目录
注:本章所有内容基于nginx展开,已安装配置好nginx服务,安装时所修改的配置文件可去上一章查看
1. 配置Nginx隐藏版本号
隐藏Nginx版本号,避免安全漏洞泄露
Nginx隐藏版本号的方法
- 修改配置文件法
- 修改源码法
1.1 修改配置文件法
将Nginx配置文件中的server_tokens 选项的值设置为off
重启服务,访问网站使用curl -I 命令检测
[root@server1 ~]# vi /etc/nginx.conf #修改
server_tokens off; #关闭版本号,http内添加为全局
[root@server1 ~]# systemctl stop nginx
[root@server1 ~]# systemctl start nginx
[root@server1 ~]# curl -I http://localhost #检查
1.2 修改源码法
[root@server1 ~]# vi /etc/nginx.conf #添加修改
server_tokens on; #修改为打开显示版本号
[root@server1 ~]# vi nginx-1.12.2/src/core/nginx.h #修改内核打开信息
#修改发行时间,版本号,搭建服务系统
[root@server1 ~]# systemctl stop nginx #先关闭服务
[root@server1 ~]# cd nginx-1.12.2/ #进入主目录
[root@server1 nginx-1.12.2]# make && make install #重新编译安装
[root@server1 nginx-1.12.2]# cd
[root@server1 ~]# systemctl start nginx #开启服务
[root@server1 ~]# curl -I http://localhost #查看
2. 修改Nginx用户和组
Nginx运行时进程需要有用户与组的支持,以实现对网站文件读取时进行访问控制
Nginx默认使用nobody用户账号与组账号
修改的方法
- 编译安装时指定用户与组
- 修改配置文件指定用户与组
2.1 编译安装时指定用户与组
tar解包后
[root@server1 ~]# cd nginx-1.12.2/ #进入主目录
[root@server1 nginx-1.12.2]# ./configure --user=nginx --group=nginx #可指定用户和组
2.2 修改配置文件指定用户与组
新建用户账号,如nginx
修改主配置文件user选项,指定用户账号与组账号
重启nginx服务,使配置生效
使用ps aux命令查看nginx的进程信息,验证运行用户
账号改变效果
[root@server1 ~]# vi /etc/nginx.conf #修改配置里的用户和组
[root@server1 ~]# systemctl stop nginx
[root@server1 ~]# systemctl start nginx
[root@server1 ~]# ps aux | grep nginx #查看nginx用户运行进程
3. 配置Nginx网页缓存时间
当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
一般针对静态网页设置,对动态网页不设置缓存时间
3.1 对目标缓存(局部)
[root@server1 ~]# vi /etc/nginx.conf #添加
location ~ \.(gif|jpg|jpeg|png|bmp|ico)$ { #定位到这种类型的数据就做缓存
root html;
expires 1d;
}
[root@server1 ~]# cd /usr/local/nginx/html/ #进入网页目录添加图片,图片名改个简短的
[root@server1 html]# vi index.html #进入链接图片
<img src="aa.jpg" /> #添加链接
[root@server1 html]# systemctl stop nginx
[root@server1 html]# systemctl start nginx
浏览器访问http://20.0.0.11
软件抓包
3.2 修改配置文件(全局)
修改配置文件,在http段、或者server段、或者location段加入对特定内容的过期参数
[root@server1 html]# vi /etc/nginx.conf
expires 1d; #添加
[root@server1 html]# nginx -t
[root@server1 html]# systemctl stop nginx
[root@server1 html]# systemctl start nginx
浏览器访问http://20.0.0.11
软件抓包
4. 实现Nginx的日志切割
随着Nginx运行时间增加,日志也会增加。为了方便掌握Nginx运行状态,需要时刻关注Nginx日志文件
太大的日志文件对监控是一个大灾难
- 定期进行日志文件的切割
Nginx自身不具备日志分割处理的功能,但可以通过Nginx信号控制功能的脚本实现日志的自动切割
通过Linux的计划任务周期性地进行日志切割
编写脚本进行日志切割的思路
设置时间变量
设置保存日志路径
将目前的日志文件进行重命名
重建新日志文件
删除时间过长的日志文件
设置cron任务,定期执行脚本自动进行日志分割
查看时间日期命令
[root@server1 html]# cd
[root@server1 ~]# date #当前时间
2020年 11月 30日 星期一 17:14:44 CST
[root@server1 ~]# date "+%Y%m%d" #当天日期
20201130
[root@server1 ~]# date -d "-1 day" "+%Y%m%d" #昨天日期
20201129
[root@server1 ~]# date -d "+1 day" "+%Y%m%d" #明天日期
20201201
[root@server1 ~]# date -d "+1 day" "+%Y-%m-%d" #更清晰的方式显示明天日期
202012-01
强力删除命令
-exec命令;xargs命令;
#find找到的内容作为后面rm删除的对象
find . -inum 100663364 -exec rm-i {} \; #find找到的内容作为后面rm删除的对象
find . -inum 100663364 | xargs rm -f
查询文件时间参数
在linux操作系统中,每个文件都有很多的时间参数,其中有三个比较主要,分别是ctime, atime, mtime
modification time (mtime):当修改文件的内容数据的时候,就会更新这个时间,而更改权限或者属性,mtime不会改变,这就是和ctime的区别。
change time (ctime):当修改文件的权限或者属性的时候,就会更新这个时间,ctime并不是create time,更像是change time,只有当更新文件的属性或者权限的时候才会更新这个时间,但是更改内容的话是不会更新这个时间。
accesstime(atime):当使用这个文件的时候就会更新这个时间。
查询命令格式:shat 文件名
4.1 日志分割配置
1.编辑分割日志脚本
[root@server1 ~]# vi fenge.sh
#!/bin/bash
#日志分割
d=$(date -d "-1 day" "+%Y-%m-%d") #定义昨天时间
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir $logs_path #判断logs_path是否存在,不存在则创建
mv /usr/local/nginx/logs/aa.com.access.log ${logs_path}/ab.com.access.log-$d #装机时改为了aa.com.access.log分割为ab.com.access.log带上昨天日期
kill -HUP $(cat $pid_path) #重新加载这个服务
find $logs_path -mtime +60 | xargs rm -rf #超过60天强力删除
[root@server1 ~]# chmod +x fenge.sh
[root@server1 ~]# ./fenge.sh
[root@server1 ~]# cd /var/log/nginx #查看效果
[root@server1 nginx]# ls -lh
#成功分割日志
[root@server1 nginx]# cat ab.com.access.log-2020-11-29 #查看
[root@server1 nginx]# cd /usr/local/nginx/logs/
[root@server1 logs]# ls -lh #重置后又重新生成一个无日志
2.设置周期性计划,每天一点切割日志
[root@server1 logs]# cd
[root@server1 ~]# which sh #查找当前执行脚本命令
/usr/bin/sh
[root@server1 ~]# crontab -e #创建周期性计划,添加
0 1 * * * /usr/bin/sh /root/fenge.sh
[root@server1 ~]# crontab -l #查看任务计划
5. 配置Nginx实现连接超时
为避免同一客户端长时间占用连接,造成资源浪费,可设置相应的连接超时参数,实现控制连接访问时间
超时参数:
Keepalive_timeout—设置连接保持超时时间
Client_header_timeout—指定等待客户端发送请求头的超时时间
Client_body_timeout—设置请求体读超时时间
request如果是post才有请求体,get则没有请求体,直接跟在?后面,用&隔开,请求头header一般用来存放一些cookie, token信息;
Cookie是一个保存在客户机中的简单的文本文件,这个文件与特定的Web 文档关联在一起, 保存了该客户机访问这个Web文档时的信息,当客户机再次访问这个Web文档时这些信息可供该文档使用。由于“Cookie”具有可以保存在客户机上的神奇特性,因此它可以帮助我们实现记录用户个人信息的功能,而这一切都不必使用复杂的CGI等程序。举例来说,一个Web站点可能会为每一个访问者产生一个唯一的ID,然后以Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问Web, 会看到所有保存在硬盘上的Cookie。 在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的Web站点的信息。在这里的每个Cookie 文件都是一个简单而又普通的文本文件。透过文件名,就可以看到是哪个Web站点在机器上放置了Cookie (当然站点信息在文件里也有保存)。
●Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。
●Token的定义: Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
● 使用Token的目的:Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。请求体body一般用来存储post的参数和参数数据
5.1 连接超时配置
[root@server1 ~]# vi /etc/nginx.conf #修改
keepalive_timeout 65 180; #前面参数是服务器主动关闭的超时时间,后面参数是客户机浏览器主动关闭的时间
client_header_timeout 80; #等待客户端发送请求头的超时时间,超时会发送408错误
client_body_timeout 80; #设置客户端发送请求体超时时间
[root@server1 ~]# nginx -t #报错,系统本地打开资源数默认1024,设置超过默认值
[root@server1 ~]# ulimit -n 65535 >> /etc/rc.local #修改默认值
[root@server1 ~]# nginx -t
[root@server1 ~]# systemctl stop nginx
[root@server1 ~]# systemctl start nginx
浏览器访问抓包
6. 更改Nginx运行进程数
在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞
更改进程数的配置方法
- 修改配置文件,修改进程配置参数
修改配置文件的worker_processes参数
- 一般设为CPU的个数或者核数
- 在高并发情况下可设置为CPU个数或者核数的2倍
增加进程数,可减少了系统的开销,提升了服务速度
默认情况,Nginx的多个进程可能跑在一个CPU上, 可以分配不同的进程给不同的CPU处理,充分利用硬件多核多CPU
使用ps aux查看运行进程数的变化情况
6.1 更改Nginx运行进进程数配置
[root@server1 ~]# cat /proc/cpuinfo | grep -c "physical" #查看cpu核数
[root@server1 ~]# vi /etc/nginx.conf #设置工作进程数
worker_processes 8; #修改工作进程数是核数的2倍
worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000; #添加cpu分配情况;号结束
use epoll; #添加支持高并发;号结束
worker_connections 4096; #修改并发连接数4096
[root@server1 ~]# nginx -t
[root@server1 ~]# systemctl stop nginx
[root@server1 ~]# systemctl start nginx
[root@server1 ~]# ps aux | grep nginx #检查进程数
7. 配置Nginx实现网页压缩功能
Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化
压缩功能参数
gzip on:开启gzip压缩输出
gzip_min_length 1k:设置允许压缩的页面最小字节数,超过1k压缩
gzip_buffers 4 16k:申请4个单位为16k的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果
gzip_http_version 1.0:设置识别http协议版本,默认是1.1,目前大部分浏览器已经支持gzip解压,但处理较慢,也比较消耗服务器CPU资源
gzip_comp_level 2:指定gzip压缩比,1压缩比最小,处理速度最快;9压缩比最大,传输速度快,但处理速度最慢,一般我们选中间的
gzip_types text/plain:压缩类型,对哪些网页文档启用压缩功能
gzip_vary on:让前端缓存服务器缓存经过gzip压缩的页面
7.1 网页压缩配置
[root@server1 ~]# vi /etc/nginx.conf
gzip on; #删除注释,开启gzip压缩功能
gzip_min_length 1k; #压缩阈值
gzip_buffers 4 16k; #buffer 大小为4个16k缓冲区大小
gzip_http_version 1.1; #压缩版本
gzip_comp_level 6; #压缩比率,最小为1,处理速度最快,传输速度慢;9最大压缩比,处理速度慢,传输速度快
gzip_types text/plain text/css text/html text/javascript application/x-javascript application/javascript application/json application/x-httpd-php application/xml image/jpg image/jpeg image/png image/gif;
gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件,支持正则,表示ie6以下不启用gzip
gzip_vary on; #选择支持 very header 可以让前端的缓存服务器缓存经过gzip压缩的页面
[root@server1 ~]# nginx -t #42行语法错误
nginx: [warn] duplicate MIME type "text/html" in /usr/local/nginx/conf/nginx.conf:42
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@server1 ~]# vi /etc/nginx.conf #删除text/html
[root@server1 ~]# nginx -t
[root@server1 ~]# systemctl stop nginx
[root@server1 ~]# systemctl start nginx
插入图片进行测试#前面设置网页缓存时已插入图片
浏览器直接访问http://20.0.0.11
抓包
8. 配置Nginx实现防盗链
在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失
Nginx防盗链功能也非常强大。默认情况下,只需要进行简单的配置,即可实现防盗链处理
配置说明
- ~* l.(jpglgif|swf)$:匹配以.jpg或.gif或.swf结尾的不区分大小写的文件
- valid_referers:设置信任的网站,即能引用相应图片的网站
- 网址或者域名: referer中包含相关字符串的网址
- if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为1,则执行后面的操作,即进行重写或返回403页面
8.1 配置Nginx防盗链
[root@server1 ~]# vi /etc/nginx.conf #添加,一定要添加在缓存上面,否则不识别,正则表达式顺序执行
location ~* \.(jpg|gif|swf)$ { #不区分大小写正则,定义图片格式
valid_referers none blocked *.aa.com aa.com 20.0.0.11; #信任网站本ip
if ($invalid_referer) { #如不在信任范围内,为0
rewrite ^/ http://www.aa.com/error.png; #重写匹配
}
}
[root@server1 ~]# nginx -t
[root@server1 ~]# systemctl stop nginx
[root@server1 ~]# systemctl start nginx
[root@server1 ~]# cd /usr/local/nginx/html #放入图片
另开起一台nginx主机,进入配置文件,进行相关配置
[root@server2 ~]# vi /usr/local/nginx/html/index.html
<img src="http://20.0.0.11/aa.jpg"/> #添加网页链接
[root@server2 ~]# vi /etc/hosts
20.0.0.11 www.aa.com #添加域名
浏览器访问http://20.0.0.12
[root@server2 ~]# systemctl stop nginx #重启
[root@server2 ~]# systemctl start nginx
再次访问主页
9. 对FPM模块进行参数优化
Nginx的PHP解析功能实现如果是交由FPM处理的,为了提高PHP的处理速度,可对FPM模块进行参数的调整
根据服务器的内存与服务负载,调整FPM模块参数
启动fpm进程方式,通过pm参数指定
- static:将产生固定数量的fpm进程
- dynamic:将以动态的方式产生fpm进程
FPM优化参数
Static的方式的参数
- pm.max_children: 指定启动的进程数量
Dynamic方式的参数
- pm.max_children: 指定启动进程数的最大值
- pm.start_servers: 动态方式下初始的fpm进程数
- pm.min_spare_servers: 动态方式下最小的fpm空闭进程数
- pm.max_spare_servers: 动态方式下最大的fpm空闭进程数
9.1 配置FPM模块参数优化
1、关闭防火墙,开启fpm-php模块
[root@server1 ~]# systemctl stop firewalld
[root@server1 ~]# setenforce 0
[root@server1 ~]# netstat -anpt | grep 9000
2、进入配置文件,修改相关参数
[root@server1 ~]# cd /usr/local/php/etc/php-fpm.d/
[root@server1 php-fpm.d]# vi www.conf
pm = dynamic
pm.max_children = 20 #static模式下空闲进程数上限,大于下面的值
pm.start_servers = 5 #动态方式下默认开启的进程数,在最小和最大之间
pm.min_spare_servers = 2 #动态方式下最少空闲进程数
pm.max_spare_servers = 8 #动态方式下最大空闲进程数
3、重新加载,启动文件进行进程数验证
[root@server1 php-fpm.d]# cd
[root@server1 ~]# pkill php-fpm #查看进程状态
[root@server1 ~]# /usr/local/php/sbin/php-fpm -c /usr/local/php/lib/php.ini #重新加载
[root@server1 ~]# ps aux | grep php-fpm