一切为了安全和体验,Nginx多种优化

最新推荐文章于 2024-05-28 17:17:08 发布
最新推荐文章于 2024-05-28 17:17:08 发布
阅读量243 收藏
点赞数
分类专栏: 集群
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuhao930715/article/details/118159763
版权

目录

一、隐藏版本号

在生产环境中如果版本号泄露,在被人恶意攻击时,会根据版本号,查找该版本存在的漏洞,直接攻击服务器。

[root@localhost ~]# curl -I http://192.168.238.150

在这里插入图片描述

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

在这里插入图片描述

[root@localhost ~]# systemctl restart nginx
[root@localhost ~]# curl -I http://192.168.238.150

可以看到版本号已隐藏
在这里插入图片描述

二、修改源码

修改源码:修改版本号和服务名,欺骗客户端的恶意访问

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

在主配置文件中打开版本号设置
在这里插入图片描述

[root@localhost ~]# vim /opt/nginx-1.15.9/src/core/nginx.h

在这里插入图片描述

[root@localhost ~]# cd /opt/nginx-1.15.9/
[root@localhost nginx-1.15.9]# ./configure \
> --prefix=/usr/local/nginx \
> --user=nginx \
> --group=nginx \
> --with-http_stub_status_module
[root@localhost nginx-1.15.9]# make && make install
root@localhost nginx-1.15.9]# systemctl restart nginx
[root@localhost nginx-1.15.9]# curl -I http://192.168.238.150

在这里插入图片描述

三、修改用户和组

1、Nginx 运行时进程需要有用户与组的支持,以实现对网站文件读取时进行访问控制。
2、Nginx 默认使用 nobody 用户账号与组账号,虽然nobody的权限给的很低,有比较高的安全性,但是也可以修改用户和组的账号,来提升安全性。

[root@localhost nginx-1.15.9]# vim /usr/local/nginx/conf/nginx.conf

在这里插入图片描述

[root@localhost nginx-1.15.9]# vim /usr/local/nginx/conf/nginx.conf
[root@localhost nginx-1.15.9]# systemctl restart nginx
[root@localhost nginx-1.15.9]# ps aux | grep nginx

在这里插入图片描述

四、设置缓存时间

设置缓存时间是为了客户端在次访问相同内容的请求时,避免重复请求,可以加快访问速度。
一般给静态页面做缓存时间,动态页面不做缓存时间。

[root@localhost nginx-1.15.9]# vim /usr/local/nginx/conf/nginx.conf

添加图片识别和缓存时间一天
在这里插入图片描述
上传图片

[root@localhost nginx-1.15.9]# cd /usr/local/nginx/html
[root@localhost html]# rz #上传图片
[root@localhost html]# ls

在这里插入图片描述

[root@localhost html]# vim index.html #进入站点配置文件

在这里插入图片描述

[root@localhost html]# systemctl restart nginx

在这里插入图片描述
Cache-Control: max-age=86400 #缓存时间(单位:s)

五、日志分割

Apache自带日志分割工具。Nginx不具备日志分割功能,用用脚本根据时间戳(mtime)分割日志并对日志进行管理。

[root@localhost html]# cd /opt
[root@localhost opt]# vim rzfg.sh

在这里插入图片描述

[root@localhost opt]# chmod +x rzfg.sh
[root@localhost opt]# ./rzfg.sh

在这里插入图片描述

[root@localhost opt]# crontab -e #创建周期性任务,每天1点执行

在这里插入图片描述

六、连接超时

用来设置请求资源和服务器返回的时间,保证一个请求占用固定时间,超出后报504超时!这样可以保证一个请求占用过长时间。默认时间65s。

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

在这里插入图片描述

keepalive_timeout  100 #客户端连接在服务器端保持多久后退出
client_header_timeout 80 #设置读取客户端请求头数据的超时时间,如果超过这个时间客户端还没有发送完整的数据,服务器端将返回408错误
client_body_timeout 80 #设置读取客户端请求主体的超时间

七、更改进程数

在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞。运行进程数多一些,响应访问请求时,Nginx就不会临时启动新的进程提供服务,减少了系统的开销,提升了服务速度,使用ps aux可以查看运行进程数的变化情况。

[root@localhost ~]# cat /proc/cpuinfo | grep -c "physical" #查看CPU核数
8
[root@localhost ~]# ps aux | grep nginx #查看Nginx的进程信息
root      95554  0.0  0.0  20560   628 ?        Ss   09:13   0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx     95555  0.0  0.0  23096  1644 ?        S    09:13   0:00 nginx: worker process
root      95831  0.0  0.0 112724   984 pts/1    S+   09:34   0:00 grep --color=auto nginx
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

在这里插入图片描述

worker_processes  8
#工作进程。设置为内核数或内核数的两倍
worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000
#表示开启八个进程。00000001表示第一个内核,以此类推。

八、网页压缩

nginx的压缩模块提供了对文件内容压缩的功能,允许nginx服务器将传输的内容发送到客户端之前进行压缩,以节约网站带宽,提升用户的访问体验。

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

在这里插入图片描述

[root@localhost ~]# systemctl restart nginx

在这里插入图片描述

九、防盗链

对于图片来说,盗链网站,如果想使用服务端网站的图片,可以直接写上服务端网站图片的链接地址,或者将服务端网站的图片通过右键另存为的方式下载到本地,然后在页面上使用。如果服务端网站不想盗链网站这么干了,那么服务端网站可以采取防盗链的措施来干这个工作,结果就是,盗链网站想请求所需要的资源,通过url的方式,获取的可能不是原来的图片了,出现404或者别的图片替代了。如果通过浏览器直接打开图片url,那么仍然有可能显示404,这就是防盗链。

服务端
[root@localhost ~]# vim /etc/hosts #添加映射

在这里插入图片描述

盗链端
[root@localhost ~]# vim /etc/hosts #添加映射

在这里插入图片描述
客户端
1、进入C:\windows\System32\drivers\etc目录下
修改hosts文件的用户权限为完全控制
在这里插入图片描述
进入hosts文件添加映射
在这里插入图片描述
域名访问网页
在这里插入图片描述

一、盗链

盗链端

[root@localhost ~]# vim /usr/local/nginx/html/index.html

在这里插入图片描述

[root@localhost ~]# systemctl restart nginx

win10客户端访问盗链端地址
在这里插入图片描述

二、防盗链

服务端
上传文件名为dog的照片

[root@localhost html]# vim /usr/local/nginx/conf/nginx.conf

在这里插入图片描述

 location ~*\.(jpg|gif|swf)$ {
            valid_referers none blocked *.dog.com dog.com;			
            if ( $invalid_referer ) {
               rewrite ^/ http://www.dog.com/error.png;			
            }
        }
valid_referers:设置信任的网站,即能引用相应图片的网站(白名单)
none:浏览器中 Referer为空的情况,就是直接在浏览器访问图片
blocked:referer不为空的情况,但是值被代理或防火墙删除了,这些值不以http://或者https://开头
if语句:如果链接的来源域名不在 valid_referers所列出的列表中, $invalid_referer为1,则执行后面的操作,即进行重写或返回403页面

客户端访问盗链端ip
在这里插入图片描述

十、FPM优化(Nginx支持PHP)

Nginx的PHP解析功能实现如果是交由FPM处理的,为了提高PHP的处理速度,可对FPM模块进行参数的调整

Static的方式的参数

[root@localhost ~]# vim /usr/local/php/etc/php-fpm.conf

pm = static			#将产生固定数量的fpm进程
pm.max_children=20	#指定启动的进程数量

在这里插入图片描述

Dynamic方式的参数

pm = dynamic				#pm参数:将以动态的方式产生fpm进程
pm.max_children=20 			#指定启动的进程数量最大的数量
pm.start_servers = 5		#动态方式下初始的fpm进程数量
pm.min_spare_servers = 2	#动态方式下最小的fpm空闭进程数
pm.max_spare_servers = 8	#动态方式下最大的fpm空闭进程

在这里插入图片描述
小小总结:

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

events {
    worker_connections  1024; #默认每个进程的最大连接数,最大可调为65535,但一般情况下调为30000.
}
酱香小龙虾
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
nginx应用部署+性能优化
11-01
当需要将Spring Boot应用迁移到新的环境,例如华为的Kunpeng架构,Nginx的配置和优化显得尤为重要。 1. **Nginx部署Spring Boot应用** - **反向代理**:Nginx可以作为Spring Boot应用的前端,接收HTTP请求,然后...
nginx-1.18.0已开启gzip压缩优化vue项目大小.zip
10-22
在现代Web开发中,优化前端项目以提高加载...Nginx的gzip压缩和Vue CLI的打包过程都是为了提高网站的加载速度,提升用户体验。通过了解这些技术细节,开发者可以更好地优化自己的Web应用,使其在性能上达到最佳状态。
Nginx安全
weixin_43800781的博客
01-03 251
安装nginx [root@proxy ~]# yum -y install gcc openssl-devel pcre-devel [root@proxy ~]# tar -zxf nginx-1.12.2.tar.gz [root@proxy ~]# useradd nginx [root@proxy ~]# cd nginx-1.12.2/ [root@proxy nginx-1....
nginx 安全
Tzhennan的博客
04-11 276
1. 禁用 autoindex 模块 在配置文件的 location 块中增加 autoindex off;声明即可 2. 禁用服务器上的 ssi 这个可以通过在 location 块中添加 ssi off; 3. 关闭服务器标记 如果开启的话(默认情况下)所有的错误页面都会显示服务器的版本和信息。将 server_tokens off;声明添加到 Nginx 配置文件来解决这个问题...
网络安全基础知识---nginx安全配置_nginx 的默认配置允许您使用不安全的日版tls协议(根据官方文档 ss protocs tls(2)
2401_84545468的博客
05-14 753
初级黑客 1、网络安全理论知识(2天) ①了解行业相关背景,前景,确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周) ①渗透测试的流程、分类、标准 ②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察 ④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周) ①W
Nginx安全教程
qq_42577092的博客
11-13 99
一、安装编译工具及库文件 yum -y install make zlib zlib-devel gcc-c++ libtool openssl openssl-deve 二、首先要安装 PCRE PCRE 作用是让 Nginx 支持 Rewrite 功能。 1、下载 PCRE 安装包,下载地址: http://downloads.sourceforge.net/project/pcre/pcre/8.43/pcre-8.43.tar.gz cd /opt # 旧wget http://download
Nginx安全控制
牵着蜗牛_去散步
11-17 819
通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。
nginx 安全配置
fangxiang2008的博客
05-28 1454
nginx 安全配置
nginx配置优化+负载均衡+动静分离详解.zip_nginx_nginx 负载_优化_优化配置_负载均衡
09-23
通过深入理解和实践这些Nginx的配置优化、负载均衡和动静分离技术,你可以构建一个高效、稳定且可扩展的Web服务环境,有效应对高并发访问,提升用户体验。"nginx配置优化+负载均衡+动静分离详解.txt"这个文件应该...
Nginx 的一些基本介绍、安装步骤和配置示例
最新发布
07-12
- Nginx支持多种负载均衡算法,包括轮询(round-robin)、最少连接(least-connected)、IP哈希(IP-hash)等。通过合理分配流量到不同的后端服务器上,可以有效避免单点故障,同时确保服务的稳定性和可靠性。 4. **SSL...
Nginx-1.13.7和nssm-2.24
06-06
Nginx 1.13.7是该软件的一个特定版本,发布于2017年,它包含了若干性能改进和新功能,如HTTP/2协议的优化支持,增强的安全性以及对TLSv1.3的支持。这个版本的Nginx旨在提供更快速、更安全的网络服务。 Nssm,全称...
【网络安全Nginx服务器安全加固:全面提升安全防护能力
A1_3_9_7的博客
02-20 1856
当前银行互联网业务越来越多,攻击暴露面也随之变大,如何加强Web服务器的安全防护成为一项迫切需要解决的问题。本文简要介绍Nginx基本概念、功能及安全加固建议等内容,后续我们将结合科技运营维护工作实际,持续优化和创新,持续完善互联网系统安全防护能力,护航业务系统高质量发展。
Nginx 安全加固参考建议 —— 筑梦之路
筑梦之路
12-01 2465
nginx作为一款流行的web服务器,很多时候作为网站访问入口暴露在公网环境上,为了保护我们的资产,安全加固必不可少。1. 禁用server_tokens指令,不暴露版本号。以上是nginx安全加固的一些建议,仅供参考。4. 设置access error日志。2. 禁用不需要的HTTP方法。8. 限制并发、访问速率和流量。5. 反向代理隐藏主机信息。7. header安全加固。3. 设置缓冲区大小限制。6. SSL安全加固。
配置Nginx安全性设置
qq_44539748的博客
07-09 1274
在本教学文章中,我们将学习如何使用Nginx配置安全性设置,以增强服务器的安全性,防止恶意请求、DDoS攻击等。安全性配置是保护服务器和应用程序的重要环节,通过合理的安全性设置,可以降低风险并提高系统的可靠性。通过按照上述步骤配置Nginx,并了解如何防止恶意请求、防护DDoS攻击和控制访问,您可以提高服务器的安全性,并减少潜在的风险。在上述配置中,我们使用if指令检查请求的来源,如果检测到恶意请求(通过预先定义的$bad_client变量),则返回403禁止访问的响应。步骤1:防止恶意请求。
Nginx 安全优化
RAB
04-27 5824
Nginx 安全优化
Nginx服务器安全加固:全面提升安全防护能力
网络安全
02-19 1797
随着互联网的不断发展,Web应用的规模和复杂性也在不断增加。Nginx作为一款高性能开源Web服务器软件,经过多年发展,已成为全球最流行的Web服务器之一,其自身的安全性尤为重要。
基于NGINX安全加固
climber专栏
09-02 2751
基于NGINX安全加固,可以代替VPN访问办公网系统 时序图 服务架构图 说明 1. 需通过NGINX发布应用系统 2. php安全认证系统也是通过NGINX发布的 3. NGINX上需开发安全认证模块,对没个HTTP数据包做安全性检查 4. 可以将NGINX安全加固和统一登录的基本原理相结合
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
2401_83739632的博客
04-15 357
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
nginx php 安全配置,Nginx安全配置标准(for web server)
weixin_39857211的博客
03-10 101
一、目的本标准是信息系统安全技术标准的一部分,主要目的是根据信息安全管理政策要求,为我司"Nginx web server"配置提供安全标准。二、范围本规范适用于我司所有Nginx web server。三、内容3.1 版本使用较新的稳定版本3.2 启动帐号使用非root帐号启动userwwwwwww;或者usernginxnginx;3.3 日志记录记录access log3.4 预防p...
Nginx技术深度指南:从基础到优化
Nginx提供多种负载均衡策略,如轮询、最少连接、IP哈希等,以优化服务器集群的性能和可靠性。 十三、Nginx简单优化 包括调整工作进程数、最大连接数、超时设置等,以适应不同场景下的性能需求。 十四、构建高性能...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值