 0100 1000 
 4个cpu为四位数,几个cpu就是几位数,2个cpu就是两位数 
 1表示cpu编号  0001表示第一个cpu    0010表示第二个cpu

#/usr/local/nginx/conf/nginx.conf 配置文件中修改
在这里插入图片描述
在这里插入图片描述

七,配置网页压缩

Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
   gzip on;							#取消注释,开启gzip压缩功能
   gzip_min_length 1k;      		#最小压缩文件大小
   gzip_buffers 4 64k;      		#压缩缓冲区,大小为4个64k缓冲区,
   设置大小为2^,提高IO读写效率
   gzip_http_version 1.1;   		#压缩版本
   (默认1.1,前端如果是squid2.5请使用1.0)
   gzip_comp_level 6;       		#压缩比率
   gzip_vary on;					#支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript 
   text/css text/xml application/xml application/xml+rss image/jpg 
   image/jpeg image/png image/gif application/x-httpd-php 
   application/javascript application/json;		#压缩类型,表示哪些网页文档
   启用压缩功能
...... 
}

#/usr/local/nginx/conf/nginx.conf 文件中修改
在这里插入图片描述
在这里插入图片描述

cd /usr/local/nginx/html
先将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="game.jpg"/>				#网页中插入图片
</body>
</html>

systemctl restart nginx

在Linux系统中,打开火狐浏览器,右击点查看元素
选择 网络 ---> 选择 HTML、WS、其他 
访问 http://192.168.80.10 ,双击200响应消息查看响应头中包含
 Content-Encoding: gzip

在这里插入图片描述
#模块介绍
查看模块

cd  /opt/nginx/nginx-1.24.0/auto
 cat options | grep YES

在这里插入图片描述

在这里插入图片描述

八,配置nginx防盗链

#配置前准备域名

网页准备:
Web源主机(192.168.80.10)配置:
cd /usr/local/nginx/html
将game.jpg、error.png文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="game.jpg"/>
</body>
</html>

echo "192.168.80.10 www.kgc.com" >> /etc/hosts 
echo "192.168.80.12 www.benet.com" >> /etc/hosts 

盗链网站主机(192.168.80.12):
cd /usr/local/nginx/html
vim index.html
...... 
<img src="http://www.kgc.com/game.jpg"/>
</body>
</html>

echo "192.168.80.10 www.kgc.com" >> /etc/hosts 
echo "192.168.80.12 www.benet.com" >> /etc/hosts 

在盗图网站主机上进行浏览器验证
http://www.benet.com

#配置防盗链

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	......
		location ~* \.(jpg|gif|swf)$ {            #通过正则匹配访问路径
			valid_referers none blocked *.kgc.com kgc.com;   
			#设置可信任的地址连接
			if ( $invalid_referer ) {       #匹配不信任的连接
				rewrite ^/ http://www.kgc.com/error.png;  #重写到防盗链路径
				#return 403;    #返回403
            }
        }
	......
	}
}

~* .(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;
valid_referers :设置信任的网站,可以正常使用图片;(本地主机访问referers值为0,链接访问会记录值)
none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的),如 http://www.kgc.com/game.jpg
我们使用 http://www.kgc.com 访问显示的图片,可以理解成 http://www.kgc.com/game.jpg 这个请求是从 http://www.kgc.com 这个链接过来的。
blocked:允许不是http://开头的,不带协议的请求访问资源;
*.kgc.com:只允许来自指定域名的请求访问资源,如 http://www.kgc.com

if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

#在盗链网站主机访问源网页界面
在这里插入图片描述
在这里插入图片描述

#模拟盗链网站设置
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

注意复制是以域名访问控制

在这里插入图片描述
在这里插入图片描述

进入源网站访问图片鼠标右击复制图片链接
在这里插入图片描述

#源网站主机放盗链配置

vim  /usr/local/nginx/conf/nginx.conf  #nginx根目录下配置文件

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
#盗链主机再次访问自己域名
在这里插入图片描述

世间浮游客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx优化防盗链
weixin_67582338的博客
05-31 203
引言 在企业信息化应用环境中,服务器的安全性和响应速度需要根据实际情况来进行相应的参数配置,来达到最优的用户体验。 但是默认的 Nginx 安装参数只能提供最基础的服务,还需调整页面缓存时间、连接超时、网页压缩等相应参数,才能让 Nginx 发挥最大的性能,接受更高的并发。 一、Nginx 服务优化 1. 隐藏版本号 在生产环境中,需要隐藏 Nginx 版本号,以避免泄露 Nginx 的版本,使攻击者不能针对特定版本进行攻击。 1.1 查看 Nginx 版本 (1)网页查看 浏览器 →...
Nginx 优化防盗链
lxplxplike的博客
06-10 816
nginx应用配置文件的优化nginx的性能优化开启网页压缩 gzip on;页面缓存 expires 缓存时间;连接保持超时 keepalive_timeout 服务端超时时间 客户端超时时间;设置工作进程数 work_processes 与服务器CPU数量相同或auto设置工作进程连接数 worker_connections worker_rlimit_nofile工作进程静态绑核 worker_cpu_affinity开启高效文件传输模式 sendfile on;
NGINX 优化防盗链
dingshun129的博客
12-22 330
NGINX 优化防盗链 1版本信息 如何查看版本信息 [root@localhost ~]#curl 192.168.91.103 [root@localhost ~]#curl -I 192.168.91.103 隐藏版本号 1.1修改配置文件 [root@localhost ~]#vim /usr/local/nginx/conf/nginx.conf #加入 server_tokens off; http { include mime.types; default_t
Nginx优化防盗链实践教程
02-25
Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为“engineX”,是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP代理服务器.Nginx是由俄罗斯人IgorSysoev为俄罗斯访问量第二的...
nginx优化防盗链☆☆☆
06-10
【标题】:“Nginx优化防盗链”涵盖了Nginx服务器在性能调优和防止非法访问方面的核心知识点。Nginx作为一个高性能的HTTP和反向代理服务器,其高效的处理能力、轻量级的特性以及丰富的模块化设计,使其成为众多...
Nginx防盗链的配置方法
09-30
**四、防盗链的局限性与优化** 虽然Nginx防盗链配置可以有效地阻止大部分非法引用,但有些情况可能无法覆盖,例如: - 通过直接输入URL访问资源,`Referer`字段为空,此时需结合其他手段(如IP白名单)进行防护。...
分布式存储Ceph的部署及应用(创建MDS、RBD、RGW 接口)
weixin_44112402的博客
07-17 744
存储机制会把数据分散存储到多个节点上,具有高扩展性、高性能、高可用性等优点。Ceph使用C++语言开发,是一个开放、自我修复和自我管理的开源分布式存储系统。具有高扩展性、高性能、高可靠性的优点。Ceph目前已得到众多云计算厂商的支持并被广泛应用。RedHat及OpenStack,Kubernetes都可与Ceph整合以支持虚拟机镜像的后端存储。粗略估计,我国70%—80%的云平台都将Ceph作为底层的存储平台,由此可见Ceph俨然成为了开源云平台的标配。
CI/CD详解 & Jenkins 介绍与实战
my的博客
07-16 968
本文大纲概览: CI/CD 概念与工作流程 详解 Jenkins安装、启动、初始化配置 使用Jenkins部署github上的 xzll-im 微服务项目 freestyle方式 push代码后自动部署 pipeline方式部署 pipeline + push 方式 本文实操过程中,相关工具版本信息如下: centos版本: CentOS Linux release 7.9.200...
Langchain-Chatchat3.1版本docker部署流程——知识库问答
最新发布
qq_38531623的博客
07-18 262
langchain-chatchat3.1 docker部署 知识库问答篇
【星海随笔】vCenter Server 和主机管理。
weixin_41997073的博客
07-16 214
1.方法:删除页面信息,然后断连这个受管主机,断开受管主机的连接不会将其从 vCenter Server 中移除,而只是临时挂起 vCenter Server 执行的所有监控活动。2.方法:在分布式存储中找到该虚拟设备的存储盘,文件里找到相关的vmdk磁盘文件,点击注册虚拟机。当资料不匹配时候,可以删除展示页面,孤立的设备的 匹配位置的信息。断开后,然后重新连接,既可以重新识别受监管的主机。数据库在Vserver中展示的是一个数据库的资料,应该是client的资料。1.确定为资料不匹配导致的展示问题。
9,SSH sftp 命令
sagima_sdu的博客
07-16 188
是 SSH 提供的一个客户端应用程序,主要用来安全地访问 FTP。因为 FTP 是不加密协议,很不安全,FTP 的提示符下面,就可以输入各种 FTP 命令了,这部分完全跟传统的 FTP 用法完全一样。执行上面的命令,会要求输入 FTP 的密码。密码验证成功以后,就会出现 FTP 的提示符。就相当于将 FTP 放入了 SSH。下面的命令连接 FTP 主机。
7.17(nodejs、vue、SSH服务、SSH免密登录)
m0_71589190的博客
07-17 1054
nodejs、vue、SSH服务、SSH免密登录
5,SSH 端口转发
sagima_sdu的博客
07-16 741
SSH 除了登录服务器,还有一大用途,就是作为加密通信的中介,充当两台服务器之间的通信加密跳板,使得原本不加密的通信变成加密通信。这个功能称为端口转发(port forwarding),又称 SSH 隧道(tunnel)。端口转发有两个主要作用:(1)将不加密的数据放在 SSH 安全连接里面传输,使得原本不安全的网络服务增加了安全性,比如通过端口转发访问 Telnet、FTP 等明文服务,数据传输就都会加密。(2)作为数据通信的加密跳板,绕过网络防火墙。
C#定时发送邮件功能
yannsann的博客
07-16 525
自动运维监控客户端在自动关闭时,需要给实施同学发送提醒邮件。支持163邮箱、qq邮箱、火狐邮箱等各种通用邮箱。定时器+发送邮件。
centos8登录suse11sp3问题记录
evolay的专栏
07-17 169
3. 观察日志,看到了 Jul 17 16:52:51 suse11sp3 sshd[51540]: fatal: matching cipher is not supported: aes256-gcm@openssh.com [preauth]搜索:Ciphers 关键字,看看是否有如下类似的行,没有则将以下行复制到sshd_config文件中。解决方法:可以在11sp3或centos8中任选一个,修改其ssh的配置。配置文件,禁用不受支持的加密算法,来解决这个问题。我选取了suse11sp3。
使用Dockerfile构建镜像
2402_83805984的博客
07-16 390
【代码】使用Dockerfile构建镜像。
Linux系统和常用操作命令
Baizeh的博客
07-16 1290
把windows开发好的程序部署到linux操作系统上,因为windows操作系统漏洞太多容易被攻击。
开源知识管理系统 InfoSphere 2024.1.2 发布
qianmoQ - 关注云计算,关注大数据
07-18 219
【代码】开源知识管理系统 InfoSphere 2024.1.2 发布。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值