Nginx配置记录

已于 2023-03-17 15:10:50 修改
阅读量2.2k 收藏
点赞数
分类专栏: nginx 文章标签: linux nginx
于 2022-03-21 15:48:24 首次发布
本文链接:https://blog.csdn.net/springorg/article/details/123637395
版权 
#user  appuser;
worker_processes  1;
error_log  logs/error.log;
error_log  logs/error.log  notice;
#error_log  logs/error.log  info;
#pid        logs/nginx.pid;
events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
#配置安全审计功能
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
       			      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"'
                      '$upstream_addr $upstream_response_time $request_time ';
	access_log off;
    #gzip  on;
    server_tokens off;  #隐藏nginx的版本号

    server {
        listen       8082; #本地前端地址8082
        server_name  localhost;
	if ($host != '10.xxx.170.36'){
	rewrite ^/(.*)$ http://10.xxx.170.36:8082 permanent;
	}
	location ~ .*\.(gif|jpg|jpeg|bmp|swf)$
	{	

	expires 180d; #过期时间为6个月
	access_log off;

	}
#	location ~ .*\.(js|css)$
#	{
#	expires 12h;
#	access_log off;
#	}
	access_log /data/logs/10.xxx.170.36.log main;
     location / {
	autoindex off; #禁止遍历操作系统目录
    root   /data/dist; #前端访问地址
    try_files $uri $uri/ /index.html; #防止刷新404
#敏感字段进行过滤
	if ($query_string ~* "union.*select.*\("){
                rewrite ^/(.*)$ $host
                permanent;
                }
        if ($query_string ~* "concat.*\(") {
                rewrite ^/(.*)$ $host
                permanent;
                }
	}
 #	add_header 'Access-Control-Allow-Origin' '*';
        error_page   500 502 503 504  /50x.html;
   		location = /50x.html {
            root   html;
        }
    }
	proxy_set_header Host $http_host;
	proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	proxy_set_header X-Forwarded-Proto $scheme;
#openssl地址:nginx初始化编译openssl:./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-openssl=/data/openssl-1.1.1l/
    server {
        listen       443 ssl; #前端访问地址 443
        server_name  localhost;
        ssl_certificate     /usr/local/openssl/server.crt;
        ssl_certificate_key  /usr/local/openssl/server.key;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
#用作前端8082地址代理转发为443
        location / {
            proxy_pass   http://127.0.0.1:8082;
	}
}
#前端请求后端地址也要为https,所以转发为https:9002,前端请求9002.
    server {
        listen       9002 ssl;
        server_name  localhost;
#配置ssl
        ssl_certificate     /usr/local/openssl/server.crt;
        ssl_certificate_key  /usr/local/openssl/server.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
#			add_header Access-Control-Allow-Origin *;
#			add_header Access-Control-Allow-Methods 'GET, POST';
#			add_header 'Access-Control-Allow-Origin' '*';add_header 'Access-Control-Allow-Origin' '*';			
#后端中创http转发代理为https9002
            proxy_pass   http://10.xxx.170.37:9001;
	}
#禁止nginx访问 .htxxx文件
	location ~ /\.ht {
	deny all;
	}
}
	client_body_buffer_size 128k;
#自定义缓存以限制缓冲区溢出攻击
	client_header_buffer_size 1k;
	client_max_body_size 1024M;
	large_client_header_buffers 2 1k;
#配置控制台会话超时时间,限制登录终端空闲连接锁定超时时间
	client_body_timeout 10;
	client_header_timeout 10;
	send_timeout 10;
	fastcgi_intercept_errors on;

#限制ip在同一时间段内的访问次数
    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
    server{
        location / {
            limit_req zone=allips burst=5 nodelay;
        }
    }
    #limit_conn_zone one $binary_remote_addr 10m;
    #server{
    #    location / {
    #       limit_conn one 20;          #连接数限制
    #   }
    #}
}
twenty-six
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
There was a problem confirming the ssl certificate: [SSL: CERTIFICATE_VERIFY_FAILED]
麦地与诗人
12-28 2401
https://www.cnblogs.com/yinhaiping/p/13375375.html
信创国产中间件概览
ITSM/ITIL/网络安全/IT运维
05-04 9985
中间件国内中间件市场份额第一梯队仍然是IBM> 和Oracle,市场份额合计51%。第二梯队为五大国产厂商,包括东方通、普元信息、宝兰德、中创中间件、金蝶天燕,市场份额合计15%。东方通应用服务器TongWeb对标 开源:Apache-Tomcat消息中间件TongLINK/Q对标 IBM-MQSeries Microsoft Message-Queue(MSMQ) 开源:RabbitMQK
使用openssl命令行产生密钥对、签发证书[详细]
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-30 7750
这个公钥内容的前半部分是什么呢?注意:以下操作命令均在openssl的bin目录内执行。
使用openssl创建https证书
肥宝的实验室
03-07 601
原文地址:推荐看原文先上一张图,这张图就是用openssl生成证书的整个流程了,如何看这个图呢?这个图有A、B、C三个部分,分别用三种颜色框选了一下(给小编加鸡腿?),A部分是CA机构根证书的生成过程,这个过程需要先生成CA机构的私钥,再由CA机构的私钥生成CA机构证书申请文件,然后再由这两个文件生成根证书。B部分是生成服务器私钥,然后由服务器私钥生成服务器证书申请文件。C部分是最后一部分,也就是生成服务器的公钥证书,服务器的公钥证书需要三部分一起来生成,A部分的CA机构的私钥,CA机构的申请证书文件,B部
openssl 密钥生成和解析
JF223355的博客
12-12 2126
ANS.1编码规则 openssl的数据编码规则是基于ans.1: ASN.1(=Abstract Syntax Notation One),是一种结构化的描述语言,包括两部分,数据描述语言和数据编码规则。 数据描述语言标准:语言标准允许用户自定义的基本数据类型,并可以通过简单的数据类型组成更复杂的数据类型。 数据编码规则:这些编码方法规定了将数字对象转换成应用程序能够处理、保存、传输的二...
详解nginx 配置文件解读
09-29
【详解Nginx配置文件解读】 Nginx是一款高性能的HTTP和反向代理服务器,它的配置文件结构清晰,易于理解,对于服务器的管理和优化至关重要。本文将深入解析Nginx配置文件的各个部分,帮助读者更好地理解和配置Nginx...
Nginx 配置文件 nginx.conf 详解
10-20
Nginx 配置文件 nginx.conf 详解 Nginx 配置文件 nginx.conf 是 Nginx 服务器的核心配置文件,它控制着 Nginx 服务器的行为和性能。在这个配置文件中,我们可以设置服务器的用户和组、工作进程数、错误日志、进程...
前端必备Nginx配置详解
09-29
1. `nginx -t`: 检查Nginx配置文件的语法错误。 2. `nginx -s reload`: 实现热加载,重新加载配置文件,不影响正在处理的请求。 3. `nginx -s stop`: 快速关闭Nginx服务,不等待当前请求处理完毕。 4. `nginx -s ...
nginx配置文件详解中文版
09-30
Nginx配置文件详解】 在Nginx服务器中,`nginx.conf` 是主配置文件,它包含了所有关于Nginx服务器如何运行的基本指令。这个文件由多个部分组成,包括全局块、事件块、HTTP块以及server块。下面将详细解释这些块的...
nginx配置多域名访问以及完整配置
09-11
在本文中,我们将深入探讨如何配置Nginx以实现多域名访问,同时涵盖访问数量统计、日志请求头配置以及针对手机访问的重定向策略。 ### 1. Nginx多域名配置Nginx中,配置多域名主要通过`server`块来实现。每个`...
openssl生成认证证书的工具
10-21
最简单的方法,直接用java里的keytool工具生成一个keystore文件,然后直接用这个文件启用https就可以了。 方法如下: 命令行执行%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 执行过程中会询问你一些信息,比如国家代码,省市等,其中需要填写两个密码,一次在开头,一次在最后,请保持两个密码相同。比如,我将密码都设成s3cret。 如果不同,启动会报错,大概是下面这样的 java.io.IOException: Cannot recover key 执行完成后会生成一个.keystore文件,将它复制到tomcat的bin目录下(并不一定,放哪里都可以) 打开conf目录下的server.xml文件,找到以下这一段 它被注释掉了,将注释去掉,并将这一段改成以下 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 之后启动tomcat就可以了,通过https方式访问8443端口,就能看到效果。如果用http访问之前的端口,那么还是普通的未加密连接。 到这里问题来了,我的目的是启用https,但现在http还能访问,那么就可以绕开https。https也就起不了什么作用了。因此要强制访问https。 打开你的web应用的web.xml文件,在最后加上这样一段 Protected Context /* CONFIDENTIAL 重启tomcat,现在你放问原来的地址,假设是http://localhost:8080/mywebapp/,可以看到,连接被重定向到了https的连接 https://localhost:8443/mywebapp/。这样,我们的目的达到了。 但似乎还有点小问题,keystorePass="s3cret",这个密码直接被明码方式卸载server.xml里。总觉得有还是有点不爽。 那么还有一种稍微复杂点的方式,我们使用openssl。 首先,需要下载openssl,为了方便,可以下载一个绿色版, 加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。 运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为certreq.csr的证书请求文件。 如果你要向证书颁发机构申请正式的安全证书,那么就把这个certreq.csr文件发给他们就行了。他们会给你发来两个cer文件,一个是服务器证书,一个是根证书 如果你只是要使用https,那么证书自己签署就可以了。 在命令行下进入刚才解压的目录,找到openssl.exe所在的目录,执行以下命令 openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650 现在你将得到一个名为cert.cer的证书文件。 修改server.xml将 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 修改为以下内容(假设cert.cer和server.key文件都放在tomcat的conf目录下) maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/cert.cer" SSLCertificateKeyFile="conf/server.key" sslProtocol="TLS" /> PS.如果真的向证书颁发机构申请到了正式的安全证书,那么配置还有点不同,如下 maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/server.cer" SSLCertificateKeyFile="conf/server.key" SSLCertificateChainFile="conf/intermediate.cer" sslProtocol="TLS" /> 因为证书颁发机构会给两个整数,一个是签署后的服务器证书,还有一个中级CA证书,所以要多一行配置。 可能证书颁发机构只会给你服务器证书也就是server.cer, 中级的CA证书即 intermediate.cer 需要到 证书颁发机构提供的网站中去下载,具体的操作会为证书颁发机构给发的邮箱中会有相关的提示 好了,到这里都配置完了,重启tomcat,就可以看到效果。不过,看到的通常会是一个exception,大概是说APR not available 如果遇到这个异常,说明你的tomcat没有安装apr支持 apr安装详见:http://www.blogjava.net/yongboy/archive/2009/08/31/293343.html 之后启动tomcat,问题应该解决了,看起来效果和第一种方式没什么不同。
Nginx 配置文件上传与下载
01-09
最近在做项目中需要给前端提供文件下载链接,所以借着机会搭建了基于Nginx的文件服务器,特此记录便于日后查阅。 1、配置文件 需要修改 nginx.conf 配置文件(内网地址:10.12.1.215、外网地址:113.98.58.42),...
企业级应用Nginx配置案例
12-20
本文将基于“企业级应用Nginx配置案例”这一主题,深入探讨Nginx配置知识,以帮助你在实际工作中更好地理解和应用。 首先,Nginx配置文件通常位于`/etc/nginx/nginx.conf`,它由多个块组成,如`http`、`server`和...
nginx中用JSON格式记录日志的配置示例
09-30
主要介绍了nginx中用JSON格式记录日志的配置示例,其实就是定义一个JSON的日志格式,然后在需要的地方调用即可,需要的朋友可以参考下
nginx配置详解
06-04
nginx 配置详解 Nginx 配置文件(nginx.conf)是 Nginx 服务器的核心配置文件,用于控制 Nginx 服务器的行为和性能。本文将对 Nginx 配置文件中的各个配置项进行详细的解释和注释。 用户和工作进程 * `user nginx...
ssl协议、openssl以及创建私有CA
weixin_33975951的博客
01-07 112
实验环境:RHEL5.8 32BitSSL协议、OpenSSL以及创建私有CA详解·如果通信双方其中某一方的私钥丢失了该怎么办?在通信的过程中,收发双反任何一方的私钥丢失,都会导致它们的数字证书失效,所以任何基于此证书建立的通信都应该宣布失效,那么我们应该如何在互联网上实现这种失效的功能呢?这种功能其实还是得依靠CA来实现,事实上一个完整的CA,还应该维护一个列表,叫...
SSL基础:16:非交互方式生成CSR证书签名文件
知行合一 止于至善
12-13 1264
这篇文章介绍一下CSR证书请求文件交互方式和非交互方式的生成方法。
【转帖】互联网加密及OpenSSL介绍和简单使用
weixin_30617695的博客
01-07 361
转帖:https://mritd.me/2016/07/02/%E4%BA%92%E8%81%94%E7%BD%91%E5%8A%A0%E5%AF%86%E5%8F%8AOpenSSL%E4%BB%8B%E7%BB%8D%E5%92%8C%E7%AE%80%E5%8D%95%E4%BD%BF%E7%94%A8/#一互联网通信安全简述 一、互联网通信安全简述 1.1、安全问题 随着互联网...
OpenSSL加解密使用
nb1253587023的博客
06-26 3459
csdn
Nginx安装及配置笔记
最新发布
10-12
Nginx安装及配置笔记,步骤过程非常详细

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

twenty-six

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值