nginx优化:
nginx应用配置文件的优化:
nginx的性能优化:
开启网页压缩 | gzip on; |
页面缓存 | expires 缓存时间; |
连接保持超时 | keepalive_timeout 服务端超时时间 客户端超时时间; |
设置工作进程数 | work_processes 与服务器CPU数量相同或auto |
设置工作进程连接数 | worker_connections worker_rlimit_nofile |
工作进程静态绑核 | worker_cpu_affinity |
开启高效文件传输模式 | sendfile on; tcp_nopush on; tcp_nodelay on; |
IO多路复用 | use epoll; |
连接优化 | multi_accept on;(一个进程同时接受多个网络连接) accept_mutex on;(以串行方式接入新连接,防止惊群现象发生) |
nginx的安全优化:
隐藏版本号 | server_tokens off; 修改源代码 nginx.h |
防盗链 | valid_referers if ($invalid_referer) {rewrite ....} rewrite地址重写 |
访问控制 | deny/allow |
设置运行用户/组 | user 用户名 组名; |
限制请求数 | limit_req_zone limit_req |
限制连接数 | limit_conn_zone limit_conn |
日志分割
shell脚本 + crontab
系统内核优化:
/etc/sysctl.conf 内核参数配置文件 | #用于解决系统存在大量TIME WAIT状态连接的问题 |
net.ipv4.tcp_syncookies=1 | 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击 |
net.ipv4.tcp_tw_reuse=1 | 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接 |
net.ipv4.tcp_tw_recycle=1 | 表示开启TCP连接中TIME-WAIT sockets的快速回收 |
net.ipv4.tcp_fin_timeout=30 | 修改MSL值,系统默认的TIMEOUT时间 |
#如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
net.ipv4.tcp_keepalive_time=1200 | #当keepalive启用时,TCP发送keepalive探测消息的频率,确认客户端是否断网 |
net.ipv4.ip_local_port_range=1024 65535 | #用于向外连接的端口范围。缺省情况下很小,为32768 60999 |
net.ipv4.tcp_max_syn_backlog=8192 | #SYN队列长度,默认为1024,加大队列长度为8192,可容纳更多等待连接的网络连接数 |
net.ipv4.tcp_max_tw_buckets=5000 | #表示系统同时保持TIME WAIT的最大数量 |
net.core.somaxconn=65535 | #一个端口能够监听的最大连接数 |
#如果需要IP路由转发 net.ipv4.ip_forward=1
/etc/security/limits.conf 内核资源限制文件
* | soft | noproc | 65535 | 打开系统进程数 |
* | hard | noproc | 65535 | |
* | soft | nofile | 65535 | 进程打开文件数 |
* | hard | nofile | 65535 |
你用过哪些nginx模块?
http_stub_status_module | 访问状态统计模块 |
http_gzip_module | 网页压缩模块 |
http_rewrite_module | URL地址重写模块 |
http_ssl_module | https安全加密模块 |
http_auth_basic_module | 网页用户认证模块 |
http_fastcgi_module | fastcgi转发模块 |
http_image_filter_module | 图片处理模块 |
http_mp4/flv_module | mp4/flv视频格式模块 |
http_limit_req_module | 限制请求数模块 |
http_limit_conn_module | 限制连接数模块 |
http_proxy_module | 代理转发模块 |
http_upstream_*_module | 负载均衡模块 |
stream | 四层代理转发模块 |
一、配置Nginx隐藏版本号
- 隐藏Nginx版本号,避免安全漏洞泄露
- Nginx隐藏版本号的方法
##################### 快速配置一台nginx服务器 #######################
systemctl stop firewalld.service
setenforce 0
df
mount /dev/sr0 /mnt
yum -y install pcre-devel zlib-devel openssl-devel gcc gcc-c++ make
useradd -M -s /sbin/nologin nginx
cat /etc/passwd | grep nginx:
cd /opt/
[root@l1 opt]# ls
nginx-1.26.0.tar.gz rh
tar xf nginx-1.26.0.tar.gz
cd nginx-1.26.0/
_______________________________________________________________________________________
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module
_______________________________________________________________________________________
make -j2 && make install
cd /usr/local/nginx/
ls sbin/
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
nginx -t
cd /usr/lib/systemd/system
vim nginx.service
——————————————————————————————————————————————————————————————————————————————————
[Unit]
Description=nginx
After=network.target
[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
[Install]
WantedBy=multi-user.target
——————————————————————————————————————————————————————————————————————————————————
systemctl daemon-reload
systemctl start nginx
systemctl enable nginx
netstat -lntp | grep nginx
方法一: 修改配置文件法
将nginx的配置文件中server_tokens选项的值设置为off
[root@l1 conf]# cd /usr/local/nginx/conf/
[root@l1 conf]# ls
fastcgi.conf koi-win scgi_params
fastcgi.conf.default mime.types scgi_params.default
fastcgi_params mime.types.default uwsgi_params
fastcgi_params.default nginx.conf uwsgi_params.default
koi-utf nginx.conf.default win-utf
[root@l1 conf]# vim nginx.conf
关闭版本号
[root@l1 conf]# nginx -t
nginx: [emerg] unknown directive "server_token" in /usr/local/nginx/conf/nginx.conf:20
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed
[root@l1 conf]# systemctl reload nginx.service //重新加载
[root@l1 conf]#
重启服务,访问网站使用curl -l命令检测
systemctl restart ngnix
curl -l ...
[root@l1 conf]# systemctl reload nginx.service
[root@l1 conf]# curl -I http://192.168.18.10
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 07 Jun 2024 06:00:45 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Tue, 04 Jun 2024 11:50:06 GMT
Connection: keep-alive
ETag: "665eff6e-267"
Accept-Ranges: bytes
方法二:修改源代码
cd /opt/
ls
cd nginx-1.26.0/
ls
cd src/
ls
cd core/
ls
vim nginx.h
[root@l1 core]# pwd
/opt/nginx-1.26.0/src/core
[root@l1 core]# cp nginx.h nginx.h_bak
[root@l1 core]# vim nginx.h
重新编译安装
cd /opt/nginx-1.26.0/
——————————————————————————————————————————————————————————————————————————————
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module
——————————————————————————————————————————————————————————————————————————————
make -j2 && make install
vim /usr/local/nginx/conf/nginx.conf
systemctl restart nginx
curl -I http://192.168.18.10
方法三 模块法:
headers-more-nginx-module-0.34.tar.gz 插件包,解压到一个目录,编译安装 nginx, ./configure --add-module='模块路径' && make && make install
修改 nginx.conf 文件,在 http 配置块加 more_clear_headers '响应头字段';
即可去除 nginx 响应头任何想去除的字段
二、配置Nginx网页缓存时间
当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
一般针对静态网页设置,对动态网页不设置缓存时间
设置方法:修改配置文件,在http段、或者server段、或者location段加入对特定内容的过期参数