Nginx优化与防盗链

目录

一、Nginx优化

1.配置Nginx隐藏版本号

2.配置Nginx网页缓存时间

3.实现Nginx的日志切割

4.配置Nginx实现连接超时

5.更改Nginx运行进程数

6.配置网页压缩

二、防盗链

总结

---

一、Nginx优化

1.配置Nginx隐藏版本号

隐藏Nginx版本号，避免安全漏洞泄漏

Nginx隐藏版本号的方法修改

        配置文件法
        修改源码法

1）修改配置文件法

将Nginx配置文件中server_tokens 选项的值设置为off

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;                                #添加，关闭版本号
    ......
}

systemctl restart nginx
curl -I http://192.168.80.10

2）修改源码文件，重新编译安装

vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1"                     #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION             #修改服务器类型

cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
    ......
}

systemctl restart nginx
curl -I http://192.168.80.10
 

2.配置Nginx网页缓存时间

当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度

一般针对静态网页设置，对动态网页不设置缓存时间

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		
		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 		#加入新的 location，以图片作为缓存对象
			root html;
			expires 1d;									#指定缓存时间，1天
		}
......
	}
}


http://www.xy101.com/wangsicong.jpg

systemctl restart nginx

3.实现Nginx的日志切割

编写脚本进行日志切割的思路

[root@www logs]# vim /opt'fenge.sh
#!/bin/bash
#Filename: fenge.sh
d=$(date -d "-1 day" "+%Y%m%d")
logs path="ivar/log'nginx"
pid path="/usr/local/nginx/logs/nginx.pid"
[-d Slogs path ]ll mkdir -p $logs path
mv /usr/local/nginx/logs/access.log ${logs path}/test.com-access.log-$d
kill -USR1 $(cat $pid path)
find $logs path -mtime +30 |xargs rm -rf

4.配置Nginx实现连接超时

为避免同一客户端长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现控制连接访问时间
超时参数
Keepalive_timeout
        设置连接保持超时时间
Client header timeout
        指定等待客户端发送请求头的超时时间
Client body timeout
        设置请求体读超时时间

vim /usr/local/nginx/conf/nginx.conf


http {
...... 
    keepalive_timeout 60 50;
	keepalive_requests 100;
    client_header_timeout 80;
    client_body_timeout 80;
...... 
}


systemctl restart nginx

 

5.更改Nginx运行进程数

在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞

更改进程数的配置方法

修改配置文件，修改进程配置参数

修改配置文件的worker_processes参数
        一般设为CP的个数或者核数

        在高并发情况下可设置为CPU个数或者核数的2倍

增加进程数，可减少了系统的开销，提升了服务速度

使用ps aux查看运行进程数的变化情况

[root@www conf]# cat /proc/cpuinfo | grep -c "physical"
[root@www conf]# vi nginx.conf
worker processes 4;
[root@www conf]# systemctl restart nginx
[root@www conf]# ps aux | grep nginx

默认情况，Nginx的多个进程可能跑在一个CPU上，可以分配不同的进程给不同的CPU处理，充分利用硬件多核多CPU
在一台4核物理服务器，进行配置，将进程进行分配

[root@www conf]# vi nginx.conf
worker processes 4;
worker_cpu affinity 0001 0010 0100 1000;

6.配置网页压缩

ngx_http_gzip_module是Nginx提供对文件压缩功能的模块
允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

vim /usr/local/nginx/conf/nginx.conf

http {
...... 
    gzip on;                        #取消注释，开启gzip压缩功能
    gzip_min_length 1k;              #最小压缩文件大小，小于设置值的文件将不会压缩
    gzip_buffers 4 16k;              #压缩缓冲区，这里设置以16k为单位，按照原始数据大小以16k为单位的4倍申请内存
    gzip_http_version 1.1;           #用于识别HTTP协议版本
    gzip_comp_level 5;               #压缩比率，压缩比例由低到高从1到9，默认为1，在生产环境中一般设置该参数的值在3~5之间，最好不要超过5
    gzip_vary on;                    #支持前端缓存服务器存储压缩页面
    gzip_disable "MSIE [1-6]\.";    #配置禁用gzip条件，支持正则。此处表示ie6及以下不启用gzip（因为ie低版本不支持）
    gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json;    #压缩类型，表示哪些网页文档启用压缩功能
...... 
}

#实现网页图片的大小压缩

http_image_filter_module是Nginx提供的集成图片处理模块，可以用于实时缩放图片，旋转图片，验证图片有效性以及获取图片宽高以及图片类型信息

yum install -y gd-devel           #yum在线源安装gd-devel，http_image_filter_module模块需要依赖gd-devel的支持

cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_image_filter_module 
make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
   .... 
   gzip on;
   gzip_types text/plain .... image/jpeg image/gif image/png;       #将图片类型文件压缩加入gzip
   ....
    server {
    ....
        location ~* \.(jpg|gif|png)$ {
            image_filter resize 200 200;        #按等比例缩小图像的宽或高至指定大小。如果只想设置一个维度，另一维可以指定为：“-”
        }                                        #（如果长>宽就以长为标准，宽为比例；如果长<宽就以宽为标准，长为比例）
    }
}

cd /usr/local/nginx/html
先将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="game.jpg"/>                #网页中插入图片
</body>
</html>

二、防盗链

1.配置防盗链

vim /usr/local/nginx/conf/nginx.conf


http {
......
    server {
    ......
        location ~* \.(jpg|gif|swf)$ {
            valid_referers none blocked *.xy101.com xy101.com;
            if ( $invalid_referer ) {
                rewrite ^/ http://www.xy101.com/error.png;
                #return 403;
            }
        }
    ......
    }
}

~* \.(jpg|gif|swf)$ ：这段正则表达式表示匹配不区分大小写，以.jpg 或.gif 或.swf 结尾的文件；
valid_referers ：设置信任的网站，可以正常使用图片；
none：允许没有http_refer的请求访问资源（根据Referer的定义，它的作用是指示一个请求是从哪里链接过来的，如果直接在浏览器的地址栏中输入一个资源的URL地址，那么这种请求是不会包含 Referer 字段的），如 http://www.xy101.com/game.jpg
我们使用 http://www.xy101.com 访问显示的图片，可以理解成 http://www.xy101.com/game.jpg 这个请求是从 http://www.xy101.com 这个链接过来的。
blocked：允许不是http://开头的，不带协议的请求访问资源； 
*.xy101.com：只允许来自指定域名的请求访问资源，如 http://www.xy101.com

if语句：如果链接的来源域名不在valid_referers所列出的列表中，$invalid_referer为true，则执行后面的操作，即进行重写或返回 403 页面。

网页准备:
Web源主机（192.168.80.10）配置：
cd /usr/local/nginx/html
将game.jpg、error.png文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="game.jpg"/>
</body>
</html>

总结

■ Nginx优化方法
        隐藏软件版本号
        更改程序运行用户与组
        配置网页缓存时间
        Nginx日志切割
        设置连接超时
        更改进程数
        配置网页压缩与防盗链
        fpm参数优化