Nginx服务优化与防盗链配置

一.优化Nginx的相关措施

1.优化网页访问速度

（1）在可重启状态下，为避免同一客户端长时间占用连接，造成资源浪费，可以在http段设置连接超时参数keepalived_timeout实现控制连接访问时间

（2）当网页数据返回给客户端后，可针对静态网页设置缓存时间，在配置文件内的http段内server段添加location，更改字段expires 1d来实现：避免重复请求，加快访问速度

（3）配置状态页，用于输出Nginx基本状态信息

（4）在配置文件中gzip模块加入相应压缩功能参数，节约网站带宽，提升用户访问体验

（5）调试worker进程打开的文件个数（提前修改pam认证文件）

（6）提高PHP解析速度，根据服务器内存与负载进行FPM模块参数调整，例如增加dynamic（动态）方式产生fpm进程

（7）开启多进程，配置worker_processes auto

（8）使用nice设置work_priority修改work进程优先级

（9）长连接，一次连接，多次传输

（10）修改events模块

events {
worker_connections 65536;        #设置单个工作进程最大并发连接数
use epoll;                       #使用epoll事件驱动
accept_mutex on;                 #同一时刻一个请求轮流由work进程处理，轮询，防止“惊群”会卡
multi_accept on;                 #每个工作进程同时接受多个网络连接
}

2.优化服务器安全性

（1）隐藏版本号，避免安全漏洞泄露，通过http段内添加server_tokens off 或修改源码

（2）需有用户与组的支持，实现对网站文件读取时进行访问控制，编译时指定用户与组（即修改./configure后指定）或修改配置文件

（3）进行日志分割（USR1），掌握运行状态，可以通过写脚本完成

（4）设置防盗链，防止别人直接从网站引用链接，消耗资源与流量

二.查看和隐藏版本号

1.查看版本号

curl -I http://192.168.79.28
#查看信息（版本号等）

2.隐藏版本号

（1）修改文件配置

#修改配置文件
vim /usr/local/nginx/conf/nginx.conf
------------------------------------------------------
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;					#添加，关闭版本号
 
---------------------------------------------------
 
#检查语法问题
nginx -t 
 
#重启服务
systemctl restart nginx 
 
#查看版本号是否被隐藏
curl -I http://192.168.79.28 

（2）修改源代码，重新编译安装

#修改源码文件
vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" 					#修改版本号 将1.12.0版本改为1.1.1
#define NGINX_VER "IIS" NGINX_VERSION 			#修改服务器类型 将nginx改为IIS
 
#重新配置安装
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module     
make && make install
 
#修改配置文件
vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;           #将版本号打开
 
#验证
systemctl restart nginx   #重启服务
curl -I http://192.168.79.28  #查看服务名称

三.修改用户和组

主进程由root 创建，子进程由nginx 创建，nginx有两种进程有master进程 与worker进程  

#修改配置文件
vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; 		#取消注释，修改用户为 nginx ,组为 nginx
 
#重启并查看
systemctl restart nginx
ps aux | grep nginx

四.设置缓存时间

当网页数据返回给客户端后，可针对静态网页设置缓存时间，在配置文件内的http段内server段添加location，更改字段expires 1d来实现：避免重复请求，加快访问速度

（1）修改主配置文件

#修改配置文件
vim /usr/local/nginx/conf/nginx.conf
        #添加以下内容
        location ~ \.(jpg|png|bmp|gif)$ {
            root   html;
            expires 1d;
        }
​
​
#查看是否有语法错误
nginx -t
​
#重启服务
systemctl restart nginx.service 
​

（2）导入图片并对网页文件进行编辑

准备一张图片 改名为1.jpg
#切换目录
cd /usr/local/nginx/html/
 
#上传图片
rz -E

（3）编辑主页文件

vim index.html 
-------------------------------------------------------------------------
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
 
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>
 
<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>
 
<p><em>Thank you for using nginx.</em></p>
<img src="1.jpg"/>         #插入添加此行

（4）验证

#查看是否有语法错误
nginx -t
​
#重启服务
systemctl restart nginx.service 
​
#在网页中查看服务
192.168.79.28
​
Cahce-Control:max-age=86400 表示缓存时间是 86400 秒。
也就是缓存一天的时间，一天之内浏览器访问这个页面，都是用缓存中的数据，而不需要向 Nginx 服务器重新发出请求，减少了服务器的使用带宽。

五.日志切割脚本

使用脚本将很多日志进行切割，可以增加工作效率，方便管理

#编写日志分割脚本
vim /opt/rzfg.sh
----------------------------------------------
#!/bin/bash
d=$(date -d "-1 day" "+%Y%m%d")
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-$d
kill -USR1 $(cat $pid_path)
find $logs_path -mtime +30 -exec rm -rf {} \;
#find $logs_path -mtime +30 |xargs rm -rf
-------------------------------------------------------
#赋权
chmod +x /opt/rzfg.sh
 
#执行脚本
/opt/rzfg.sh
 
#查看日志是否生成
ls /var/log/nginx
ls/usr/local/nginx/logs/access.log 
 
#定时执行日志分割
crontab -e
0 1 * * * /opt/fenge.sh
 
 
#######################注释###############################
#!/bin/bash
#显示前一天的时间
DAY=$(date -d "-1 day" +%Y%m%d)
#定义日志存放目录的路径							
LOG_PATH="/var/log/nginx"
#定义Nginx PID文件路径
PID_PATH="/usr/local/nginx/logs/nginx.pid"
#判断日志存放目录是否存在，如果不存在则创建日志文件目录
[ -d $LOG_PATH ] || mkdir -p $LOG_PATH 						
#移动并重命名日志文件
mv /usr/local/nginx/logs/access.log ${LOG_PATH}/my.com-access.log-$DAY
#在Nginx目录下重建新日志文件
kill -USR1 $(cat $PID_PATH)										
#删除30天之前的日志文件
find $LOG_PATH -mtime +30 -exec rm -rf {} \;					
#find $LOG_PATH -mtime +30 | xargs rm -rf 

六.设置连接超时控制连接访问时间

HTTP有一个KeepAlive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。

keepalive_timeout
指定KeepAlive的超时时间（timeout）。指定每个TCP连接最多可以保持多长时间，服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒，有些浏览器最多只保持 60 秒，所以可以设定为 60 秒。若将它设置为0，就禁止了keepalive 连接。
第二个参数（可选的）指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接，这样服务器就不必去关闭连接了。没有这个参数，Nginx 不会发送 Keep-Alive 响应头。

client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header，Nginx 返回 HTTP 408（Request Timed Out）。

client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容，Nginx 返回 HTTP 408（Request Timed Out）。

#修改配置文件
vim /usr/local/nginx/conf/nginx.conf
-----------------------------------
http {
...... 
    keepalive_timeout 65 180;
    client_header_timeout 80;
    client_body_timeout 80;
...... 
}
------------------------------------
 
#重启nginx服务
systemctl restart nginx.service
​
#在网页中测试
192.168.227.100

本章优化措施在编译安装情况下请注意使用nginx -V命令查看后更改路径！