Nginx优化和防盗链

Nginx的常用模块

http_stub_status_module	状态统计访问模块
http_gzip_module	网页压缩模块
http_rewrite_module	URL地址重写模块
http_ssl_module	https安全加密模块
http_auth_basic_module	网页用户认证模块
http_fastcgi_module	fastcgi转发模块
http_image_filter_module	图片处理模块
http_mp4/flv_module	mp4/flv视频格式模块
http_limit_req_module	限制请求数模块
http_limit_conn_module	限制连接数模块
http_proxy_module	代理转发模块
http_upstream_*_module	负载均衡模块
stream	四层代理转发模块

Nginx应用配置文件优化（在nginx.conf配置文件修改）

（1）页面缓存

expires 缓存时间;

（2）连接保持超时

keepalive_timeout 服务端超时时间 客户端超时时间;

（3）设置工作进程数

worker_processes （与服务端的CPU数量保持一样或设置auto自动）

（4）设置工作进程连接数

worker_connections 
worker_rlimit_nofile

（5）工作进程静态绑核

worker_cpu_affinity

（6）开启网页压缩

gzip on;

图片大小压缩需要：使用yum install -y gd-devel 安装依赖模块所需依赖包，并编译安装

（7）IO多路复用

use epoll;

（8）开启高效文件传输模式

sendfile on;  
tcp_nopush on;  
tcp_nodelay on;

（9）连接优化

multi_accept on;         #一次性接受所有连接 
accept_mutex on;         #以串行方式接入新连接，防止惊群现象

nginx安全优化（在nginx.conf配置文件修改）

（1）隐藏版本号

方法1）在配置文件 nginx.conf 添加 server_tokens off;(关闭版本号)
方法2）修改源代码文件 nginx.h

（2）设置运行用户/组

user 用户名 组名;

（3）访问控制

deny(拒绝)/allow(放通)

（4）限制请求数

limit_req_zone  
limit_req

（5）限制连接数

limit_conn_zone  
limit_conn

（6）设置防盗链

valid_referers(设置信任的网站，可以正常使用图片)
if ( $invalid_referer )
{
   rewrite               # rewrite地址重写
}              

日志分割

使用shell脚＋crontab周期性计划任务

脚本编写思路如下：

1.使用 test -d 判断是否有专门用于保存日志文件的目录，没有就 mkdir 创建一个目录

2.使用 mv 命令进行分割日志，移动日志文件到专门保存日志的目录中，并且使用 date -d 在文件名后缀添加时间标记

3.使用 kill -USR1 让nginx生成新的日志文件，便于后续的日志记录

4.最后使用 find -mtime 选项查找出超过时间的旧日志文件并进行删除，用来释放磁盘空间

系统内核优化

（1）在/etc/sysctl.conf（内核参数配置文件）中修改

• 用于解决系统存在大量TIME WAIT状态连接的问题

net.ipv4.tcp_syncookies=1        表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1          表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1        表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30      修改MSL值，系统默认的TIMEOUT时间

• 如果连接数本身就很多，可再优化TCP的可用端口范围，进一步提升服务器的并发能力

net.ipv4.tcp_keepalive_time=1200           #当keepalive启用时，TCP发送keepalive探测消息的频率，确认客户端是否断网
net.ipv4.ip_local_port_range=1024 65535    #用于向外连接的端口范围。缺省情况下很小，为32768 60999
net.ipv4.tcp_max_syn_backlog=8192          #SYN队列长度，默认为1024，加大队列长度为8192，可容纳更多等待连接的网络连接数
net.ipv4.tcp_max_tw_buckets=5000           #表示系统同时保持TIME WAIT的最大数量
net.core.somaxconn=65535                   #一个端口能够监听的最大连接数

• 如果需要IP路由转发

net.ipv4.ip_forward=1

（2）在/etc/security/limits.conf（内核资源限制文件）修改

* 	soft 	noproc			65535         #打开系统进程数
* 	hard 	noproc			65535
* 	soft 	nofile			65535         #进程打开文件数
* 	hard 	nofile			65535