从小白到大神之路之学习运维第68天-------Nginx企业级优化与防盗链(上篇)

已于 2023-07-27 21:10:31 修改
阅读量124 收藏
点赞数 1
文章标签: 运维 学习 nginx
于 2023-07-26 19:58:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_77582029/article/details/131946528
版权

第三阶段基础

时  间:2023年7月26日

参加人:全班人员

内  容:

Nginx企业级优化与防盗链

目录

一、配置Nginx隐藏版本号

二、修改Nginx用户与组

​三、配置Nginx网页缓存时间

四、实现Nginx的日志切割

五、配置Nginx实现连接超时

六、更改Nginx工作进程数

七、配置Nginx实现网页压缩功能

一、配置Nginx隐藏版本号

在生产环境中,需要隐藏Nginx等服务的版本信息,以避免安全风险:

curl -I 192.168.100.132   获取nginx的信息

1、修改源码包

yum -y install pcre-devel zlib-devel openssl-devel gcc gcc-c++ make

useradd -M -s /sbin/nologin nginx

tar xf nginx-1.14.2.tar.gz -C /usr/src/

cd /usr/src/nginx-1.14.2/

vim src/core/nginx.h

配置如下:

13 #define NGINX_VERSION  "7.0.0 "随便改,也可删除

14 #define NGINX_VER      "IIS/" NGINX_VERSION

配置、编译、安装

./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make install

/usr/local/nginx/sbin/nginx   启动

netstat -anpt |grep nginx     查看端口

curl -I 192.168.100.132

2、修改配置文件

vim /usr/local/nginx/conf/nginx.conf

配置如下:

 28     server_tokens off;

/usr/local/nginx/sbin/nginx -t

killall -HUP nginx

curl -I http://192.168.100.132

   如果php配置文件中配置了fastcgi_param SERVER_SOFTWARE选项,则编辑php-fpm配置文件,将fastcgi_param SERVER_SOFTWARE对应值修改为fastcgi_param SERVER_SOFTWARE nginx。

二、修改Nginx用户与组

  Nginx运行时进程需要有用户与组身份的支持,以实现对网站文件读取时进行访问控制。Nginx默认使用nobody用户账号与组账号,一般也要进行修改。

1、编译安装时指定

useradd -M -s /sbin/nologin nginx

./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make install

2、修改配置文件

vim /usr/local/nginx/conf/nginx.conf

 配置如下:

2 user  nginx nginx;

killall -HUP nginx

ps aux |grep nginx

三、配置Nginx网页缓存时间

 当Nginx将网页数据返回给客户端后,可设置资源在客户端缓存的时间,以方便客户端在日后进行相同内容的请求时直接返回,以避免重复请求,加快了访问速度,一般针对静态网页进行设置,对动态网页不用设置缓存时间。可在Windows客户端中使用fiddler查看网页缓存时间。

设置方法:可修改配置文件,在http段、或server段、或者location段加入对特定内容的过期参数。

vim /usr/local/nginx/conf/nginx.conf

配置如下:

49         location ~ \.(gif|jpg|jpeg|png|bmp|ico)$ {

50             expires 1d;

51         }

52    location ~ .*\.(js|css)$ {

53             expires 1h;

54         }

killall -HUP nginx

vim /usr/local/nginx/html/index.html

配置如下:

15 <hr />

16 <img src="linux.png" />

抓包查看:

四、实现Nginx的日志切割

Nginx日志:

ls -l /usr/local/nginx/logs/

总用量 12

-rw-r--r-- 1 root root 3584 3月  31 10:02 access.log #访问日志

-rw-r--r-- 1 root root 1575 3月  31 10:02 error.log #错误日志

-rw-r--r-- 1 root root    5 3月  31 09:27 nginx.pid

编写日志切割脚本:

vim /opt/cut_nginx_log.sh

配置如下:

chmod +x /opt/cut_nginx_log.sh   授予执行权限

crontab -e

配置如下:

0 0 * * * /opt/cut_nginx_log.sh

/opt/cut_nginx_log.sh   执行脚本

ls /usr/local/nginx/logs/backup/

killall -9 nginx

rm -rf /usr/local/nginx/logs/nginx.pid

/opt/cut_nginx_log.sh

tail -1 /var/log/messages

面试题讨论:

说明Nginx的访问日志记录在access.log文件中。

如果将access.log重命名为a.log时,新产生的日志写到哪儿?为什么?

答案:日志将会写入到a.log文件中,因为重命名后文件的Inode没有变化,文件系统是根据Inode查找文件的。

如果此时将Nginx服务重启后,新产生的日志写到哪儿?为什么?

答案:日志将会写入到新的access.log文件中,因为重启时会加载Nginx的配置文件,配置文件中是通过文件名指定日志的,所以会创建新的日志。

五、配置Nginx实现连接超时

保持连接(长连接)

 在进行HTTP连接前要先建立TCP连接(TCP 3次握手),再建立HTTP连接,当HTTP资源请求结束后,会断开HTTP连接,再断开TCP连接(TCP 4次挥手)。

很多情况下用户访问网站并不是只访问一个资源,可能会打开很多页面,访问很多资源,如果每个资源的访问都这么繁琐,将会造成用户访问慢,服务器压力过大的问题。

 解决如上问题的最好办法是开启网站的保持连接功能。在企业网站中,为了避免同一个客户长时间占用连接,造成服务器资源浪费,可以设置相应的连接超时参数,实现控制连接访问时间。

keepalived_timeout:设置连接保持超时时间,一般可只设置该参数,默认为65秒,可根据网站的情况设置,或者关闭,可在http段、server段、或者location段设置。

client_header_timeout:指定等待客户端发送请求头的超时时间。

client_body_timeout:设置请求体读取超时时间。

注意:若出现超时,会返回408报错

vim /usr/local/nginx/conf/nginx.conf

配置如下:

 34     keepalive_timeout  65;

 35     client_header_timeout 60;

 36     client_body_timeout 60;

killall -HUP nginx  重启nginx

六、更改Nginx工作进程数

在高并发场景,需要启动更多的nginx工作进程以保证快速影响,以处理用户的请求,避免造成阻塞。

修改配置文件的worker_processes参数,一般设置为CPU的核数

grep 'core id' /proc/cpuinfo | uniq | wc -l

vim /usr/local/nginx/conf/nginx.conf

如下培训:

  3 worker_processes  2;

/usr/local/nginx/sbin/nginx

ps aux | grep nginx | grep -v grep

配置CPU亲和性:

默认Nginx的多个进程可能跑在一颗CPU核心上,可以分配不同的进程给不同的CPU核心处理,充分利用硬件多核多CPU。在一台4核物理服务器,可以进行下面的配置,将进程进行分配。

worker_cpu_affinity  0001 0010 0100 1000;

同理:6台服务器就是

worker_cpu_affinity  000001 000010 000100 001000 010000 10000;

七、配置Nginx实现网页压缩功能

  Nginx的ngx_http_gzip_module压缩模块提供了对文件内容压缩的功能,允许nginx服务器将输出内容发送到客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,模块默认已经安装。

vim /usr/local/nginx/conf/nginx.conf

配置如下:

 38     gzip  on; //开启gzip压缩输出

 39     gzip_min_length 1k; //用于设置允许压缩的页面最小字节数

 40     gzip_buffers 4 16k; //表示申请4个单位为16k的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来储存gzip压缩结果

 41     gzip_http_version 1.1; //设置识别http协议版本,默认是1.1

 42     gzip_comp_level 2; //gzip压缩比,1-9等级

 43 gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss; //压缩类型,是就对哪些网页文档启用压缩功能

 44     #gzip_vary  on;   //选项可以让前端的缓存服务器经过gzip压缩的页面

killall -HUP nginx   重启测试

人间打气筒(Ada)
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
邹老师运维系列教程之二-Nginx网站架构实战视频
07-23
教程名称:誉邹老师运维系列教程之二-Nginx网站架构实战视频课程目录:【】01-Nginx架构及安装【】02-Nginx虚拟主机及相关配置【】03-Nginx地址重写【】04-Nginx日志管理和限速【】05-Nginx反向代理和负载均衡 ...
Linux运维-03-服务器的高可用-12nginx服务检测脚本控制
11-01
Linux运维-03--服务器的高可用-12nginx服务检测脚本控制keepalived状态.mp4
集成了nginx-http-flv-module 1.2.9模块的64位nginx-1.21.4程序
11-04
采用官网下载的nginx 1.21.4、nginx-http-flv-module 1.2.9、zlib-1.2.11、openssl-1.1.1l、pcre-8.45编译而成的64位nginx程序。
nginx-http-flv-module(windows & nginx1.19.3 & http-flv-module1.2.7).zip
10-10
1、最新版 nginx-http-flv-module(windows可执行程序,含nginx 1.19.3,http-flv-module:1.2.7) 2、内含说明文档,请下载查看。 3、请勿放置于中文路径下,否则无法启动
nginx-proxy:使用docker-gen的Docker容器的自动nginx代理
02-02
nginx-proxy设置了一个运行nginx和的容器。 docker-gen为nginx生成反向代理配置,并在容器启动和停止时重新加载nginx。 请参阅了解为什么要使用它。用法要运行它: $ docker run -d -p 80:80 -v /var/run/docker....
【kettle001】访问国产达梦数据库并处理数据至execl文件
kngines
04-22 433
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
lua编译器介绍
笨死的猪Blog
04-27 103
Lua编译器是将Lua语言编写的源代码转换为可执行代码的工具。
Linux网络—DNS域名解析服务
weixin_62922268的博客
04-25 954
1)缓存域名服务器2)主域名服务器3)从域名服务器客户端会先将DNS解析请求发送给本地缓存域名服务器,如果本地缓存域名服务器有相关记录则直接返回给客户端,否则会将DNS解析请求发送给根域名服务器进行解析,根域名服务器会根据域名的顶级域再将DNS解析请求委派给相对应的顶级域名服务器进行解析,顶级域名服务器也会根据域名的二级域或子域再将DNS解析请求委派给相对应的二级域名或子域名服务器进行解析,最后子域名服务器会根据域名的主机名解析出相对应的IP地址,再返回给本地缓存域名服务器和客户端。
云贝餐饮连锁V2-2.9.9源码
最新发布
weixin_65864514的博客
04-27 104
网站环境:Nginx 1.15.10 + MySQL 5.6.46 + PHP-7.1-7.3。云贝餐饮连锁V2独立版、版本更新至2.9.9,小程序、公众号版本,全插件,公众号小程序端,常见插件:fileinfo;运行环境:宝塔 Linux。系统环境:CentOS、
Docker和虚拟机的区别
小张的博客
04-26 368
Docker和虚拟机(VM)在技术架构、资源利用率、启动速度、应用场景和管理监控等方面存在显著差异。以下是Docker和虚拟机的主要区别:12。
Docker容器化技术:概述与安装
十七拾的博客
04-23 882
本文主要介绍云基础知识、容器基础知识、Docker基础概述与安装等,希望对你有帮助!
【开发问题记录】启动某个服务时请求失败(docker-componse创建容器时IP参数不正确)
宁可枝头抱香死,何曾吹落北风中。
04-21 470
因为我是拉取的别人的项目,所以需要在本地配置项目需要的环境,在本地虚拟机中需要使用docker 进行服务的部署,我当时的流程是这样的,将必要的软件安装好后(就是docker和docker-componse),然后上传docker-compose.yml文件,里面有容器的启动命令,包含了各种参数的配置,如下,当时我不知道seata的配置中还有ip的配置,这个ip跟我的虚拟机的ip并不一致,所以就导致了后面的问题。我在启动某个服务的时候,这个服务一直请求失败,我通过查看它的运行日志找到了问题所在。
Docker 网络与资源控制
fhjtg的博客
04-26 847
直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错#可以先自定义网络,再使用指定IP运行dockerdocker1为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。mynet 为执行 docker network list 命令时,显示的bridge网络模式名称。
传统行业生产型企业虚拟化存储典型应用
smart1998的博客
04-26 129
承载财务、调度、采供等业务应用系统,将数据保存在Infortrend GSe系列存储上,单台容量可达1.5 PB,有效缓解数据空间需求。虚拟机集中使用FC SAN,为业务应用提供高效读写性能,600K IOPS,带宽性能8GB/s的读、5.8GB/s的写,实现企业运作效率的提升。在 SAN 的环境下提供丰富的通道接口,包括16Gb/s FC、32Gb/s FC、1Gb/s iSCSI、10Gb/s iSCSI、25 Gb/s iSCSI、12Gb/s SAS,在网络环境中保证高速稳定的数据分享与传输质量。
docker容器练习
WWNY666的博客
04-27 465
查看刚创建的 alpine-net 桥接网络,得到网段地址。#使用 alpine 镜像,运行 4 个容器,alpine1-4,alpine3 使用默认桥接网络,1、2、4 使用创建的 alpine-net 网络#再将 alpine4 连接到默认桥接网络#查看所有容器状态#查看创建的 alpine-net 网络状态和默认的 bridge 网络的详细信息"IPAM": {},},},},},"IPAM": {},},},},},
解决VMware启动异常
明静致远
04-27 45
(4)通过【控制面板-程序-程序和功能】,找到VMware workstation 右键选择【更改】 ,弹出VMware弹框,点击【下一步】按钮,选择【修复】按钮开始修复VMware程序,修复完成后重启电脑即可。(3)在服务里面找到“vmware workstation service”,右键选择【属性】,在弹出框中选择“启动类型”为【自动(延迟启动)】,“服务状态”选择【启动】按钮,点击【应用】按钮再点击【确认】按钮。请确保您有权运行该程序、访问该程序使用的所有目录以及访问所有临时文件目录。
开发板通过网线连接电脑而上网
m0_46268825的博客
04-24 672
关闭win11的防火墙(之前不关也可以的,很奇怪)原理也不懂,或许有其他方法也不清楚,但只要在设置利用netplan来则可解决所有。
zabbix监控内容
sea_bunch的博客
04-23 180
一、自定义监控内容 1.1在客户端自定义key 1.1.1查看当前用户 1.1.2创建zabbix监控项配置文件,启动服务 1.1.3服务端验证测试 1.2在Web界面创建自定义监控模板 1.2.1创建模板 1.2.2创建应用集(用于管理监控项) 1.2.3创建监控项 1.2.4创建触发器 1.2.5创建图形
远程访问及控制
2401_83786744的博客
04-26 222
SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。SSH协议通过加密技术确保通信的安全性,包括数据的机密性、完整性和认证。成功登录后,你可以在远程主机上执行命令或管理文件,就像在本地计算机上一样。SSH客户端<--------------------------------------->SSH服务端。使用SSH客户端可以让你安全地连接到远程主机并执行命令,管理文件等。输入正确的密码后,按下回车键。SSH是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。
nginx-1.7.11.3-gryphon 与nginx有什么区别
12-02
nginx-1.7.11.3-gryphon 与nginx其实是同一个软件的不同版本。nginx是一个开源的高性能的web服务器和反向代理服务器,常用于构建高性能的网站。而nginx-1.7.11.3-gryphon是nginx的一个特定版本号,通常这些版本号中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间打气筒(Ada)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值