一、配置Nginx隐藏版本号
- 隐藏Nginx版本号,避免安全漏洞泄露
- Nginx隐藏版本号的方法
修改配置文件法
修改源码法
-
修改配置文件法
将Nginx配置文件中server_tokens选项的值设置为off
vim nginx.conf
...
server_tokens off; #关闭版本号
...
nginx -t
systemctl reload nginx.service
重启服务,访问网站使用curl -l命令检测
systemctl restart ngnix
curl -l ...-
修改源代码
cp nginx.h nginx.h_bak #修改配置文件前做备份
cd /opt/nginx-1.26.0/
make -j 2 && make install #重新编译安装
systemctl restart nginx
-
模块法
- headers-more-nginx-module-0.34.tar.gz 插件包,解压到一个目录,编译安装 nginx, ./configure --add-module='模块路径' && make && make install
- 修改 nginx.conf 文件,在 http 配置块加 more_clear_headers '响应头字段';
- 即可去除 nginx 响应头任何想去除的字段
二、修改Nginx用户与组
- Nginx运行时进程需要有用户与组的支持,以实现对网站文件读取时进行访问控制
- Nginx默认使用nobody用户账号与组账号
- 修改的方法
编译安装时指定用户与组
修改该配置文件指定用户与组
-
编译安装时指定
创建用户账号与组账号,如nginx
编译安装时--user与--group指定Nginx服务的运行用户与组账号
./configure\
-prefix=/usr/local/nginx\
--user=nginx\
--group=nginx\
...
-
修改配置文件法指定
- 新建用户账号,如Nginx
- 修改主配置文件user选项,指定用户账号与组账号
- 重启nginx服务,使配置生效
- 使用ps aux命令查看nginx的进程信息,验证运行用户
vim nginx.conf
...
user nginx nginx;
...
systemctl restart nginx #生产环境中使用reload
ps au | grep nginx
三、配置Nginx网页缓存时间
- 当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
- 一般针对静态网页设置,对动态网页不设置缓存时间
-
配置方法
修改配置文件,在http段、或者server段、或者location段加入对特定内容的过期参数
#修改Nginx的配置文件,在location段加入expires参数
...
expires 时间;
四、实现Nginx的日志切割
- 随着Nginx运行时间增加,日志也会增加。为了方便掌握Nginx运行状态,需要时刻关注Nginx日志文件
- 太大的日志文件对监控是一个大灾难
定期进行日志文件的切割
- Nginx自身不具备日志分割处理的功能,但可以通过Nginx信号控制功能的脚本实现日志的自动切割
- 通过Linux的计划任务周期性地进行日志切割
#!/bin/bash
#this is used for cutting nginx log files
YESTERDAY=$(date -d "-1 day" "+%Y%m%d")
LOGPATH=/var/log/nginx
NGINX_HOME=/usr/local/nginx.pid
PIDPATH=$NGINX_HOME/logs/ngix.pid
#使用test -d判断专门保存日志的目录是否存在,如果不存在则创建目录
test -d $LOGPATH || mkdir -p $LOGPATH
#使用mv命令进行日志分割,移动日志文件到专门保存日志的目录里,并在文件名后缀添加时间标记
mv $NGINX_HOME/logs/access.log $LOGPATH/access.log_$YESTERDAY
mv $NGINX_HOME/logs/error.log $LOGPATH/error.log_$YESTERDAY
#使用kill -USR1 使nginx生成新的日志文件,用于后续的日志记录
kill -USR1 $(cat $PIDPATH)
#使用find -mtime 选项查找出超过N天以前的旧日志文件并删除,用来释放磁盘空间
find $LOGPATH -mtime +90 -delete
crontab -e
0 0 * * * 绝对路径下的脚本文件
#保证crond服务开启
五、配置Nginx实现连接超时
- 为避免统一客户端长时间占用连接,造成资源浪费,可设置相应的连接超时参数,实现控制连接访问时间
- 超时参数
Keepalive_timeout 服务端参数 客户端参数 #设置连接保持超时时间
#指定KeepAlive的超时时间(timeout)。指定一个长连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接;第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头
keepalive_requests #设置一个长连接请求数
Client_header_timeout #指定等待客户端发送请求头的超时时间
#客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)
Client_body_timeout #设置请求体读超时时间
#指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)
六、更改Nginx运行进程数
- 在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞
- 更改进程数的配置方法
修改配置文件,修改进程配置参数
- 修改配置文件的worker_processes参数
一般设为CPU个数或核数
在高并发情况下可设置为CPU个数或者核数的2倍
- 增加进程数,可减少了系统的开销,提升了服务速度
- 使用ps aux查看运行进程数的变化情况
- 默认情况下,Nginx的多个进程可能跑在一个CPU上,可以分配不同的进程给不同的CPU处理,充分利用硬件多核CPU
- 在一台4核物理服务器,进行配置,将进程进行分配
vim nginx.conf
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000; #二进制代表0号、1号、2号、3号CPU
九、配置Nginx实现网页压缩功能
- Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
- 允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装
- 可在配置文件中加入相应的压缩功能参数对压缩性能进行优化
-
压缩功能参数
#生产环境建议直接复制避免输入错误需要多次排查
gzip on; #取消注释,开启gzip压缩功能
gzip_min_length 1k; #最小压缩文件大小,小于设置值的文件将不会压缩
gzip_buffers 4 16k; #压缩缓冲区,这里设置以16k为单位,按照原始数据大小以16k为单位的4倍申请内存
gzip_http_version 1.1; #用于识别HTTP协议版本
gzip_comp_level 5; #压缩比率,压缩比例由低到高从1到9,默认为1,在生产环境中一般设置该参数的值在3~5之间,最好不要超过5
gzip_vary on; #支持前端缓存服务器存储压缩页面
gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip(因为ie低版本不支持)
gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json; #压缩类型,表示哪些网页文档启用压缩功能
#实现网页图片的大小压缩
http_image_filter_module是Nginx提供的集成图片处理模块,可以用于实时缩放图片,旋转图片,验证图片有效性以及获取图片宽高以及图片类型信息
cd /etc/yum.repos.d/
mv repo.bak/* ./
mv local.repo repo.bak/ #本地源没有包,使用在线源
yum install -y gd-devel #yum在线源安装gd-devel,http_image_filter_module模块需要依赖gd-devel的支持
cd /opt/nginx-1.26.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_image_filter_module
make && make install
vim /usr/local/nginx/conf/nginx.conf
http {
....
gzip on;
gzip_types text/plain .... image/jpeg image/gif image/png; #将图片类型文件压缩加入gzip
....
server {
....
location ~* \.(jpg|gif|png)$ {
image_filter resize 200 200; #按等比例缩小图像的宽或高至指定大小。如果只想设置一个维度,另一维可以指定为:“-”
} #(如果长>宽就以长为标准,宽为比例;如果长<宽就以宽为标准,长为比例)
}
}十、配置Nginx实现防盗链
- 在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用
- Nginx防盗链功能非常强大。默认情况下,只需要进行简单的配置,即可实现防盗链处理
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location ~ \.(jpg|jpeg|gif|swf)$ {
valid_referers none blocked *.xy101.com xy101.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.xy101.com/y.png;
#return 403;
}
}
......
}
}
#~ \.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.jpeg 或.gif 或.swf 结尾的文件;
#valid_referers :设置信任的网站,可以正常使用图片;
#none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的)
#blocked:允许不是http://开头的,不带协议的请求访问资源;
#*.xy101.com:只允许来自指定域名的请求访问资源,
#if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面-
示例
准备两台安装好nginx的虚拟机
systemctl stop firewalld
setenforce 0
网站配置如下
vim /usr/local/nginx/conf/nginx.conf
vim /usr/local/nginx/conf/nginx.conf
在主机hosts配置文件中添加相应的地址
对应的访问网页
现原网页图片被其它网站盗用,在/usr/local/nginx/conf/nginx.conf中做以下配置
nginx -t
systemctl restart nginx清空浏览器缓存并再次访问
盗用网站图片已变为其他
十一、Nginx优化总结
-
nginx应用配置文件的优化
-
nginx的性能优化
开启网页压缩 gzip on;
页面缓存 expires 缓存时间;
连接保持超时 keepalive_timeout 服务端超时时间 客户端超时时间;
设置工作进程数 work_processes 与服务器CPU数量相同或auto
设置工作进程连接数 worker_connections worker_rlimit_nofile
工作进程静态绑核 worker_cpu_affinity
开启高效文件传输模式 sendfile on; tcp_nopush on; tcp_nodelay on;
IO多路复用 use epoll;
连接优化 multi_accept on;(一个进程同时接受多个网络连接) accept_mutex on;(以串行方式接入新连接,防止惊群现象发生)-
nginx的安全优化
隐藏版本号 server_tokens off; 修改源代码 nginx.h
防盗链 valid_referers if ($invalid_referer) {rewrite ....} rewrite地址重写
访问控制 deny/allow
设置运行用户/组 user 用户名 组名;
限制请求数 limit_req_zone limit_req
限制连接数 limit_conn_zone limit_conn
日志分割 shell脚本 + crontab-
系统内核优化
-
/etc/sysctl.conf 内核参数配置文件
#用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1 表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30 修改MSL值,系统默认的TIMEOUT时间#如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
net.ipv4.tcp_keepalive_time=1200 #当keepalive启用时,TCP发送keepalive探测消息的频率,确认客户端是否断网
net.ipv4.ip_local_port_range=1024 65535 #用于向外连接的端口范围。缺省情况下很小,为32768 60999
net.ipv4.tcp_max_syn_backlog=8192 #SYN队列长度,默认为1024,加大队列长度为8192,可容纳更多等待连接的网络连接数
net.ipv4.tcp_max_tw_buckets=5000 #表示系统同时保持TIME WAIT的最大数量
net.core.somaxconn=65535 #一个端口能够监听的最大连接数
#如果需要IP路由转发
net.ipv4.ip_forward=1-
/etc/security/limits.conf 内核资源限制文件
* soft noproc 65535 打开系统进程数
* hard noproc 65535
* soft nofile 65535 进程打开文件数
* hard nofile 65535
十二、nginx模块
vim /opt/nginx-1.26.0/auto/optionshttp_stub_status_module 访问状态统计模块
http_gzip_module 网页压缩模块
http_rewrite_module URL地址重写模块
http_ssl_module https安全加密模块
http_auth_basic_module 网页用户认证模块
http_fastcgi_module fastcgi转发模块
http_image_filter_module 图片处理模块
http_mp4/flv_module mp4/flv视频格式模块
http_limit_req_module 限制请求数模块
http_limit_conn_module 限制连接数模块
http_proxy_module 代理转发模块
http_upstream_*_module 负载均衡模块
stream 四层代理转发模块
扫一扫
7937
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
