Nginx配置防盗链和内核参数优化

最新推荐文章于 2022-08-05 02:59:55 发布
最新推荐文章于 2022-08-05 02:59:55 发布
阅读量302 收藏
点赞数
分类专栏: Nginx 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43815140/article/details/105182951
版权

前言

  • 理解盗链与防盗链
  • 内核参数优化
为什么要配置防盗链呢?

这么来说,我们在自己网站上存放的图片等其他静态资源,辛辛苦苦搭建好,就是想自家来点流量,结果被他人做了盗链,链接到他们的网站上,别人访问链接时,增加他的访问量,但消耗自己的服务器资源。气不气?所以建议大家没必要都公开发布的都做好防盗链。
防止别人直接从你网站引用图片等链接,消耗了你的资源和网络流量,那么我们的解决办法由几种:
1:水印,品牌宣传,你的带宽,服务器足够
2:防火墙,直接控制,前提是你知道IP来源
3:防盗链策略下面的方法是直接给予404的错误提示或重定向

防盗链的原理

防盗链的原理是加入location项,用正则表达式过滤图片类型文件,对于信任的网站可以使用,不信任的返回404或响应的错误图片。

模拟盗链
域名ip地址备注
nginx服务器(www.daolian.com)172.16.46.115nginx已经安装
nginx服务器(www.yuan.com)172.16.46.114nginx已经安装

1>//在www.yuan.com里html里面添加snow.jpg,已提供外网的访问

[root@yuan www]# cd /usr/local/nginx/html/
[root@yuan html]# ls
403.html  50x.html  index.html  snow.jpg

在这里插入图片描述

2>//修改/etc/hosts/文件,使相互能够域名解析到

[root@172.16.46.115 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
172.16.46.115	www.daolian.com

[root@172.16.46.114 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
172.16.46.114	www.yuan.com www.yuan1.com

宿主机访问也需要修改hosts文件
在这里插入图片描述

3>//修改daolian.com主机的默认index.html,添加盗链的图片链接

[root@172.16.46.115 ]# cat /usr/share/nginx/html/index.html 
<img src="http://www.yuan.com/snow.jpg" />
[root@172.16.46.115 ]#

4>//访问www.daolian.com的首页,测试盗链是否成功!
在这里插入图片描述

以上就是模拟了盗链的场景,现实生产也很常见,为了避免这种情况,下面就做了防盗链

设置防盗链

1>//修改[root@yuan html]# vim /usr/local/nginx/conf/nginx.conf

添加以下内容:
 location ~* ^.+\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {
        valid_referers none blocked *.yuan.com yuan.com;
        if ($invalid_referer) {
        rewrite ^/ http://www.yuan1.com/timg.jpg; #重定向到yuan1.com下的图片
        #return 404;

        }
        access_log off;
    }
保存退出
nginx -s reload

添加重定向到yuan1.com的虚拟主机

在这里插入图片描述

[root@yuan html]# cd /www
[root@yuan www]# ls
403.html  timg.jpg

referer:http请求来源
valid-referers:白名单,允许通过的refer,即信任的网站
none:表示refer为空,直接在浏览器访问图片
blocked:refer不为空,但是值被代理或防火墙删除了后面网站或域名:referer里包含的相关字符串
if语句:如果链接的来源域名不在valid_referers所列出的列表里$invalid_referers则值为1,执行后面操作,进行重写或返回404

防盗链设置好以后,再来模拟盗链访问
可以看见,已经无法获取到有效的资源了!

在这里插入图片描述

nginx内核参数优化

编辑这个vim /etc/stsctl.conf 修改参数
nginx有着响当当的优点——高并发,官方给出数据3-5万并发,真实环境中谁设置谁倒霉,1-2万常见,就ok,就这比apache强的好多,听朋友说300-500(apache)就不错了,I/O模型不同,知道就ok了,下面聊一聊这些参数都是什么意思。
fs.file-max = 4096:这个参数表示进程(比如一个 worker 进程)可以同时打开的最大句柄数,这个参数直线限制最大并发连接数,需根据实际情况配置。

net.ipv4.tcp_max_tw_buckets = 6000 #这个参数表示操作系统允许 TIME_WAIT 套接字数量的最大值,如果超过这个数字,TIME_WAIT 套接字将立刻被清除并打印警告信息。该参数默认为 180000,过多的 TIME_WAIT 套接字会使 Web 服务器变慢。

net.ipv4.ip_local_port_range = 1024 65000 #允许系统打开的端口范围。
net.ipv4.tcp_tw_recycle = 1 #启用 timewait 快速回收。
net.ipv4.tcp_tw_reuse = 1 #开启重用。允许将 TIME-WAIT sockets 重新用于新的 TCP 连接。这对于服务器来说很有意义,因为服务器上总会有大量 TIME-WAIT 状态的连接。
net.ipv4.tcp_keepalive_time = 1200:这个参数表示当 keepalive 启用时,TCP 发送 keepalive 消息的频度。默认是 2 小时,若将其设置的小一些,可以更快地清理无效的连接。

net.ipv4.tcp_syncookies = 1 #开启 SYN Cookies,当出现 SYN 等待队列溢出时,启用 cookies 来处理。

net.core.somaxconn = 256 #web 应用中 listen 函数的 backlog 默认会给我们内核参数的net.core.somaxconn 限制到 128,而 nginx 定义
NGX_LISTEN_BACKLOG 默认为 511,所以有必要调整这个值。

net.core.netdev_max_backlog = 20480#每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。

net.ipv4.tcp_max_syn_backlog = 8192#这个参数标示 TCP 三次握手建立阶段接受 SYN 请求队列的最大长度,默认为 1024,将其设置得大一些可以使出现 Nginx 繁忙来不及 accept 新连接的情况时,Linux 不至于丢失客户端发起的连接请求。

net.ipv4.tcp_rmem = 10240 87380 12582912#这个参数定义了 TCP 接受缓存(用于 TCP 接受滑动窗口)的最小值、默认值、最大值。

net.ipv4.tcp_wmem = 10240 87380 12582912:这个参数定义了 TCP 发送缓存(用于 TCP 发送滑动窗口)的最小值、默认值、最大值。

net.core.rmem_default = 6291456:这个参数表示内核套接字接受缓存区默认的大小。
net.core.wmem_default = 6291456:这个参数表示内核套接字发送缓存区默认的大小。
net.core.rmem_max = 12582912:这个参数表示内核套接字接受缓存区的最大大小。
net.core.wmem_max = 12582912:这个参数表示内核套接字发送缓存区的最大大小。
net.ipv4.tcp_syncookies = 1:该参数与性能无关,用于解决 TCP 的 SYN 攻击。

例子:

[root@localhost ~]# vim /etc/sysctl.conf
fs.file-max = 4096
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 40960
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 1024 65000

执行 sysctl -p 使内核修改生效

YDDtloml
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx配置优化防盗链
kid00013的博客
05-06 1536
目录 1.隐藏Nginx版本号 法一:修改Nginx配置文件的http模块 法二:修改源码文件,重新编译安装 2.修改用户和组 3.设置网站的缓存时间 4.日志切割 5.设置网络超时时间 6.更改进程数 7.配置防盗链 1.隐藏Nginx版本号 法一:修改Nginx配置文件的http模块 这个字段需要手动写入 完成配置之后,重启服务 或者我们可以使用下面的命令查看网址的数据 curl -I IP地址 法二:修改源码文件,重新编译安装 修改配置文件.
Nginx优化防盗链相关配置
tefuiryy的博客
01-26 152
Nignx优化防盗链相关配置一、隐藏 Nginx版本号1、如何隐藏Nginx版本号及其必要2、隐藏 Nginx版本号配置命令二、修改用户与组三、配置缓存时间四、日志分割五、连接超时六、更改进程数七、配置网页压缩八、防盗链九、fpm参数优化 一、隐藏 Nginx版本号 1、如何隐藏Nginx版本号及其必要 (1)为何需要隐藏Nginx版本号:在生产环境中,需要隐藏Ngnx的版本号,以避免安全漏洞的泄漏 (2)查看Nginx版本号的方法: 使用fiddler工具在 Windows客户端查看 Nginx版本号
解决图片防盗链导致图片显示不出来(适合所有的防盗链图片
weixin_30791095的博客
07-25 2075
图片防盗链因为之前使用了豆瓣的图书 API 用着的时候web 系统突然发现所有的图片都访问不了、然后谷歌一查原来豆瓣采取了防盗链。 问题很简单,就是我希望在自己的页面里用 \<img src=”xxxx” \/> 来引用其他网站的一张图片,但是他的网站设置了防盗链的策略,会在后台判断请求的Referrer属性是不是来自于一个非本域名的网站,如果来源不是本域名就返回 403 forb...
图片跨域报错404
Satosere的博客
10-08 1154
图片跨域报错404 文章目录图片跨域报错404前言一、总结 前言 一、 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。 ...
nginx 实现图片防盗链
m0_67505824的博客
03-14 759
什么是 Referer Referer 首部包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 首部识别访问来源,可能会以此进行统计分析、日志记录以及缓存优化等。 通俗来说,假如我通过 Google 搜索去搜索referer,然后搜索引擎给出了一堆链接,这个时候,我点击链接,那么 http 头就会带上 referer 字段信息,并且值就是 Google 搜索的 url 地址https://www.google.com;因此,假设从 A 网址到
Nginx跨域配置防盗链配置
Hello World
02-13 1378
跨域配置 当出现403跨域错误的时候No 'Access-Control-Allow-Origin' header is present on the requested resource,需要给Nginx服务器配置响应的header参数: server { listen 80; server_name test.cross.com; if ( $host ~ (.*).cross.com){ set $domain $1;##记录二级域名值 } #是否允许请求带有验证信息 add_he
Nginx配置防盗链的完整步骤
09-29
本篇文章将详细介绍如何在Nginx配置防盗链。 ### 一、需求分析 通常情况下,网站所有者希望防止其他网站未经许可直接引用其服务器上的视频和图片资源,因为这可能会导致大量的流量损失,特别是对于付费的流媒体...
Nginx图片防盗链配置实例
09-30
Nginx图片防盗链配置是保护网站资源不被其他站点无授权引用的一种技术措施,它有助于减少不必要的带宽消耗和流量损失。以下是对Nginx图片防盗链配置的详细解释: 1. **基本原理**: 图片防盗链主要是通过检查HTTP...
Nginx跨域访问场景配置防盗链详解
09-29
在本文中,我们将深入探讨Nginx服务器在处理跨域访问和防盗链方面的配置。跨域访问控制和防盗链是Web服务器管理中两个重要的安全措施,它们对于保护网站资源和确保正常用户体验至关重要。 首先,我们来理解一下为...
Nginx优化防盗链实践教程
02-25
Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为“engineX”,是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP代理服务器.Nginx是由俄罗斯人IgorSysoev为俄罗斯访问量第二的...
Nginx防盗链
feinifi的博客
02-14 1万+
防盗链的概念很早就听过,一直没有做过研究,这里谈谈学习之后的理解。 概述: 对于图片来说,A网站,如果想使用B网站的图片,可以直接写上B网站图片的链接地址,或者将B网站的图片通过右键另存为的方式下载到本地,然后在页面上使用。如果B网站不想A网站这么干了,那么B网站可以采取防盗链的措施来干这个工作,结果就是,A网站想请求所需要的资源,通过url的方式,获取的可能不是原来的图片了,出现404或者别...
nginx配置防盗链
光头强的博客
05-05 1156
一、什么是盗链 盗链概念:盗链是指在自己的页面上展示一些并不在自己服务器上的内容。 例如: 我将CSDN的logo地址放到了我的线上服务器上: 这样,通过盗链的方法可以减轻自己服务器的负担,因为真实的空间和流量均是来自别人的服务器。受益的是自己,别人反而得到了损失 下面的动图应该很形象的说明了吧,哈哈: 二、什么是防盗链 通过Referer或者签名,网站可以检测目标网页访问的来源页,如果是指...
nginx服务器网站防盗链,Nginx防盗链详细设置 - YangJunwei
weixin_28347369的博客
08-11 1804
最近发现自己发布的微博都被些个网站直接收录,但图片地址却还是诺豆网的!!扯淡!!只能搞搞Nginx防盗链,网卡有类似三种方法,整理分享一下:一、针对文件后缀名进行防盗链nginx.conf 添加规则:location ~* \.(gif|jpg|png|swf|flv)$ {valid_referers none blocked yangjunwei.com ;if ($invalid_refe...
Nginx防盗链原理和配置
最新发布
qq_57377057的博客
08-05 5441
防盗链简单来说就是存在我们服务中的一些资源,只有我们规定的合法的一类人才能去访问,其他人就不能去访问的资源(如css,js,img等资源)。具体点就是用户发送请求给nginx服务器,nginx服务器根据请求去寻找资源,请求的比如说是有个index.html文件,这个文件中会包含很多js,css,img等资源,这些文件在这个骨架中会被二次请求,在第二次请求时,会在请求头部上加上有个referer,这个referer只会在第二次请求时才会被加上。(referer表示第二次资源的来源地址).........
liunx下修改内核/etc/sysctl.conf文件内容说明
热门推荐
data eudemon
06-03 1万+
[root@strong ~]# cat /etc/sysctl.conf# Controls the maximum shared segment size, in byteskernel.shmmax = 4294967295  最大共享内存段大小。kernel.shmall = 268435456   可以使用的共享内存的总量。kernel.shmmni = 4096       整个系统共...
/etc/sysctl.conf 调优 & 优化Linux内核参数
sunvince的专栏
12-16 1987
from: http://apps.hi.baidu.com/share/detail/15652067 http://keyknight.blog.163.com/blog/static/3663784020104152407759/ http://blog.sina.com.cn/s/blog_6e2aeba30100uve3.html sysctl.conf 优化 The
Nginx 防盗链配置
倔强的踩坑小白
05-21 592
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求。 ## 防盗链 ##(1) 定义合规的引用 valid_referers none | blocked | server_names | string ...;(2) 拒绝不合规的引用 if ($invalid_referer) { rewrite ^/.*$ http://www.b.org/403.html } none 意思是不存在的Referer头(表示空的,也就是直接访问,比如直接在浏览器打开...
sysctl.conf文件配置详解
习惯成自然
11-26 5873
############################# net.inet.ip.sourceroute=0 net.inet.ip.accept_sourceroute=0 ############################# 通过源路由,攻击者可以尝试到达内部IP地址 --包括RFC1918中的地址,所以不接受源路由信息包可以防止你的内部网络被探测。 ############
Nginx优化实战:高效配置防盗链策略
Nginx优化防盗链实践教程是一篇详尽的指南,介绍如何利用Nginx这一高性能的HTTP和反向代理服务器进行优化以及实现防盗链功能。Nginx由俄罗斯开发者Igor Sysoev为Rambler.ru创建,其设计注重轻量级、高效性和稳定性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值