web服务之Nginx优化与防盗链

于 2023-03-24 15:43:38 发布
阅读量61 收藏
点赞数
文章标签: linux 运维 centos Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74848517/article/details/129751860
版权

目录

一、隐藏版本号

1、查看版本号

2、隐藏版本号

二、修改用户与组

三、缓存时间

四、日志切割

五、连接超时

六、更改进程数

七、配置网页压缩

八、配置防盗链

九、fpm参数优化

一、隐藏版本号

  1. 查看版本号

  • 使用 Fiddler 工具抓取数据包,查看 Nginx版本

curl -I http://192.168.163.10

  1. 隐藏版本号

方法一:修改配置文件方式

vim /usr/local/nginx/conf/nginx.conf

http {

include mime.types;

default_type application/octet-stream;

#20行左右;添加;关闭版本号

server_tokens off;

......

}

systemctl restart nginx

curl -I http://192.168.163.10

方法二:修改源码文件,重新编译安装

vim /opt/nginx-1.12.0/src/core/nginx.h

#13行;修改版本号

#define NGINX_VERSION "1.1.1"

#14行;修改服务器类型

#define NGINX_VER "IIS" NGINX_VERSION

cd /opt/nginx-1.12.0/

./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module

make && make install

vim /usr/local/nginx/conf/nginx.conf

http {

include mime.types;

default_type application/octet-stream;

server_tokens on;

......

}

systemctl restart nginx

curl -I http://192.168.163.10

二、修改用户与组

方法一:编译安装时更改,之前我们都是指定的,这里就不演示了。

具体安装请看博客:web服务之Nginx网站服务

cd /opt/nginx-1.12.0/

./configure \

--prefix=/usr/local/nginx \

--user=nginx \

--group=nginx \

--with-http_stub_status_module

make && make install

方法二:如果在编译安装时没有指定用户和组,可以修改配置文件

vim /usr/local/nginx/conf/nginx.conf

#取消注释,修改用户为nginx,组为 nginx

user nginx nginx;

systemctl restart nginx

#主进程由root创建,子进程由nginx创建

ps aux | grep nginx

三、缓存时间

vim /usr/local/nginx/conf/nginx.conf

http {

......

server {

......

location / {

root html;

index index.html index.htm;

}

#加入新的 location,以图片作为缓存对象

location ~ \.(gif|jpg|jepg|png|bmp|ico)$ {

root html;

#指定缓存时间,1天

expires 1d;

}

......

}

}

systemctl restart nginx.service

在Linux系统中,打开火狐浏览器,右击点查看元素

选择 网络 —> 选择 HTML、WS、其他

访问http://192.168.163.10/,双击200响应消息查看响应头中包含 Cahce-Control:max-age=86400 表示缓存时间是 86400 秒。也就是缓存一天的时间,一天之内浏览器访问这个页面,都是用缓存中的数据,而不需要向 Nginx 服务器重新发出请求,减少了服务器的使用带宽。

四、日志切割

使用脚本进行日志分割

vim /opt/fenge.sh

#!/bin/bash

#设置变量

#设置显示前一天的时间的变量

d=$(date -d "-1 day" "+%F")

logs_path="/var/log/nginx"

pid_path=`cat /usr/local/nginx/logs/nginx.pid`

#创建日志文件目录

[ -d $logs_path ] || mkdir -p $logs_path

#移动并重命名日志文件

mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-{$d}

#重建日志文件

kill -USR1 $pid_path

#删除30天前的日志文件

find $logs_path -mtime +30 -exec rm -rf {} \;

#find $logs_path -mtime +30 |xargs rm -rf

source fenge.sh

ls /var/log/nginx

ls /usr/local/nginx/logs/

crontab -e

0 1 * * * /opt/fenge.sh

补充:时间参数

在linux操作系统中,每个文件都有很多的时间参数,其中有三个比较主要,分别是ctime,atime,mtime

ctime(status time):

当修改文件的权限或者属性的时候,就会更新这个时间,ctime并不是create time,更像是change time,

只有当更新文件的属性或者权限的时候才会更新这个时间,但是更改内容的话是不会更新这个时间。

atime(accesstime):

当使用这个文件的时候就会更新这个时间。

mtime(modification time):

当修改文件的内容数据的时候,就会更新这个时间,而更改权限或者属性,mtime不会改变,这就是和ctime的区别。

五、连接超时

HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。

KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。

vim /usr/local/nginx/conf/nginx.conf

http {

......

keepalive_timeout 65 180;

client_header_timeout 80;

client_body_timeout 80;

......

}

systemctl restart nginx.service

keepalive_timeout

指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。

第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头。

client_header_timeout

客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。

client_body_timeout

指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。

六、更改进程数

#查看cpu核数

cat /proc/cpuinfo | grep -c "physical id"

#查看nginx主进程中包含几个子进程

ps aux | grep nginx

#修改配置文件,这里了解一下即可

vim /usr/local/nginx/conf/nginx.conf

#第3行;修改为核数相同或者2倍

worker_processes 2;

#添加;设置每个进程由不同cpu处理,进程数配2 4 6 8分别为0001 0010 0100 1000

worker_cpu_affinity 01 10;

systemctl restart nginx

七、配置网页压缩

vim /usr/local/nginx/conf/nginx.conf

http {

......

gzip on;

gzip_min_length 1k;

gzip_buffers 4 16k;

gzip_http_version 1.1;

gzip_comp_level 6;

gzip_vary on;

gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;

......

}

-------解释--------------

#32行左右;取消注释,开启gzip压缩功能

gzip on;

#最小压缩文件大小

gzip_min_length 1k;

#压缩缓冲区,大小为4个16k缓冲区

gzip_buffers 4 16k;

#压缩版本(默认1.1,前端如果是squid2.5请使用1.0)

gzip_http_version 1.1;

#压缩比率

gzip_comp_level 6;

#支持前端缓存服务器存储压缩页面

gzip_vary on;

#压缩类型,表示哪些网页文档启用压缩功能

gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;

---------解释结束------------

cd /usr/local/nginx/html

先将pika.jpg文件传到/usr/local/nginx/html目录下

vim index.html

......

#网页中插入图片

<img src="pika.jpg"/>

systemctl restart nginx

在Linux系统中,打开火狐浏览器,右击点查看元素

选择 网络 —> 选择 HTML、WS、其他

访问 http://192.168.163.10/ ,双击200响应消息查看响应头中包含 Content-Encoding: gzip

八、配置防盗链

Web源主机(192.168.163.10)

防盗链准备

vim /usr/local/nginx/conf/nginx.conf

http {

......

server {

......

location ~*\.(jpg|gif|swf)$ {

valid_referers *.test.com test.com;

if ( $invalid_referer ) {

rewrite ^/ http://www.test.com/error.png;

#return 403;

}

}

......

}

}

systemctl restart nginx

----------解释--------------------

~* .(jpg|gif|jepg|bmp|ico)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;

valid_referers :设置信任的网站,可以正常使用图片;

后面的网址或者域名 :referer 中包含相关字符串的网址;

if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为1,则执行后面的操作,即进行重写或返回 403 页面。

网页准备:

cd /usr/local/nginx/html

将pika.jpg、error.png文件传到/usr/local/nginx/html目录下

vim index.html

......

<img src="pika.jpg"/>

</body>

</html>

echo "192.168.163.10 www.test.com" >> /etc/hosts

echo "192.168.163.11 www.daotu.com" >> /etc/hosts

盗链网站主机(192.168.163.11)

#先安装nginx服务

cd /usr/local/nginx/html

vim index.html

......

<img src="" target="_blank">http://www.test.com/pika.jpg"/>

</body>

</html>

echo "192.168.163.10 www.test.com" >> /etc/hosts

echo "192.168.163.11 www.daotu.com" >> /etc/hosts

在盗图网站主机上进行浏览器验证

http://www.test.com

http://www.daotu.com

九、fpm参数优化

cd /usr/local/php/etc/

cp php-fpm.conf.default php-fpm.conf

vim php-fpm.conf

pid = run/php-fpm.pid

vim /usr/local/php/etc/php-fpm.d/www.conf

#96行;fpm进程启动方式,动态的

pm = dynamic

#107行;fpm进程启动的最大进程数

pm.max_children=20

#112行;动态方式下启动时默认开启的进程数,在最小和最大之间

pm.start_servers = 5

#117行;动态方式下最小空闲进程数

pm.min_spare_servers = 2

#122行;动态方式下最大空闲进程数

pm.max_spare_servers = 8

#启动php-fpm,不可用于重启

/usr/local/php/sbin/php-fpm -c /usr/local/php/lib/php.ini

#执行第一个命令后,就可以使用下面这条命令查看pid号重启php-fpm

kill -USR2 `cat /usr/local/php/var/run/php-fpm.pid`

netstat -anpt | grep 9000

m0_74848517
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx35】Nginx学习:运行信息、响应修改及用户标识模块
硬核项目经理
10-23 271
Nginx学习:运行信息、响应修改及用户标识模块今天的内容主要是讲三个模块,这三个模块分别可以查看当前 Nginx 的运行状态信息,可以修改返回响应的内容,以及最后一个可以通过 Nginx 生成一个对应客户端的唯一 UID 。这几个功能平时用过的同学可能不多,但是也都非常有意思,有兴趣的小伙伴可以尝试尝试哦。除了第一个运行信息的配置外,其它配置指令都可以在 http、server、location...
nginx修改成非root用户启动
weixin_44953227的博客
08-22 4427
nginx修改成非root用户启动 linux新建用户参考: https://blog.csdn.net/weixin_44953227/article/details/125757350 nginx安装目录 nginx专属用户 修改配置文件nginx.conf注释掉带有user的行
修改nginx用户和组
小小关的博客
01-16 2475
Nginx运行时进程需要有用户与组身份的支持,以实现对网站文件读取时进行访问控制。Nginx默认使用nobody用户与组账号,一般也要进行修改。 1:编译安装的时候指定 《1》:useradd -M -s /sbin/nologin nginx 《2》:./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make install 《2》:修改配置文件 ...
修改Nginx用户和组!
weixin_30871293的博客
09-12 1411
Nginx 运行时进程需要有用户与组的支持,以实现对网站文件读取时进行访问控制。Nginx 默认使用 nobody 用户账号与组账号,一般也要进行修改。 ======================================================== 1:编译安装时指定 [root@localhost conf]# useradd -M -s /sbin/nolog...
IDEATmocat tomcat 或批处理文件。 系统找不到指定的路径。
qq_40926127的博客
10-06 593
IDEATmocat tomcat 或批处理文件。 系统找不到指定的路径。 启动Tomcat报错说找不到指定文件路径,然后我复制了报错的路径后发现并不存在该文件,Tomcat的配置也没有问题。神奇的是我把tomcat的安装包放在了桌面上,重新在D盘创建文件夹将tomcat移动到新目录后,问题解决。 ...
nginx优化防盗链☆☆☆
最新发布
06-10
【标题】:“Nginx优化防盗链”涵盖了Nginx服务器在性能调优和防止非法访问方面的核心知识点。Nginx作为一个高性能的HTTP和反向代理服务器,其高效的处理能力、轻量级的特性以及丰富的模块化设计,使其成为众多...
Nginx跨域访问场景配置和防盗链详解
09-29
跨域访问控制和防盗链是Web服务器管理中两个重要的安全措施,它们对于保护网站资源和确保正常用户体验至关重要。 首先,我们来理解一下为什么浏览器会禁止跨域访问。跨域访问控制是浏览器的一种安全策略,旨在防止...
Nginx高性能Web服务器实战教程
05-20
同时,Nginx提供了丰富的过滤器模块,如gzip压缩、防盗链等,进一步提高性能和安全性。 安全方面,Nginx可以配合SSL/TLS证书实现HTTPS加密通信,保护用户数据的安全。通过`ssl_certificate`和`ssl_certificate_key`...
Nginx高性能WEB服务器视频.zip
02-18
15 Nginx防盗链配置案例配置.ts 16 Nginx运维日常故障解决方案.ts 17 Nginx构建安全站点HTTPS架构.ts 18 实战构建企业Nginx Cache缓存系统.ts 19 构建企业级Nginx+Keepalived集群架构.ts 20 企业Nginx+Keepalived双...
Nginx高性能WEB服务器视频.rar
01-17
15 Nginx防盗链配置案例置.rar, 16 Nginx运维日常故障解决方案.rar 17 Nginxt构建安全站点HTTPS架构.rar 18实战构建企业Nginx Caches缓存系统.rar 19构建企业级Nginx+Keepalived集群架构.rar 20企业Nginx-+...
nginx以非root用户启动
热门推荐
guojun0807的博客
11-09 1万+
1、创建新用户      因切换服务器,考虑到安全问题,所有应用都必须使用非root用户,创建了用户newhope      因为项目比较旧了,以前是以root用户启动的,怕出问题所以先拿root用户做的验证,验证通过后把NGINX所有者改成newhope,中间也出现过一些问题都是没有权限的问题      chmod -R newhope:newhope /opt/*  nginx在opt下
增加nginx用户,并修改nginx服务的默认用户
徊忆羽菲
07-26 9595
增加nginx用户,并修改nginx和php服务的默认用户1、添加 nginx 用户2、更改 Nginx 配置文件3、重新加载 Nginx4、验证是否生效 为什么要更改 Nginx 服务的默认用户:就像更改 ssh 的默认 22 端口一样,增加安全性,Nginx 服务的默认用户是 nobody ,我们更改为 nginx 1、添加 nginx 用户 useradd nginx -s /sbin/nologin -M 2、更改 Nginx 配置文件 vim /usr/local/nginx/conf/ngi
关于nginx和php-fpm的修改用户和用户组的问题
ccfxue的博客
06-27 1万+
修改nginx和php-fpm的用户和用户组时除了修改nginx.conf 下的user *****和/etc/php-fpm.d/www.conf下的user = ****group = ****修改上面之后,重启nginx和php-fpm,ps -ef|grep  ...  会发现应用的用户和用户组变了,但是这还能算万事大吉还要修改一下一些目录下的权限(以 修改的用户和用户组为nobody为例...
Nginx 修改用户权限
weixin_30284355的博客
04-19 970
【1】Nginx修改用户权限 (1)修改前:Nginx系统默认用户权限是nobody 查看可知: (2)修改方法 欲使用root权限启动的。 修改 /usr/local/nginx/conf/ 下nginx.conf文件 原值 #user nobody; 修改为 user root; 修改nginx.conf文件后,使用/usr/local/nginx/sbin/n...
nginx设置用户名和密码
weixin_33935505的博客
11-22 588
1 yum-yinstallnginx nginx部分配置文件 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 server{ listen80default_server; ...
修改php-fpm和nginx运行用户
偶爱喝可乐
11-15 1万+
(php)项目a是用test用户运行 nginx和php-fpm是www-data用户运行 (python)项目b是用test用户运行项目a通过php函数exec调用python脚本的接口造成了没有权限访问目录直接把项目b的权限切换为www-data可以执行,但是不便于开发,最好是把php、nginx、项目a、项目b都在一个用户、组下面。打个比方test是当前登录用户 修改nginx的运行角色
MyEclipse 下载、安装教程
m0_67402970的博客
09-09 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
nginx在安装时使用root权限进行安装并启用,如何更改为普通用户权限运行nginx(亲测)
*HZ*的博客
03-08 1万+
nginx在安装时使用root权限进行安装并启用,如何更改为普通用户权限运行nginx(亲测)
更改 Nginx 服务的默认用户& 关于linux下的nobody用户
Arlingtonroad的博客
09-17 4865
更改 Nginx 服务的默认用户 <nginx.conf> nginx用户权限 在nginx.conf文件的第一行一般是设置用户的地方(编译安装nginx时的参数--user=<user>也是指定用户的地方),如 user www www; 如不指定nginx默认用户是nobody. 这里用户的设置又有什么意义呢?主要是指定执行nginx的worker process的用户,linux里所有程序都是文件,都具有权限问题,这个指定的用户对特定的文件有没有权限访问或执行,就是这个用户的意
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值