nginx基础

最新推荐文章于 2020-07-09 14:12:28 发布
最新推荐文章于 2020-07-09 14:12:28 发布
阅读量684 收藏
点赞数 1
原文链接:http://blog.51cto.com/13910274/2167141
版权 
6.10 访问控制
用于location段
allow:设定允许哪台或哪些主机访问,多个参数间用空格隔开
deny:设定禁止哪台或哪些主机访问,多个参数间用空格隔开

[root@yanyinglai3 conf]# vim nginx.conf
        location / {
            root   html;
            index  index.html index.htm;
            allow  192.168.47.1;
            deny all;
        }
[root@yanyinglai3 conf]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 conf]# nginx -s reload

nginx基础


设置拒绝本机访问

[root@yanyinglai3 conf]# vim nginx.conf
             location / {
            root   html;
            index  index.html index.htm;
            deny  192.168.47.1;
            allow all;
        }
[root@yanyinglai3 conf]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 conf]# nginx -s reload

nginx基础

6.11基于用户认证
[root@yanyinglai3 ~]# cd /usr/local/nginx/
[root@yanyinglai3 nginx]# mkdir auth
[root@yanyinglai3 nginx]# cd auth
[root@yanyinglai3 auth]# pwd
/usr/local/nginx/auth
[root@yanyinglai3 auth]# yum provides *bin/htpasswd

[root@yanyinglai3 auth]# yum -y install httpd-tools
[root@yanyinglai3 auth]#  htpasswd -c -m /usr/local/nginx/auth/.user_auth_file tom
New password:
Re-type new password:
Adding password for user tom
[root@yanyinglai3 auth]#  cat /usr/local/nginx/auth/.user_auth_file
tom:$apr1$ZMJK3Hqt$awuiBTxnC.zVSbfg8LDEc0
[root@yanyinglai3 auth]#  vim /usr/local/nginx/conf/nginx.conf
       location / {
            root   html;
            index  index.html index.htm;
            auth_basic "welcome to there";
            auth_basic_user_file ../auth/.user_auth_file;
        }

[root@yanyinglai3 auth]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 auth]# nginx -s reload

nginx基础

**httpd配置**
1.生成私钥
CA的配置文件:/etc/pki/tls/openssl.cnf

[root@yanyinglai3 ~]# cd /etc/pki/CA
[root@yanyinglai3 CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)    #生成密钥,括号必须要
Generating RSA private key, 2048 bit long modulus
..+++
...........+++
e is 65537 (0x10001)

[root@yanyinglai3 CA]# openssl rsa -in private/cakey.pem -pubout       #提取公钥
writing RSA key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4yQE0uPpr50yAothrcpW
7b/jJ8F2DiiEJbJDNH7COycZTbKOgVPwfOVapNE9wA9oiOLO3SVZZWVgprScyAJ1
rqte2Eta7uVoXgaXXLPFp+iR7uTwiiZCA2xfuc7CyumFErCfbkW1+wWPab3R8Gfg
aHPh+C84nEyrfDC3EAHyNQiNudt8UWKPW9dzc6K7coBasn6fAkHcaS59NPpqtk/R
9W9G4TZ19ZEQ7yU7dSW1llh2eUtgYHNhB5iHmUMk16ARmp+Fq3oIzYxqLfy5tE9+
MBu28nEtR1K7gunQvYsL3NvbckEzVsJL5xCrUNLyVdiDuOxqCb2cOOzhNscwnUuu
MwIDAQAB
-----END PUBLIC KEY-----

CA生成自签署证书
[root@yanyinglai3 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365    #生成自签署证书
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:hb
Locality Name (eg, city) [Default City]:wh
Organization Name (eg, company) [Default Company Ltd]:www.yanyinglai.com
Organizational Unit Name (eg, section) []:www.yanyinglai.com
Common Name (eg, your name or your server's hostname) []: www.yanyinglai.com
Email Address []:yanyinglai@qq.com
[root@yanyinglai3 CA]#  openssl x509 -text -in cacert.pem #读出cacert.pem证书的内容
[root@yanyinglai3 CA]#  openssl x509 -text -in cacert.pem
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            bb:3b:5f:52:c2:dc:0f:0e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=cn, ST=hb, L=wh, O=www.yanyinglai.com, OU=www.yanyinglai.com/emailAddress=yanyinglai@qq.com
        Validity
            Not Before: Aug 31 03:27:38 2018 GMT
            Not After : Aug 31 03:27:38 2019 GMT
        Subject: C=cn, ST=hb, L=wh, O=www.yanyinglai.com, OU=www.yanyinglai.com/emailAddress=yanyinglai@qq.com

[root@yanyinglai3 CA]# mkdir certs newcerts crl
[root@yanyinglai3 CA]# touch index.txt && echo 01 > serial

客户端(nginx)生成密钥
[root@yanyinglai3 CA]# cd /usr/local/nginx/
[root@yanyinglai3 nginx]# mkd
mkdict    mkdir     mkdumprd  
[root@yanyinglai3 nginx]# mkdir ssl
[root@yanyinglai3 nginx]# cd ssl
[root@yanyinglai3 ssl]# (umask 077;openssl genrsa -out nginx.key 2048)
Generating RSA private key, 2048 bit long modulus
...........+++
.................................+++
e is 65537 (0x10001)

客户端生成证书签署请求
[root@yanyinglai3 ssl]# openssl req -new -key nginx.key -days 365 -out nginx.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:hb
Locality Name (eg, city) [Default City]:wh
Organization Name (eg, company) [Default Company Ltd]:www.yanyinglai.com
Organizational Unit Name (eg, section) []:www.yanyinglai.com
Common Name (eg, your name or your server's hostname) []: www.yanyinglai.com
Email Address []:yanyinglai@qq.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@yanyinglai3 ssl]#  openssl ca -in ./nginx.csr -out nginx.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
The commonName field needed to be supplied and was missing
[root@yanyinglai3 ssl]# ls
nginx.crt  nginx.csr  nginx.key

编辑配置文件
[root@yanyinglai3 ~]# vi /usr/local/nginx/conf/nginx.conf

   server {
        listen       443 ssl;
        server_name  www.yanyinglai.com;

        ssl_certificate      ../ssl/nginx.crt;
        ssl_certificate_key  ../ssl/nginx.key;;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

}

测试语法以及加载nginx

[root@yanyinglai3 ssl]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx:configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 ssl]# nginx -s reload

在本机加入ip与网站的映射关系
nginx基础

nginx基础

6.13开启状态界面
开启status:
location /status {
stub_status {on | off};
allow 172.16.0.0/16;
deny all;
}
访问状态页面的方式:http://server_ip/status

[root@yanyinglai3 conf]# vim nginx.conf

        }
        location /status {
            stub_status on;
            allow 192.168.47.1;
            deny all;
        }

[root@yanyinglai3 conf]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 conf]# nginx -s reload

nginx基础

6.14 rewrite

[root@yanyinglai3 ~]# cd /usr/local/nginx/
[root@yanyinglai3 nginx]# cd html
[root@yanyinglai3 html]# ls
50x.html  index.html
[root@yanyinglai3 html]# mkdir images
[root@yanyinglai3 html]# ls
50x.html  images  index.html
[root@yanyinglai3 html]# cd images/
[root@yanyinglai3 images]# ls
[root@yanyinglai3 images]# ls
1.jpg.jpg
[root@yanyinglai3 images]# cd /usr/local/nginx/
[root@yanyinglai3 nginx]# vim conf/nginx.conf

          location / {
            root   html;
            index  index.html index.htm;
        }

        location /images {
            root  html;
            index index.html;
        }

[root@yanyinglai3 nginx]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 nginx]# nginx -s reload

nginx基础

[root@yanyinglai3 nginx]# cd html
[root@yanyinglai3 html]# mv images imgs

[root@yanyinglai3 imgs]# mv 1.jpg.jpg 1.jpg
[root@yanyinglai3 imgs]# ls
1.jpg
[root@yanyinglai3 nginx]# vim conf/nginx.conf
         location / {
            root   html;
            index  index.html index.htm;
        }

        location /images {
            root  html;
            index index.html;
            rewrite ^/images/(.*\.jpg)$ /imgs/$1 break;
        }

[root@yanyinglai3 nginx]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 nginx]# nginx -s reload

nginx基础

[root@yanyinglai3 nginx]# vim conf/nginx.conf
          location / {
            root   html;
            index  index.html index.htm;
        }

        location /images {
            root  html;
            index index.html;
            rewrite ^/images/(.*\.jpg)$ http://www.baidu.com redirect;
        }

[root@yanyinglai3 nginx]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 nginx]# nginx  -s reload

nginx基础

[root@yanyinglai3 nginx]# vim conf/nginx.conf
          location / {
            root   html;
            index  index.html index.htm;
        }

        location /images {
            root  html;
            index index.html;
            rewrite ^/images/(.*\.jpg)$ http://192.168.228.30/index.html redirect;

        }

[root@yanyinglai3 nginx]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 nginx]# nginx -s reload

nginx基础

6.15 if
语法:if (condition) {...}
应用场景:
server段
location段

常见的condition
变量名(变量值为空串,或者以“0”开始,则为false,其它的均为true)
以变量为操作数构成的比较表达式(可使用=,!=类似的比较操作符进行测试)
测试指定路径为文件的可能性(-f ,!-f)
测试指定路径为目录的可能性(-d ,!-d)
测试文件的存在性(-e , !-e)
检查文件是否有执行权限(-x , !-x)

基于浏览器实现分离案例
if ($http_user_agent ~ Firefox)
rewrite ^(.*)$ /firefox/$1 break;
}

if ($http_user_agent ~ MSIE) {
rewrite ^(.)$ /msie/$1 break;
}
if ($http_user_agent ~ Chrome) {
rewrite ^(.)$ /chrome/$1 break;
}

防盗链案例
location ~* .(jpg|gif|jpeg|png)$ {
valid_referer none clocked www.idfsoft.com;
if ($invalid_referer) {
rewrite ^/ http://www.idfsoft.com/403.html;
}
}

6.16 反向代理与负载均衡
nginx 通常被用作后端服务器的反向代理,这样就可以很方便的实现动静分离以及负载均衡,从而大大提高服务器的处理能力。

nginx实现动静分离,其实就是在反向代理的时候,如果是静态资源,就直接从nginx发布的路径去读取,从而不需要从后台服务器获取了。

但是要注意,这种情况下需要保证后端跟前段的程序保持一致,可以使用rsync做服务端自动同步或者使用nfs ,mfs 分布式共享存储。

http proxy 模块,功能很多,最常用的是proxy_pass 和 proxy_cache

如果要使用proxy_cache , 需要集成第三方的ngx_cache_purge 模块,用来清除指定的URL缓存。这个集成需要在安装nginx的时候去做,如:
./configure --add-module=../ngx_cache_purge-1.0 ......

nginx通过upstream模块来实现简单的负载均衡,upstream需要定义在http段内

在upstream段内,定义一个服务器列表,默认的方式是轮询,如果要确定同一个访问者的请求总是由同一个后端服务器来处理,可以设置ip_hash。

注意:这个方法本质还是轮询,而且由于客户端的ip可能是不断变化的,比如动态ip,代理,×××等,因此ip_hash并不能完全保证同一个客户端总是由同一个服务器来处理。

192.168.47.12            #下载nginx
192.168.47.2              #下载apache
192.168.47.11            #下载apache

关闭防火墙
[root@yanyinglai ~]# systemctl stop firewalld
[root@yanyinglai ~]# systemctl disable firewalld
[root@yanyinglai ~]# setenforce 0

[root@yanyinglai ~]# mount /dev/cdrom /mnt
mount: /dev/sr0 写保护,将以只读方式挂载
[root@yanyinglai ~]# vi /etc/yum.repos.d/yan.repo
[root@yanyinglai ~]# yum clean all
[root@yanyinglai yum.repos.d]# cd
[root@yanyinglai ~]# yum -y install httpd

[root@yanyinglai ~]# cd /var/www/html/     
[root@yanyinglai html]# ls
[root@yanyinglai html]# echo "123456" > index.html         #192.168.47.2服务器
[root@yanyinglai html]# systemctl start httpd
[root@yanyinglai html]# ss -antl

[root@yanyinglai ~]# cd /var/www/html/
[root@yanyinglai html]# ls
[root@yanyinglai html]# echo "456789" > index.html      #192.168.47.11服务器
[root@yanyinglai html]# systemctl start httpd
[root@yanyinglai html]# ss -antl

#192.168.47.12服务器
[root@yanyinglai3 ~]# cd /usr/local/nginx/
[root@yanyinglai3 nginx]# ls
client_body_temp  fastcgi_temp  logs        sbin       uwsgi_temp
conf              html          proxy_temp  scgi_temp
[root@yanyinglai3 nginx]# vim conf/nginx.conf

upstream web {
       server 192.168.47.2;
       server 192.168.47.11;
    }

        location / {
            proxy_pass http://web;
        }

[root@yanyinglai3 nginx]# cd
[root@yanyinglai3 ~]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@yanyinglai3 ~]# nginx -s reload

测试:
nginx基础
nginx基础

转载于:https://blog.51cto.com/13910274/2167141

weixin_33911824
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx 基础
12-18
nginx 基础安全体系架构 视频 ,基础概念讲解,适用场景
生成PKI公私密钥对及数字证书
飞鸟
05-27 4926
转载自:http://openwares.net/misc/pki_key_pair_certificate.html PKI体系是数字证书的基础。 有些情形只需要公私密钥对就够了, 不需要数字证书,比如私有的SSH服务。但是对于一些要求身份认证的情形,则需要对公钥进行数字签名形成数字证书。 公私密钥对(key pair) 有两种常见的工具来生成RSA公私密钥对
openssl生成自签证书
wl21787的博客
07-09 2340
文章目录openssl基础信息查看openssl版本查看版本更详细的信息生成自签证书在确定配置为CA的服务器上生成一个自签证书生成CA根密钥生成CA自签证书要用到证书进行安全通信的服务器,需要向CA请求签署证书生成私钥生成证书签署请求将请求通过可靠方式发送给CA主机在CA主机上签发证书遇到的问题:吊销证书在客户端获取要吊销的证书的serial在CA服务器吊销证书根据上一步查到的serial,吊销相应的证书生成吊销证书的吊销编号(第一次吊销证书时执行)更新证书吊销列表查看crl文件 openssl基础信息 查
使用OpenSSL生成证书
明明
04-04 2037
使用OpenSSL生成证书     下载安装openssl,进入/bin/下面,执行命令(把ssl目录下的openssl.cnf 拷贝到bin目录下) 1.首先要生成服务器端的私钥(key文件): openssl genrsa -des3 -out server.key 1024 [root@airwaySSL openssl]# cd ssl/ [root@airwaySSL ssl
https学习笔记三----OpenSSL生成root CA及签发证书
weixin_30877493的博客
03-12 730
在https学习笔记二,已经弄清了数字证书的概念,组成和在https连接过程中,客户端是如何验证服务器端的证书的。这一章,主要介绍下如何使用openssl库来创建key file,以及生成root CA及签发子证书。学习主要参考官方文档:https://www.feistyduck.com/library/openssl-cookbook/online/ch-openssl.ht...
OpenSSL创建私有CA
留记
03-12 2378
PKI 公开密钥基础建设(英语:Public Key Infrastructure,缩写:PKI),又称公开密钥基础架构、公钥基础建设、公钥基础设施或公钥基础架构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。 密码学上,公开密钥基础建设借着数字证书认证机构(CA)将用户的个人身份跟公开密钥链接在一起。对每个证书中心用
nginx 基础,pdf
10-18
nginx 基础,pdf
nginx基础入门篇学习
01-01
学会nginx就用这个,敲开nginx大门。
nginx基础配置说明一则
09-30
nginx基础配置说明一则,有需要的朋友可以参考下
Nginx基础,适用于小白
最新发布
02-23
nginx基础,主要有nginx介绍、安装。常用命令、配置详解、nginx实现反向代理、动静分离、URL rewire 、防盗链、线上实战等。 适用于nginx小白入门,帮你快速入门nginx
nginx基础知识资料
03-18
nginx基础知识资料
nginx基础配置.pdf
05-28
基础
nginx基础知识.pdf
02-13
nginx基础知识.pdf
nginx基础介绍
07-25
nginx介绍
nginx-basics:Nginx基础
05-01
NGINX基础NGINX Plus实施为两个或多个HTTP服务的HTTP和HTTPS(SSL终止)负载均衡器 目标 提供各种NGINX Plus演示 教授设置NGINX Plus的过程和每个步骤的含义 提供NGINX配置最佳实践的示例 给您使用NGINX Plus的...
svn 错误 以及 中文翻译
热门推荐
内方外圆
06-03 12万+
<br />比较长,如何查找不方便的话,用查找“CTRL+F”吧<br /> <br /> <br /># # Simplified Chinese translation for subversion package # This file is distributed under the same license as the subversion package. # # Update to new pot: # msgmerge --update zh_CN.po subversio
Openssl搭建私有CA认证
weixin_33754913的博客
09-21 157
概述CA英文全称Certification Authority,即数字证书认机构。从广义上来说,CA是负责发放和管理数字证书的权威机构,并作为用户数字认证中受信任的第三方,承担公钥体系(PKI)中公钥的合法性检验的责任,在互联网上,实现用户与用户、用户与企业之间的数字身份认证。本文通过使用openssl进行搭建私有CA认证体系,从而简单地了解CA的认证过程。搭建私有CA,可以...
openssl签名时报:the stateOrProvinceName field needed to be the same
xiuxian1的专栏
07-23 1520
是因为在openssl.cfg中的policy_match里面的前三个都选了match,修改成 stateOrProvinceName = optional organizationName = optional 就可以了。
MAC OpenSSL: OpenSSL CA Signing Error field needed to be the same in the CA certificate
坚果技术基地
07-06 2824
在MAC OS使用命令行OpenSSL生成SSL证书时,openssl报错: The stateOrProvinceName field needed to be the same in the CA certificate (Beijing) and the request (Beijing) 解决方法,编辑:/System/Library/OpenSSL/openssl.cnf
nginx 基础配置
09-06
- *3* [Nginx基础配置](https://blog.csdn.net/weixin_41968982/article/details/123687834)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值