1、nginx 功能模块
2 、nginx目录说明
[root@www ~]# tree /application/nginx/
/application/nginx/
|-- client_body_temp
|-- conf #这是Nginx所有配置文件的目录,极其重要
| |-- fastcgi.conf #fastcgi相关参数的配置文件
| |-- fastcgi.conf.default #fastcgi.conf的原始备份
| |-- fastcgi_params #fastcgi的参数文件
| |-- fastcgi_params.default
| |-- koi-utf
| |-- koi-win
| |-- mime.types #媒体类型,
| |-- mime.types.default
| |-- nginx.conf #这是Nginx默认的主配置文件
| |-- nginx.conf.default
| |-- scgi_params #scgi相关参数文件,一般用不到
| |-- scgi_params.default
| |-- uwsgi_params #uwsgi相关参数文件,一般用不到
| |-- uwsgi_params.default
| `-- win-utf
|-- fastcgi_temp #fastcgi临时数据目录
|-- html #这是编译安装时Nginx的默认站点目录,类似
Apache的默认站点htdocs目录
| |--50x.html # 错误页面优雅替代显示文件,例如:出现502错误时会调用此页面
# error_page 500502503504 /50x.html;
| `-- index.html # 默认的首页文件,首页文件名字是在nginx.conf中事先定义好的。
|-- logs #这是Nginx默认的日志路径,包括错误日志及访问日志
| |-- access.log # 这是Nginx的默认访问日志文件,使用tail -f access.log,可以实时观看网站用户访问情况信息
| |-- error.log # 这是Nginx的错误日志文件,如果Nginx出现启动故障等问题,一定要看看这个错误日志
| `-- nginx.pid # Nginx的pid文件,Nginx进程启动后,会把所有进程的ID号写到此文件
|-- proxy_temp #临时目录
|-- sbin #这是Nginx命令的目录,如Nginx的启动命令nginx
| `-- nginx #Nginx的启动命令nginx
|-- scgi_temp #临时目录
`-- uwsgi_temp #临时目录
9 directories,21 files
3、nginx config配置
4、nginx 配置文件
user nginx nginx; #定义Nginx运行的用户和用户组
worker_processes 1; #nginx进程数,建议设置为等于CPU总核心数。
error_log /var/log/nginx/error.log errot; #全局错误日志定义类型,[ debug | info | notice | warn | error | crit ]
error_log /var/log/nginx/info.log info;
pid /var/run/nginx.pid; #进程文件
worker_rlimit_nofile 1024; #一个nginx进程打开的最多文件描述符数目,理论值应该是最多打开文件数(系统的值ulimit -n)与nginx进程数相除,但是nginx分配请求并不均匀,所以#建议与ulimit -n的值保持一致
events
{
use epoll; #参考事件模型,use [ kqueue | rtsig | epoll | /dev/poll | select | poll ]; epoll模型是Linux 2.6以上版本内核中的高性能网络I/O模型,如果跑在FreeBS #D上面,就用kqueue模型。
worker_connections 65535; #单个进程最大连接数(最大连接数=连接数*进程数)
}
http #HTTP区块开始
{
include mime.types; #Nginx支持的媒体类型库文件
default_type application/octet-stream; #默认媒体类型
#charset utf-8; #默认编码
server_names_hash_bucket_size 128; #服务器名字的hash表大小
client_header_buffer_size 32k; #上传文件大小限制
large_client_header_buffers 4 64k; #设定请求缓
client_max_body_size 8m; #设定请求缓
sendfile on; #开启高效文件传输模式,sendfile指令指定nginx是否调用sendfile函数来输出文件,对于普通应用设为 on,如果用来进行下载等应用磁盘IO重负载应用,可设置为o #ff,以平衡磁盘与网络I/O处理速度,降低系统的负载。注意:如果图片显示不正常把这个改成off。
autoindex on; #开启目录列表访问,合适下载服务器,默认关闭。
tcp_nopush on; #防止网络阻塞
tcp_nodelay on; #防止网络阻塞
keepalive_timeout 120; #连接超时,单位是秒
#FastCGI相关参数是为了改善网站的性能:减少资源占用,提高访问速度。
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
#gzip模块设置
gzip on; #开启gzip压缩输出 消耗服务器性能
gzip_min_length 1k; #最小压缩文件大小
gzip_buffers 4 16k; #压缩缓冲区
gzip_http_version 1.0; #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
gzip_comp_level 2; #压缩等级
gzip_types text/x-javascript text/css application/xml; #压缩类型,默认就已经包含text/html,所以下面就不用再写了,写上去也不会有问题,但是会有一个warn。
gzip_vary on;
#limit_zone crawler $binary_remote_addr 10m; #开启限制IP连接数的时候需要使用
#虚拟主机的配置
server
{
listen 80; #监听端口
server_name localhost; #提供服务的域名主机名
location / { #第一个location区块开始
root html; #站点的根目录,相当于Nginx的安装目录
index index.html index.htm index.jsp; #默认的首页文件,多个用空格分开
} #第一个location区块结果
#图片缓存时间设置
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 10d;
}
#JS和CSS缓存时间设置
location ~ .*\.(js|css)?$
{
expires 1h;
}
# 限制某个请求地址访问的速度
location {
alias /opt/test/code;
# 开启目录列表访问 适合下载服务器 ,默认关闭
autoindex on;
# 限制访问速度 (每秒传输1k 字节到)
limit_rate 1k;
}
#日志格式设定
log_format access '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" $http_x_forwarded_for';
access_log /var/log/nginx/access_$(data+%F -d -1day).log access; #定义本虚拟主机的访问日志
location / { #对 "/" 启用反向代理
proxy_pass http://127.0.0.1:88;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr; #后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#以下是一些反向代理的配置,可选
proxy_set_header Host $host;
client_max_body_size 10m; #允许客户端请求的最大单文件字节数
client_body_buffer_size 128k; #缓冲区代理缓冲用户端请求的最大字节数,
proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时)
proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)
proxy_read_timeout 90; #连接成功后,后端服务器响应时间(代理接收超时)
proxy_buffer_size 4k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffers 4 32k; #proxy_buffers缓冲区,网页平均在32k以下的设置
proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)
proxy_temp_file_write_size 64k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传
}
#设定查看Nginx状态的地址
location /NginxStatus {
stub_status on;
access_log on;
auth_basic "NginxStatus";
auth_basic_user_file conf/htpasswd; #htpasswd文件的内容可以用apache提供的htpasswd工具来产生。
}
#本地动静分离反向代理配置
#所有jsp的页面均交由tomcat或resin处理
location ~ .(jsp|jspx|do)?$ {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8080;
}
#所有静态文件由nginx直接读取不经过tomcat或resin
location ~ .*.(htm|html|gif|jpg|jpeg|png|bmp|swf|ioc|rar|zip|txt|flv|mid|doc|ppt|pdf|xls|mp3|wma)$
{ expires 15d; }
location ~ .*.(js|css)?$
{ expires 1h; }
}
}
5 nginx 日志
# 检查 nginx.config是否正确 nginx -t 检查配置是否正确 -c xxx 表示nginx_config 地址
$ nginx -t -c /nginx-test/nginx1.17.0/conf/nginx.config
$ /usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
# 以nginx.conf 重启nginx
$ /usr/local/nginx/sbin/nginx -s reload -c /usr/local/nginx/conf/nginx.conf
6 nginx模块
6.1 --with-http_stub_status_module模块 nginx的客户端状态
Active connections: 2 # nginx的连接数
server accepts handled requests # nginx 握手 连接 请求数
2 2 3
Reading: 0 Writing: 1 Waiting: 1 # nginx 读 写 等待
参考:https://blog.csdn.net/li12412414/article/details/79234688
6.2 nginx 请求限制
Http请求建立在一次tcp连接上
一次tcp请求至少产生一次HTTP请求
参考:https://blog.csdn.net/qq_31964019/article/details/103502812
6.3 nginx 请求限制
(1)基于IP的访问控制。
(2)基于账号密码的访问控制
参考:https://blog.csdn.net/li12412414/article/details/79247561 nginx的访问控制
6.4 --with-http_gzip_static_module gzip_static 模块
./configure --with-http_gzip_static_module
注:安装多个模块 ./configure --with-http_gzip_static_module --with-http_stub_status_module
7 nginx 安全
7.1 恶意行为
1、爬虫行为 恶意抓取、恶意盗用
2、secure_link_module 对数据安全性提高加密验证和失效性,适合重要数据
3、access_module 对后台、部分用户服务的数据提供IP防控
7.2 常见攻击手段
1、后代密码撞库,获取后台登录密码
处理:① 后台密码复杂度 ② access_module 对 后台提供IP防护 ③预警机制
2、文件长传漏洞
3、sql注入
7.3 nginx+lua防火墙
参考:https://github.com/loveshell/ngx_lua_waf
拦截Cookie了类型攻击
拦截异常post请求
拦截cc攻击
拦截URL
拦截arg
参考:
nginx系列教程
nginx核心100讲
Nginx安装,目录结构与配置文件详解
如何隐藏nginx版本号
Nginx 负载均衡演示之 upstream 参数 & location 参数
nginx的访问控制
nginx编译安装和模块配置详解(nginx的各种模块 nice)
nginx location配置详细解释
nginx正则详细写法
Nginx 安装与部署配置以及Nginx和uWSGI开机自启