目录
一、隐藏nginx版本号
隐藏Nginx版本号可以避免安全漏洞泄露。
隐藏版本号的方法有两种:
- 修改nginx.conf配置文1件
- 修改源码文件,重新编译安装
1. 方法一:修改配置文件方式
方法一:修改配置文件方式
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; #添加,关闭版本号
......
}
systemctl restart nginx
curl -I http:/20.0.0.111
2.方法二:修改源码文件,重新编译安装
方法二:修改源码文件,重新编译安装
vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION #修改服务器类型
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on;
......
}
systemctl restart nginx
curl -I http://20.0.0.111二、修改nginx用户与组
- Nginx运行时进程需要有用户与组的支持,以实现对网站文件读取时进行访问控制
- Nginx默认使用nobody用户账号与组账号
修改方法:
- 编译安装时指定用户与组
- 修改配置文件指定用户与组
1.编译安装时指定
useradd nginx
groupadd nginx
#创建用户账号与组账号
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx
#指定nginx服务的运行用户与组账号
make && make install #编译安装2.修改nginx.conf配置文件
vim /usr/local/nginx/conf/nginx.conf
......
user nginx nginx #修改用户为nginx,组为nginx
systemctl restart nginx三、配置Nginx网页缓存时间
当Nginx将网页数据返回给客户端后,可设置缓存的时间,以便之后进行相同内容的请求时直接返回,避免重复请求,加快访问速度。一般针对静态网页进行设置, 对动态网页不设置缓存时间。
设置方法:
修改nginx.conf配置文件,在http段、或server段、或location段加入特定内容的过期参数
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location / {
root html;
index index.html index.htm;
}
location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { #加入新的 location,以图片作为缓存对象
root html;
expires 1d; #指定缓存时间,1天
}
......
}
}
systemctl restart nginx四、实现Nginx的日志切割
随着Nginx运行时间的增加,日志也会随即增加。为了方便掌握Nginx的运行状态,需要时刻关注Nginx日志文件。
然而,太大的日志文件对监控是一个大灾难,加大了监控的难度以及占用服务器的磁盘空间。所以,就需要定期的进行日志文件的切割。
Nginx自身不具备日志分割处理的功能,但可以通过Nginx信号控制功能的脚本实现日志的自动切割。比如通过Linux的计划任务周期性的进行日志切割
#!/bin/bash
# Filename: fenge.sh
day=$(date -d "-1 day" "+%Y%m%d") #前一天的时间
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path #创建日志文件目录
mv /usr/local/nginx/logs/access.log ${logs_path}/xy101.com-access.log-$day #移动并重命名日志文件
kill -USR1 $(cat $pid_path) #重建新日志文件
find $logs_path -mtime +30 -exec rm -rf {} \; #删除30天之前的日志文件五、配置Nginx实现连接超时
为了避免同一客户端长时间占用连接,从而造成资源浪费,可以设置相应的连接超时参数,实现控制连接访问时间。
HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。
vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 60 50; #设置连接保持超时时间
keepalive_requests 100; #设置允许通过该连接发送的最大请求数
client_header_timeout 15; #指定等待客户端发送请求头的超时时间
client_body_timeout 15; #设置请求体读超时时间
......
}
systemctl restart nginx六、更改Nginx运行进程数
在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞。
cat /proc/cpuinfo | grep -c "physical id" #查看cpu核数
ps aux | grep nginx #查看nginx主进程中包含几个子进程
vim /usr/local/nginx/conf/nginx.conf
......
worker_processes 2; #修改为cpu的总核数,一般情况不超过8个
worker_cpu_affinity 01 10; #设置每个进程由不同cpu处理,进程数配为4时0001 0010 0100 1000
#将每个worker子进程与特定CPU物理核心绑定,提升cpu利用率,进而提升性能。避免同一个worker子进程在不同的CPU核心上切换或者多个进程跑在一个CPU上,缓存失效,降低性能。
systemctl restart nginx七、配置Nginx实现网页压缩功能
为了节约网站带宽,提升用户的访问体验,可以配置Nginx服务器将输出内容在发送客户端之前进行压缩。
Nginx的ngx_http_gzip_module压缩模块提供了对文件内容压缩的功能。
可以在配置文件中加入相应的压缩功能参数对压缩性能进行优化。
vim /usr/local/nginx/conf/nginx.conf
http {
......
gzip on; #取消注释,开启gzip压缩功能
gzip_min_length 1k; #最小压缩文件大小,小于设置值的文件将不会压缩
gzip_buffers 4 16k; #压缩缓冲区,这里设置以16k为单位,按照原始数据大小以16k为单位的4倍申请内存
gzip_http_version 1.1; #用于识别HTTP协议版本
gzip_comp_level 5; #压缩比率,压缩比例由低到高从1到9,默认为1,在生产环境中一般设置该参数的值在3~5之间,最好不要超过5
gzip_vary on; #支持前端缓存服务器存储压缩页面
gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip(因为ie低版本不支持)
gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json; #压缩类型,表示哪些网页文档启用压缩功能
......
}八、实现网页图片的大小压缩
http_image_fillter_module是Nginx提供的集成图片处理模块,可以用于实时缩放、旋转图片,验证图片有效性以及获取图片宽高以及图片类型信息。
yum install -y gd-devel #yum在线源安装gd-devel,http_image_filter_module模块需要依赖gd-devel的支持
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_image_filter_module
make && make install
vim /usr/local/nginx/conf/nginx.conf
......
http {
....
gzip on;
gzip_types text/plain .... image/jpeg image/gif image/png; #将图片类型文件压缩加入gzip
....
server {
....
location ~* \.(jpg|gif|png)$ {
image_filter resize 200 200; #按等比例缩小图像的宽或高至指定大小。如果只想设置一个维度,另一维可以指定为:“-”
} #(如果长>宽就以长为标准,宽为比例;如果长<宽就以宽为标准,长为比例)
}
}
cd /usr/local/nginx/html #先将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
......
<img src="game.jpg"/> #网页中插入图片
</body>
</html>
systemctl restart nginx九、配置Nginx实现防盗链
在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用。
Nginx防盗链功能也非常强大。默认情况下,只需要进行简单的配置,即可实现防盗链处理。
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location ~* \.(jpg|gif|swf)$ { #匹配以.jpg、.gif、.swf结尾的文件
valid_referers none blocked *.bi.com; #设置信任的网站
if ( $invalid_referer ) {
rewrite ^/ http://www.bi01.com/error.png; #设置重写返回值
#或 return 403;
}
}
......
}
}- ~* \.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件
- valid_referers :设置信任的网站,可以正常使用图片
- none:表示无Referer值的情况。直接访问url,而不使用任何网站或链接的跳转,Referer值是空的。
- blocked:表示Referer值被防火墙进行伪装。
- *.bi01.com:表示允许请求访问资源的主机名,可以使用通配符"*"号。
这段配置的作用是检查HTTP请求头中的Referer字段,如果请求不是从指定的主机名或IP地址发起的,则拒绝该请求,即进行 write 地址重写或返回 403 错误页面。
扫一扫
876
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
