Nginx的优化和防盗链

隐藏版本号

在http添加一行

server_tokens off

关闭版本号

修改用户和所在组

user nginx nginx

表示进程master会由root创建，子进程会由nginx用户来创建。用户 所在组

设置页面的缓存时间（主要是针对动态页面，图片的缓存）

location ~ \ . (gif|jpg|png)${

​    root  html

设置图片的缓存时间

   expires  ld

}

日志分割：

分割前一天的日志

day=$（date -d "-1 day"  "+%Y%m%d"）

先指定号日期，显示前一天的时间

logs_path="/usr/local/nginx/logs/"

指定pid文件的位置

pid_path="/usr/local/nginx/run/nginx.pid"

mv /usr/local/nginx/logs/access.log  ${logs_path}access-${day}.log

mv /usr/local/nginx/logs/error.log   ${logs_path}error-${day}.log

kill -USR1 $(cat ${pid_path})

重新创建一个新的日志，日志分割

find ${logs_psth} -mtime +30 -exec rm -rf {} \;

清理30天以上的日志

面试题

更改进程数以及设置cpu绑定。

worker_processes 2

如果进程有2个，这里和cpu挂钩，不绑定cpu的话，进程可能会在两个cpu之间来回切换使用，浪费资源

绑定cpu 。避免进程切换

worker_cpu_affinity 01 10 100 1000 或者0001 0010 0100 1000 来表示

连接超时：

keepalive_timeout

请求完成之后的连接保持时间 一般是60-120秒

client_header_timeout 80;

客户端发送一个完整的请求头的超时时间，80秒之内没有发送一个完整的请求头，nginx返回码408（requst time out） 请求超时

client_body_timeout 80;

客户端和服务端建立连接之后发送请求体的超时时间，客户端在80秒内没有发送任何内容，nginx同样返回码408。

配置页面压缩

gzip on；

gzip_min_length 1k;

最小的压缩文件，小于或者等于1k的文件就不压缩了

gzip_buffers 4 64k;\

设置压缩的缓冲区，缓冲区有4个，每个缓冲区的大小64k。

gzip_comp_level 6; (有点用处)

压缩比列 1-9 ，数字越小，压缩的比率越小，速度越快，数字越大，压缩的比率就越高，速度越慢

gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json; 支持压缩的类型

回收TIME_WAIT:

time_wait是tcp连接当中的一种状态，出现在四次挥手之后。

处于一种等待状态，双方不再发送数据。

time_wait所占用的系统资源很小，数量比较小，完全可以忽略不计

但是太多了，就有一定的影响

连接断开（四次挥手之后）之后，尽快把time_wait状态的连接进行回收

netstat -n | awk '/^tcp/ {++s[$NF]} END {for (a in s) print a s[a]}

net.ipv4.tcp_syncookies=1

防止tcp的半连接队列溢出。可以达到服务端在收到tcp的syn（同步）的请求时能够快速响应

net.ipv4.tcp_tw_reuse=1

允许复用time_wait状态的连接，新的连接可以直接使用time_wait状态的端口，可以提高连接的重用率。

net.ipv4.tcp_tw_recycle=1

这个是老版本的配置，时间戳戳记进行连接复用。

net,ipv4.tcp_fin_timeout=30

控制time_wait状态的持续时间，持续30秒，不是立即把time_wait的连接收回。而是尽可能的把time_wait状态进行回收，没用的，空闲的，进行回收。

---

nginx优化总结：

隐藏版本号

日志分割

cpu绑定

连接超时

页面压缩

页面缓存时间

time_wait状态的回收

---

优化防盗链：

location ~* \ .(jpg|gif|png)$ {

valid_referers none blocked * .xy102.com xy102.com

允许xy102.com的网址访问图片。

if（ $invalid_referer ) {

rewrite ^/ http://www.xy102.com/error.png;

如果不是xy102.com访问，一律跳转到盗链的提示。

}

}

网页准备:
Web源主机（192.168.124.10）配置：
cd /usr/local/nginx/html
将game.jpg、error.png文件传到/usr/local/nginx/html目录下
vim index.html
< img src="game.jpg"/>
</body>
</html>

echo "192.168.124.10 www.xy102.com" >> /etc/hosts 
echo "192.168.124.20 www.xy103.com" >> /etc/hosts 
 

盗链网站主机（192.168.124.20）：
cd /usr/local/nginx/html
vim index.html
< img src="http://www.xy102.com/game.jpg"/>
</body>
</html>

echo "192.168.124.10 www.xy102.com" >> /etc/hosts 
echo "192.168.124.20 www.xy103.com" >> /etc/hosts 

在盗图网站主机上进行浏览器验证
http://www.xy103.com