Nginx第二章：Nginx优化与配置防盗链

一、优化服务器安全性

1.隐藏/查看版本号

隐藏版本号：避免安全漏洞泄漏，通过http段内添加server_tokens off或修改源码

查看版本号：可以使用Fidder工具抓取数据包，查看Nginx版本，也可以在centOS中使用命令curl -I http://192.168.7.10显示响应报文首部信息

#查看信息（版本号等）

curl  -I  http://192.168.7.10

隐藏版本号1

#查看nginx语法，查看配置文件路径

#修改配置文件

vim  /apps/nginx/conf/nginx.conf

#检查语法问题

nginx -t

#重启服务

systemctl restart nginx

#查看版本号是否被隐藏

curl -I  http://192.168.7.10

2.修改用户与组

需有用户与组的支持，实现对网站文件读取时进行访问控制，编译时指定用户与组（即修改./configure后指定）或修改配置文件

主进程由root 创建，子进程由nginx 创建，nginx有两种进程有master进程 与worker进程

#修改配置文件

vim /usr/local/nginx/conf/nginx.conf

#重启并查看

systemctl restart nginx

ps aux |grep nginx

3.设置缓存时间

当网页数据返回给客户端后，可针对静态网页设置缓存时间，在配置文件内的http段内server段添加location，更改字段expires 1d来实现：避免重复请求，加快访问速度

#修改主配置文件

vim  /apps/nginx/conf/nginx.conf

#检查语法，重启服务

nginx  -t

systemctl restart nginx.service

#导入图片并对网页文件进行编辑

cd /apps/nginx/html

#编辑主页文件

vim index.html

#插入此行

<img src="1.jpg"/>

#查看是否有语法错误

nginx -t

#重启服务

systemctl restart nginx.service

#在网页中查看服务

192.168.7.20

访问成功

4.日志分割脚本

进行日志分割（USR1），掌握运行状态，可以通过写脚本完成，使用脚本将很多日志进行切割，可以增加工作效率，方便管理

#编写日志分割脚本
vim /opt/rzfg.sh

#!/bin/bash
d=$(date -d "-1 day" "+%Y%m%d")
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-$d
kill -USR1 $(cat $pid_path)
find $logs_path -mtime +30 -exec rm -rf {} \;
#find $logs_path -mtime +30 |xargs rm -rf

#######################注释###############################
#!/bin/bash
#显示前一天的时间
DAY=$(date -d "-1 day" +%Y%m%d)
#定义日志存放目录的路径                            
LOG_PATH="/var/log/nginx"
#定义Nginx PID文件路径
PID_PATH="/usr/local/nginx/logs/nginx.pid"
#判断日志存放目录是否存在，如果不存在则创建日志文件目录
[ -d $LOG_PATH ] || mkdir -p $LOG_PATH                         
#移动并重命名日志文件
mv /usr/local/nginx/logs/access.log ${LOG_PATH}/my.com-access.log-$DAY
#在Nginx目录下重建新日志文件
kill -USR1 $(cat $PID_PATH)                                        
#删除30天之前的日志文件
find $LOG_PATH -mtime +30 -exec rm -rf {} \;                    
#find $LOG_PATH -mtime +30 | xargs rm -rf

#赋权
chmod +x /opt/rzfg.sh
#执行脚本
/opt/rzfg.sh
#查看日志是否生成
ls /var/log/nginx
ls/usr/local/nginx/logs/access.log 
#定时执行日志分割
crontab -e
0 1 * * * /opt/fenge.sh

5.设置连接超时控制连接访问时间

HTTP有一个KeepAlive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。

1.keepalive_timeout
指定KeepAlive的超时时间（timeout）。指定每个TCP连接最多可以保持多长时间，服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒，有些浏览器最多只保持 60 秒，所以可以设定为 60 秒。若将它设置为0，就禁止了keepalive 连接。
第二个参数（可选的）指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接，这样服务器就不必去关闭连接了。没有这个参数，Nginx 不会发送 Keep-Alive 响应头。

2.client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header，Nginx 返回 HTTP 408（Request Timed Out）。

3.client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容，Nginx 返回 HTTP 408（Request Timed Out）

#修改配置文件

vim /apps/nginx/conf/nginx.conf

重启nginx服务

systemctl restart nginx.service

#在网页中测试

192.168.7.20

6.开启多进程

开启多进程，配置worker_processes auto,在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞

#查看cpu核数

cat /proc/cpuinfo | grep -c "physical id"

#查看nginx主进程中包含几个子进程

ps aux |grep nginx

#修改配置文件

vim  /apps/nginx/conf/nginx.conf

#重启服务

systemctl restart nginx.service

#查看nginx主进程

ps aux |grep nginx

7.配置网页压缩

在配置文件中gzip模块加入相应压缩功能参数，节约网站带宽，提升用户访问体验，Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能。允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装，可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

vim  /apps/nginx/conf/nginx.conf

gzip on;    
   gzip_min_length 1k;   
   gzip_buffers 4 16k;     
   gzip_http_version 1.1;  
   gzip_comp_level 6;     
   gzip_vary on;  
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json; 

                                                              注释

gzip on;                            #取消注释，开启gzip压缩功能
   gzip_min_length 1k;              #最小压缩文件大小
   gzip_buffers 4 16k;              #压缩缓冲区，大小为4个16k缓冲区
   gzip_http_version 1.1;           #压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
   gzip_comp_level 6;               #压缩比率
   gzip_vary on;                    #支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;        #压缩类型，表示哪些网页文档启用压缩功能

#重启nginx服务

systemctl  restart nginx.service

二、配置防盗链

Web源主机（192.168.7.10 www.eva.com）

盗链主机（192.168.7.20 www.es.com）

1.配置web源主机（192.168.7.10 www.eva.com）

#安装nginx服务并配置被盗链图片

cd /apps/nginx/html

#编辑主页文件

vim index.html

#检查和重启服务

nginx -t

systemctl  restart  nginx

#验证

192.168.7.10

2.配置域名映射关系

#修改主机名和IP配置文件

vim  /etc/hosts

192.168.7.10 www.eva.com

#关闭防火墙和selinux并重启服务

systemctl stop firewalld.service

setenforce 0

systemctl restart nginx

#再次验证

curl  www.eva.com

3.配置盗链主机（192.168.7.20 www.es.com）

#安装apache服务并配置盗链主页

yum install httpd -y

#配置盗链主页

vim  /var/www/html/index.html

<html>
<body>
<h1>盗链</h1>
<img src="http://www.eva.com/1.jpg"/>
</body>
</html>

#设置域名映射

vim  /etc/hosts

#重启服务并测试

systemctl stop firewalld.service

setenforce 0

systemctl restart httpd

4.将盗链图片放入web源主机中

#切换到网页目录

cd  /apps/nginx/html

#配置防盗链

vim  /apps/nginx/conf/nginx.conf

location ~* \.(jpg|gif|swf)$ {

                 valid_referers none blocked *.eva.com es.com;

                 if ( $invalid_referer ) {

                  rewrite ^/ http://www.eva.com/2.png;

            }

       }

#检查语法并重启服务

nginx -t

systemctl restart nginx

#验证防盗链是否生效，在盗链主机的浏览器上输入盗链主机的域名