nginx的优化和防盗链

最新推荐文章于 2024-07-07 02:13:38 发布
最新推荐文章于 2024-07-07 02:13:38 发布
阅读量334 收藏
点赞数
文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56754510/article/details/131396142
版权

目录

一、nginx的优化

1.隐藏版本号的原因

2.查看版本号的方法

2.1方法一:命令“nginx -v”(仅限web服务器)

2.2方法二:命令“crul -I” 

2.3方法三:linux火狐浏览器查看

3. 隐藏版本号的方法

1.方法一:修改配置文件方式

2. 方法二:修改源码文件,重新编译安装

 

4.修改用户与组

5.缓存时间

6. 日志切割

7.连接超时

8. 更改进程数

9. 配置网页压缩

10.配置防盗链

一、nginx的优化

  • 在生产环境中,需要隐藏 Nginx 的版本号,以避免泄露 Nginx 的版本,使攻击者不能针对特定版本进行攻击

1.隐藏版本号的原因

  • 为了安全,如果暴露版本信息,黑客可以通过版本信息,得知该版本存在的漏洞,进而对服务器进行攻击。隐藏版本信息可以避免黑客有的放矢的搞破坏。

2.查看版本号的方法

2.1方法一:命令“nginx -v”(仅限web服务器)

2.2方法二:命令“crul -I” 

 

2.3方法三:linux火狐浏览器查看

 

 

 

3. 隐藏版本号的方法

1.方法一:修改配置文件方式

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;			 					#添加,关闭版本号
    ......
}

systemctl restart nginx
curl -I http://192.168.19.101

 

 

 

2. 方法二:修改源码文件,重新编译安装

 

vim /opt/nginx-1.20.2/src/core/nginx.h
#define NGINX_VERSION "1.1.1" 					#修改版本号
#define NGINX_VER "IIS" NGINX_VERSION 			#修改服务器类型

cd /opt/nginx-1.20.2/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
	......
}

#重启服务
systemctl restart nginx
#测试
curl -I http://192.168.19.101

 

 

 

 

 

 

4.修改用户与组

vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; 								#取消注释,修改用户为 nginx ,组为 nginx

systemctl restart nginx

ps aux | grep nginx
主进程由root创建,子进程由nginx创建

 

 

 

 

5.缓存时间

----------------缓存时间-------------------
当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
一般针对静态网页设置,对动态网页不设置缓存时间

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		

		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 		#加入新的 location,以图片作为缓存对象
			root html;
			expires 1d;							#指定缓存时间,1天
		}

......
	}
}

#重启服务
systemctl restart nginx

#测试访问

http://www.kgc.com/wangsicong.jpg


在Linux系统中,打开火狐浏览器,右击点查看元素
选择 网络 ---> 选择 HTML、WS、其他 
访问 http://192.168.19.101/yueshen.jpg ,双击200响应消息查看响应头中包含 Cahce-Control:max-age=86400 表示缓存时间是 86400 秒。也就是缓存一天的时间,一天之内浏览器访问这个页面,都是用缓存中的数据,而不需要向 Nginx 服务器重新发出请求,减少了服务器的使用带宽。

 

 

 

 

 

6. 日志切割

 

----------------日志切割-------------------
vim /opt/fenge.sh
#!/bin/bash
# Filename: fenge.sh
day=$(date -d "-1 day" "+%Y%m%d")											#显示前一天的时间
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path 									#创建日志文件目录
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-$day	#移动并重命名日志文件
kill -USR1 $(cat $pid_path)													#重建新日志文件
find $logs_path -mtime +30 -exec rm -rf {} \;								#删除30天之前的日志文件
#find $logs_path -mtime +30 | xargs rm -rf 

chmod +x /opt/fenge.sh
/opt/fenge.sh
ls /var/log/nginx
ls /usr/local/nginx/logs/access.log 

crontab -e
0 1 * * * /opt/fenge.sh

 

 ​​​​​​​

 

 

 

7.连接超时

----------------连接超时-------------------
HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
    keepalive_timeout 65 180;      三次握手的超时时间
    client_header_timeout 80;       等待客户端发送请求头的超时时间会送408 错误
    client_body_timeout 80;          设置客户端发送请求体的超时时间
...... 
}

systemctl restart nginx
-----------------------------------------------------------------------------------------
#keepalive_timeout
指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。
第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头。

##client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。

###client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。

 

 

 

 

8. 更改进程数

----------------更改进程数-------------------
在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞

cat /proc/cpuinfo | grep -c "physical id"	#查看cpu核数
ps aux | grep nginx							#查看nginx主进程中包含几个子进程

vim /usr/local/nginx/conf/nginx.conf
worker_processes  2;				#修改为核数相同或者2倍
worker_cpu_affinity 01 10;			#设置每个进程由不同cpu处理,进程数配为4时0001 0010 0100 1000

systemctl restart nginx

 

9. 配置网页压缩

----------------配置网页压缩-------------------
Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
   gzip on;							#取消注释,开启gzip压缩功能
   gzip_min_length 1k;      		#最小压缩文件大小
   gzip_buffers 4 64k;      		#压缩缓冲区,大小为4个64k缓冲区
   gzip_http_version 1.1;   		#压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
   gzip_comp_level 6;       		#压缩比率      1:压缩比最小,速度最快;9:压缩比最大,传输速度最快,但处理也最慢,也比较的消耗CPU资源 
   gzip_vary on;					#支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;		#压缩类型,表示哪些网页文档启用压缩功能
...... 
}

cd /usr/local/nginx/html
先将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="game.jpg"/>				#网页中插入图片
</body>
</html>

systemctl restart nginx

在Linux系统中,打开火狐浏览器,右击点查看元素
选择 网络 ---> 选择 HTML、WS、其他 
访问 http://192.168.19.101 ,双击200响应消息查看响应头中包含 Content-Encoding: gzip

​​​​​​​

 

 ​​​​​​​

 

10.配置防盗链

----------------配置防盗链-------------------
vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	......
		location ~* \.(jpg|gif|swf)$ {
			valid_referers none blocked *.kgc.com kgc.com;
			if ( $invalid_referer ) {
				rewrite ^/ http://www.kgc.com/error.png;
				#return 403;
            }
        } 
	......
	}
}
----------------------------------------------------------------------------------------------------------
~* \.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;
valid_referers :设置信任的网站,可以正常使用图片;
none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的),如 http://www.kgc.com/game.jpg
我们使用 http://www.kgc.com 访问显示的图片,可以理解成 http://www.kgc.com/game.jpg 这个请求是从 http://www.kgc.com 这个链接过来的。
blocked:允许不是http://开头的,不带协议的请求访问资源; 
*.kgc.com:只允许来自指定域名的请求访问资源,如 http://www.kgc.com

if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。
----------------------------------------------------------------------------------------------------------
网页准备:
Web源主机(192.168.19.101)配置:
cd /usr/local/nginx/html
将game.jpg、error.png文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="game.jpg"/>
</body>
</html>

echo "192.168.19.101 www.kgc.com" >> /etc/hosts 
echo "192.168.19.100 www.benet.com" >> /etc/hosts 

盗链网站主机(192.168.19.100):
cd /usr/local/nginx/html
vim index.html
...... 
<img src="http://www.kgc.com/game.jpg"/>
</body>
</html>

echo "192.168.19.101 www.kgc.com" >> /etc/hosts 
echo "192.168.19.100 www.benet.com" >> /etc/hosts 

在盗图网站主机上进行浏览器验证
http://www.benet.com

 

 

 

 

 

 

 

匸&㕕
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
lnmp/nginx系统图片防盗链
别在熬夜了!
11-03 1123
关于nginx防盗链的方法网上有很多教程,都可以用,但是我发现很多教程并不完整,所做的防盗链并不是真正的彻底的防盗链! 一般,我们做好防盗链之后其他网站盗链的本站图片就会全部失效无法显示,但是您如果通过浏览器直接输入图片地址,仍然会显示图片,仍然可以右键图片另存为下载文件! 依然可以下载?这样就不是彻底的防盗了!那么,nginx应该怎么样彻底地实现真正意义上的防盗链呢? 首先,我
Nginx给网站做一个简单的防盗链
weixin_30947043的博客
02-23 109
目录结构 Nginx防盗链配置 有些时候,大家不想让别人调用自己的图片,一是因为个人版权的问题,再一点就是会增加服务器的负载、还会产生一些没必要的流量。 其实在Nginx里面,很容易就做到防盗链的,在nginx.conf文件加入一个localtion配置项。 下面请看配置: location ~ .*\.(jpg|jpeg|JPG|png|gif|icon)$ { ...
43、nginx优化防盗链、重定向、代理
最新发布
m0_74149099的博客
07-07 740
隐藏版本号日志分割cpu绑定连接超时页面压缩页面缓存时间time_wait状态的回收location = 完整路径 > location ^~ >location ~ location ~* >location /部分起始位置 > location / 一般字符串。
Nginx-防盗链
qq_22648091的博客
10-26 1181
[root@static ~]# grep -Pv '^$|^ *#' /etc/nginx/conf.d/default.conf server { listen 80; server_name localhost; location ~ \.(jpg|png|css|js)$ { root /usr/share/nginx/html; valid_referers none blocked www.sharkyun.com; .
nginx防盗链
影子
04-13 2283
1、防盗链与http的referer 防盗链的配置: 防盗链配置: valid_referers none |blocked|server_names|strings.....; none,检测Referer头域不存在的情况 blocked,检测referer头域的值被防火墙或者代理服务器删除伪装的情况。这种情况该头域的值不以http://或https://开头 server_names,设置一个或者多个URL,检测Referer头域的值是否是这些URL中的某一个 在需要防盗链的loca.
Nginx优化防盗链实践教程
02-25
Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为“engineX”,是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP代理服务器.Nginx是由俄罗斯人IgorSysoev为俄罗斯访问量第二的...
nginx优化防盗链☆☆☆
06-10
【标题】:“Nginx优化防盗链”涵盖了Nginx服务器在性能调优和防止非法访问方面的核心知识点。Nginx作为一个高性能的HTTP和反向代理服务器,其高效的处理能力、轻量级的特性以及丰富的模块化设计,使其成为众多...
Nginx跨域访问场景配置和防盗链详解
09-29
在本文中,我们将深入探讨Nginx服务器在处理跨域访问和防盗链方面的配置。跨域访问控制和防盗链是Web服务器管理中两个重要的安全措施,它们对于保护网站资源和确保正常用户体验至关重要。 首先,我们来理解一下为...
Nginx防盗链的配置方法
09-30
**四、防盗链的局限性与优化** 虽然Nginx防盗链配置可以有效地阻止大部分非法引用,但有些情况可能无法覆盖,例如: - 通过直接输入URL访问资源,`Referer`字段为空,此时需结合其他手段(如IP白名单)进行防护。...
Nginx 企业级优化 | 一键安装部署并优化 | 日志分割 | 防盗链 | 页面压缩 | 页面缓存
03-31
Nginx版本1.19.9 无需包 一键部署并优化配置 https://blog.csdn.net/qq_42427971/article/details/115356300
Nginx配置防盗链的完整步骤
09-29
主要给大家介绍了关于Nginx配置防盗链的完整步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Nginx应用优化全攻略
12-15
一、Nginx隐藏版本号; 二、网页缓存、连接超时、网页压缩传输;...五、防盗链; 六、虚拟主机; 七、平滑升级; 八、UA实现手机电脑页面分离、拒绝http客户端测试、拒绝恶意请求; 九、加载第三方模块;
nginx-accesskey-2.0.5.tar.gz
05-22
**nginx-accesskey-2.0.5** 版本是该模块的一个具体发行版本,包含了对防盗链功能的优化和改进。可能包括性能提升、新功能的添加或者已知问题的修复。使用此模块,用户可以通过在Nginx配置文件中定义access key,并...
第二十九章:Nginx应用优化1
08-08
优化Nginx服务器的性能和安全性方面,有几个关键的配置和策略需要关注。以下是对标题和描述中提及的知识点的详细说明: 1. **隐藏Nginx版本号**: 隐藏Nginx服务器的版本号可以增加系统的安全性,避免黑客利用...
Nginx常用功能详解
09-30
Nginx是一款高性能的HTTP和反向...以上就是Nginx在目录保护、IP访问限制、防盗链和下载限速等方面的应用,以及多域名配置的注意事项。正确理解和运用这些功能,能够帮助我们更好地管理和优化Web服务器的安全性和性能。
nginx 防盗链
hello world
09-20 66
[root@nginx-server conf.d]# vim nginx.conf server { listen 80; server_name localhost; location / { root /usr/share/nginx/html; index index.html index.htm; valid_referers none blocked www.jd.com; #允许这些访问
nginx防盗链
currs的博客
06-20 370
Ngnix优化主要有两种,一种是配置上的优化,一种是内核上的优化。本文将介绍Ngnix在配置方面的优化。实验准备:已安装好一台Nginx服务器,IP:192.168.192.10,域名:www.zzqhaoshuai.com一、隐藏响应头中的版本号 1.1 查看版本号的方法 方法一:curl命令 可以在CentOS中使用命令curl -l www.zzqhaoshuai.com显示响应报文首部信息 此方法可以将原本的版本号修改成其他的,例如将"nginx/1.12.0"修改成 “nginx/1.1.1"
Nginx优化实战:高效配置与防盗链策略
Nginx优化防盗链实践教程是一篇详尽的指南,介绍如何利用Nginx这一高性能的HTTP和反向代理服务器进行优化以及实现防盗链功能。Nginx由俄罗斯开发者Igor Sysoev为Rambler.ru创建,其设计注重轻量级、高效性和稳定性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值