一、Nginx服务优化
1.0隐藏Nginx版本号
在生存环境中,需要隐藏Nginx的版本号,以免泄露Nginx的版本,使攻击者不能针对特定版本进行攻击
隐藏Nginx号有两种方式,第一种就是修改Nginx源码文件,指定不显示版本号,第二种就是修改Nginx的主配置文佳。
(1)修改配置文件的方式如下:
将Nginx的配置文件中的server_tokens选项值设置为off即可。
使用浏览器验证
如果使用了PHP处理动态网页,如果PHP配置文件中配置了fastcgi_param SERVER_SOFTWARE选项,则编辑php-fpm配置文件,将fastcgi_param SERVER_SOFTWARE对应的值修改为fastcgi_param SERVER_SOFTWARE nginx即可。
第二种方法:Nginx源码文件/usr/src/nginx-1.12.2/src/core/nginx.h
中包含了版本信息,可以随意设置,然后重新编译安装就行。
然后重新编译安装
重启服务
浏览器访问
2.0修改用户组
Nginx运行时进程需要有用户与组支持,用以实现对网站文件读取是进行访问控制,主进程由root创建,子进程由指定的用户与组创建。Nginx默认使用nobody用户账号与组账号,一般也要进行修改。
修改Nginx用户与组有两种方法,一种是在编译安装时指定用户与组,另外一种是修改配置文件指定用户与组。
(1)编译Nginx时指定用户与组,就是配置Nginx时,在**./configure后面指定用户与组的参数。
2.1修改配置文件nginx.conf指定用户与组
3.0 配置网页缓存时间
当Nginx将网页数据返回给客户端后,可以设置缓存的时间,以便日后进行相同内容的请求时直接返回,避免重复请求,加快访问速度,一般只针对静态资源进行设置,对动态网页不用设置缓存时间。
(1)例如以图片视频作为缓存对象,修改Nginx的配置文件,在新location段加入expires参数,指定缓存的时间,1d表示一天。
注意添加完之后需要重启才生效。
然后用浏览器访问网站测试
其中的Cache-C动态容量:max-age=86400(秒)也就是缓存一天的时间。
4.0 Nginx的日志切割
随着Nginx运行时间的增加,产生的日志也会增加,为了方便掌握nginx的运行状态,需要时刻关注nginx日志文件,太大的日志文件对监控室一个大灾难,非常不利于排查,因此需要定期的进行日志的切割。
nginx没有类似Apache的cronlog日志分割处理功能,但时可以通过nginx的信号控制功能脚本来实现日志的自动切割,并将脚本加入到Linux的计划任务中,让脚本在每天的固定时间来执行,便可实现日志切割功能。
4.1 首先编写脚本/opt/fenge.sh,把Nginx的日志文件/usr/local/nginx/logs/access.log移动到目录/var/log/nginx下面,以当前时间为日志文件名称:然后用kill -USR1 创建新的日志文件/usr/local/nginx/logs/access.log,
4.2 执行/opt/fenge.sh脚本,测试日志文件是否被切割
4.3 把脚本添加到计划任务中
5.0 设置连接超时,在企业网站中,为了避免同一个客户长时间连接占用连接,造成资源浪费,可以设置相应的链接超时参数,实现对链接访问时间控制,可以修改配置文件nginx.conf,设置keeoalive_timeout超时时间来进行控制,一般也只设置keeoalive_timeout即可。
提示一下:client_header_timeout参数,指定等待客户端发送请求头的超时时间,client_body_timeout则指定请求体读超时时间。
用浏览器查看
二、nginx优化深入
6.0 更改进程数
在高并发环境中,需要启动更多的nginx进程以保证快速响应,用以处理用户的请求,避免造成阻塞,使用ps aux命令可以查看nginx运行进程个数
其中master process是nginx的主进程,开启了一个,worker process是子进程,也是开启了一个。
修改配置文件中的worker_process参数,一般设置为CPU的个数或者核数,在高并发的情况下可以设置为CPU的个数或者核数的2倍,可以先查看CPU的核数以确定参数。
参数设置为2,和CPU的核数相同,运行进程数设置多一些,响应客户端访问请求时,Nginx就不会临时启动新的进程提供服务,减少了系统的开销,提升了服务速度。
修改完成后,重启服务使用ps aux查看运行进程数变化情况。
7.0 配置网页压缩
Nginx 的ngx_http_gzip_module压缩模块提供了对文件内容压缩的功能,允许Nginx服务器将输出内容发送到客户端之前进行有事情,以节约网站的带宽,提升用户的访问体验。默认Nginx已经安装该模块,只需要在配置文件中加入相应的压缩功能参数对压缩性能进行优化即可。
gzip on:开启gzip压缩输出
gzip_min_length 1K:用于设置允许压缩的页面最小字节数
gzip_buffers 4 16K:表示申请4个单位为16K的内存作为压缩结果流缓存。
gzip_http_version 1.1:用于设置识别http协议版本,默认是1.1。目前大部分浏览器已经支持gzip解压,但是处理很慢,也比较消耗服务器CPU资源。
gzip_comp_level 2:用来指定gzip压缩比,压缩比1最小,处理速度最快:压缩比9最大,传输速度最快,但处理速度最慢使用默认即可。
gzip_types text/olain:压缩类型,是指对那一些网页文档启用压缩功能。
gzip_vary on:该选项可以让前端的缓存服务器缓存已经gzip压缩的页面。
修改配置文件/usr/local/nginx/conf/nginx.conf**,加入压缩功能参数。
然后检查语法重启nginx服务
使用浏览器查看
8.0 配置防盗链
在企业中一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失,也避免不必要的带宽浪费.Nginx的防盗链功能非常强大,在默认的情况下只需要进行很简单的配置,即可实现防盗链处理。
在配置文件中加入location项,用正则表达式过滤图片视频类型文件。
先取消防盗链配置
打开另外一台虚拟机编写盗链脚本
浏览器测试验证,可以看到盗链成功
再打开防盗链配置并重启nginx服务
再用浏览器访问测试,可以看到nginx的防盗链已经生效
9.0 FPM参数优化
Nginx的PHP解析功能实现如果是交由FPM处理的,为了提高PHP的处理速度,可对FPM模块进行参数调整
(1)首先安装FPM模块的PHP环境,保证PHP可以正常运行。
(2)FPM进程有两种启动方式,由pm参数指定,分别是static和dynamic,前者将产生固定数据的fpm进程,后者将以动态的方式产生fpm进程。
下面假设有云服务器上,运行了个人论坛,内存为1.5G,fpm进程数为20,内存消耗为1G,处理比较慢,需要对参数进行优化处理。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
