nginx 整理

1、nginx 功能模块

2 、nginx目录说明

[root@www ~]# tree /application/nginx/
/application/nginx/
|-- client_body_temp
|-- conf                    　　　　　　　　　　　　　　#这是Nginx所有配置文件的目录，极其重要
|   |-- fastcgi.conf         　　　　　　 　　　　#fastcgi相关参数的配置文件
|   |-- fastcgi.conf.default     　　  　　　　　　　　#fastcgi.conf的原始备份
|   |-- fastcgi_params          　　　　　　　　　#fastcgi的参数文件
|   |-- fastcgi_params.default
|   |-- koi-utf
|   |-- koi-win
|   |-- mime.types          　　　　　　　　　　　　#媒体类型，
|   |-- mime.types.default
|   |-- nginx.conf         　　　　　　　　　　　　 #这是Nginx默认的主配置文件
|   |-- nginx.conf.default
|   |-- scgi_params         　　　　　　　　　　　 #scgi相关参数文件，一般用不到
|   |-- scgi_params.default
|   |-- uwsgi_params               　　　　　　  #uwsgi相关参数文件，一般用不到
|   |-- uwsgi_params.default
|   `-- win-utf
|-- fastcgi_temp               　　　　　　　　#fastcgi临时数据目录
|-- html     　　　　　　　　　　　　　　　　　　#这是编译安装时Nginx的默认站点目录，类似
                    Apache的默认站点htdocs目录
|   |--50x.html     #     错误页面优雅替代显示文件，例如：出现502错误时会调用此页面
         #     error_page   500502503504  /50x.html；
|   `-- index.html   #     默认的首页文件，首页文件名字是在nginx.conf中事先定义好的。
|-- logs          #这是Nginx默认的日志路径，包括错误日志及访问日志
|   |-- access.log      #     这是Nginx的默认访问日志文件，使用tail -f access.log，可以实时观看网站用户访问情况信息
|   |-- error.log      #     这是Nginx的错误日志文件，如果Nginx出现启动故障等问题，一定要看看这个错误日志
|   `-- nginx.pid      #     Nginx的pid文件，Nginx进程启动后，会把所有进程的ID号写到此文件
|-- proxy_temp       #临时目录
|-- sbin      #这是Nginx命令的目录，如Nginx的启动命令nginx
|   `-- nginx      #Nginx的启动命令nginx
|-- scgi_temp      #临时目录
`-- uwsgi_temp      #临时目录
9 directories，21 files

3、nginx config配置

4、nginx 配置文件

user nginx nginx;    　　　　　　　　    #定义Nginx运行的用户和用户组
worker_processes 1;    　　　　　　　　#nginx进程数，建议设置为等于CPU总核心数。
error_log /var/log/nginx/error.log errot;　　  #全局错误日志定义类型，[ debug | info | notice | warn | error | crit ]
error_log /var/log/nginx/info.log info;　  
pid /var/run/nginx.pid;    　　　　　　　　　　　　#进程文件
worker_rlimit_nofile 1024;    　　    #一个nginx进程打开的最多文件描述符数目，理论值应该是最多打开文件数（系统的值ulimit -n）与nginx进程数相除，但是nginx分配请求并不均匀，所以#建议与ulimit -n的值保持一致

events
{
use epoll;    　　    #参考事件模型，use [ kqueue | rtsig | epoll | /dev/poll | select | poll ]; epoll模型是Linux 2.6以上版本内核中的高性能网络I/O模型，如果跑在FreeBS　　#D上面，就用kqueue模型。
worker_connections 65535;　　　　    #单个进程最大连接数（最大连接数=连接数*进程数）
}



http    　　　　　　　　　　　　　　　　    #HTTP区块开始
{
include mime.types;    　　　　　　　　　　　　　　　#Nginx支持的媒体类型库文件
default_type application/octet-stream; 　　　　　　#默认媒体类型
#charset utf-8; 　　　　　　　　　　　　　　　　　　　　#默认编码
server_names_hash_bucket_size 128; 　　　　　　　　#服务器名字的hash表大小
client_header_buffer_size 32k;    　　　　　　　　　　 #上传文件大小限制
large_client_header_buffers 4 64k;    　　　　　　　　 #设定请求缓
client_max_body_size 8m;    　　　　　　　　　　　　　　    #设定请求缓
sendfile on; 　　　　　　#开启高效文件传输模式，sendfile指令指定nginx是否调用sendfile函数来输出文件，对于普通应用设为 on，如果用来进行下载等应用磁盘IO重负载应用，可设置为o　　#ff，以平衡磁盘与网络I/O处理速度，降低系统的负载。注意：如果图片显示不正常把这个改成off。
autoindex on; 　　　　　　　　　　　　　　    #开启目录列表访问，合适下载服务器，默认关闭。
tcp_nopush on; 　　　　　　　　　　　　　　#防止网络阻塞
tcp_nodelay on; 　　　　　　　　　　　　　#防止网络阻塞
keepalive_timeout 120;    　　　　　　　　 #连接超时，单位是秒

#FastCGI相关参数是为了改善网站的性能：减少资源占用，提高访问速度。
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;

#gzip模块设置
gzip on;    　　　　　　　　　　　　　　　　　　   #开启gzip压缩输出  消耗服务器性能
gzip_min_length 1k; 　　　　　　　　　　　　    #最小压缩文件大小
gzip_buffers 4 16k; 　　　　　　　　　　     #压缩缓冲区
gzip_http_version 1.0; 　　　　　　　　　　    #压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
gzip_comp_level 2;    　　　　　　　　　　　　   #压缩等级
gzip_types text/x-javascript text/css application/xml;　　　　#压缩类型，默认就已经包含text/html，所以下面就不用再写了，写上去也不会有问题，但是会有一个warn。
gzip_vary on;
#limit_zone crawler $binary_remote_addr 10m;　　 #开启限制IP连接数的时候需要使用



#虚拟主机的配置
server
{

listen 80;    　　　　　　　　　　　　　　　　　　　　　#监听端口

server_name localhost;    　　　　　　　　　　　　　　#提供服务的域名主机名
location / {　　　　　　　　　　　　　　　　　　　　#第一个location区块开始
root html； 　　　　　　　　　　　　　　　　　　　　 #站点的根目录，相当于Nginx的安装目录
index index.html index.htm index.jsp;　　    　　#默认的首页文件，多个用空格分开
} 　　　　　　　　　　　　　　　　　　　　　　　　 #第一个location区块结果



#图片缓存时间设置
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 10d;
}


#JS和CSS缓存时间设置
location ~ .*\.(js|css)?$
{
expires 1h;
}

# 限制某个请求地址访问的速度
location  {
	alias  /opt/test/code;
	# 开启目录列表访问 适合下载服务器 ，默认关闭
	autoindex on; 
	# 限制访问速度 （每秒传输1k 字节到）
	limit_rate 1k;
}

#日志格式设定
log_format access '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" $http_x_forwarded_for';

access_log /var/log/nginx/access_$(data+%F -d -1day).log access;　　　　#定义本虚拟主机的访问日志



location / {    　　　　　　　　　　　　　　　　　　　　　　    #对 "/" 启用反向代理
proxy_pass http://127.0.0.1:88;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr; 　　　　　　 #后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

#以下是一些反向代理的配置，可选
proxy_set_header Host $host;
client_max_body_size 10m; 　　　　　　　　　　　　    #允许客户端请求的最大单文件字节数
client_body_buffer_size 128k; 　　　　　　　　    #缓冲区代理缓冲用户端请求的最大字节数，
proxy_connect_timeout 90;　　　　　　　　　　　　#nginx跟后端服务器连接超时时间(代理连接超时)
proxy_send_timeout 90; 　　　　　　　　　　　　    #后端服务器数据回传时间(代理发送超时)
proxy_read_timeout 90;　　　　　　　　　　　　#连接成功后，后端服务器响应时间(代理接收超时)
proxy_buffer_size 4k; 　　　　　　　　　　　　    #设置代理服务器（nginx）保存用户头信息的缓冲区大小
proxy_buffers 4 32k; 　　　　　　　　　　　　    #proxy_buffers缓冲区，网页平均在32k以下的设置
proxy_busy_buffers_size 64k; 　　　　　　　　    #高负荷下缓冲大小（proxy_buffers*2）
proxy_temp_file_write_size 64k;    　　　　 #设定缓存文件夹大小，大于这个值，将从upstream服务器传

}

#设定查看Nginx状态的地址
location /NginxStatus {
stub_status on;
access_log on;
auth_basic "NginxStatus";
auth_basic_user_file conf/htpasswd;    　　　　　　#htpasswd文件的内容可以用apache提供的htpasswd工具来产生。

}

#本地动静分离反向代理配置
#所有jsp的页面均交由tomcat或resin处理
location ~ .(jsp|jspx|do)?$ {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8080;
}


#所有静态文件由nginx直接读取不经过tomcat或resin
location ~ .*.(htm|html|gif|jpg|jpeg|png|bmp|swf|ioc|rar|zip|txt|flv|mid|doc|ppt|pdf|xls|mp3|wma)$
{ expires 15d; }
location ~ .*.(js|css)?$
{ expires 1h; }
}
}

5 nginx 日志

# 检查 nginx.config是否正确 nginx -t  检查配置是否正确  -c xxx 表示nginx_config 地址
$ nginx -t -c  /nginx-test/nginx1.17.0/conf/nginx.config   
$ /usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
# 以nginx.conf  重启nginx
$ /usr/local/nginx/sbin/nginx -s reload -c /usr/local/nginx/conf/nginx.conf

6 nginx模块

6.1 --with-http_stub_status_module模块 nginx的客户端状态

Active connections: 2 # nginx的连接数
server accepts handled requests # nginx 握手 连接 请求数
2 2 3
Reading: 0 Writing: 1 Waiting: 1 # nginx 读 写 等待
参考：https://blog.csdn.net/li12412414/article/details/79234688

6.2 nginx 请求限制

Http请求建立在一次tcp连接上
一次tcp请求至少产生一次HTTP请求
参考：https://blog.csdn.net/qq_31964019/article/details/103502812

6.3 nginx 请求限制

（1）基于IP的访问控制。
（2）基于账号密码的访问控制
参考：https://blog.csdn.net/li12412414/article/details/79247561 nginx的访问控制

6.4 --with-http_gzip_static_module gzip_static 模块

./configure --with-http_gzip_static_module
注：安装多个模块 ./configure --with-http_gzip_static_module --with-http_stub_status_module

7 nginx 安全

7.1 恶意行为

1、爬虫行为 恶意抓取、恶意盗用
2、secure_link_module 对数据安全性提高加密验证和失效性，适合重要数据
3、access_module 对后台、部分用户服务的数据提供IP防控

7.2 常见攻击手段

1、后代密码撞库，获取后台登录密码
处理：① 后台密码复杂度 ② access_module 对 后台提供IP防护 ③预警机制
2、文件长传漏洞
3、sql注入

7.3 nginx+lua防火墙

参考：https://github.com/loveshell/ngx_lua_waf
拦截Cookie了类型攻击
拦截异常post请求
拦截cc攻击
拦截URL
拦截arg

参考：
nginx系列教程
nginx核心100讲
Nginx安装，目录结构与配置文件详解
如何隐藏nginx版本号
Nginx 负载均衡演示之 upstream 参数 & location 参数
nginx的访问控制
nginx编译安装和模块配置详解（nginx的各种模块 nice）
nginx location配置详细解释
nginx正则详细写法
Nginx 安装与部署配置以及Nginx和uWSGI开机自启