Nginx优化与防盗链

Nginx服务优化

在企业信息化应用环境中，服务器的安全性和响应速度需要根据实际情况进行相应参数配置，以达到最优的用户体验。Ngix默认的安装参数只能提供最基本的服务，需要调整如网贡缓存时间、连接超时、网页压缩等相应参数，才能发挥出服务器的最大作用。

隐藏版本号

在生产环境中，需要隐藏Ngix的版本号，以避免泄漏Nginx的版本，使攻击者不能针对特定版本进行攻击。在隐藏版本号之前，可以使用Fiddler工具抓取数据包，查看Nginx版本，也可以在CentOS中使用命令curl-http:/192.168.0.102/查看。

隐藏Nginx版本号有两种方式，第一种是修改Nginx的主配置文件，第二种是修改Nginx源码文件，指定不显示版本号。

(1)修改配置文件方式

将Nginx主配置文件中的server tokens选项值设置为of,如没有该配置项，加上即可。

若使用了PHP处理动态网页，且PHP配置文件中配置了fastcgi_param SERVER_SOFTWARE选项，则编辑php-fpm配置文件，将fastcgi_param SERVER_SOFTWARE对应的值修改为fastcgi__param SERVER_SOFTWARE nginx.。

再次访问网址，只显示Nginx,版本号已经隐藏。

(2)设置版本信息

Nginx源码文件nginx-1.12.0/src/core/nginx.h包含了版本信息，可以随意设置，然后重新编译安装，隐藏版本信息。

修改用户与组

Nginx运行时进程需要有用户与组的支持，用以实现对网站文件读取时进行访问控制。
主进程由root创建，子进程由指定的用户与组创建。Nginx默认使用nobody用户帐号与组帐号，一般也要进行修改。修改Ngx用户与组有两种方法，一种是在编译安装时指定用户与组，另一种是修改配置文件指定用户与组。

(1)指定用户与组的参数

编译Nginx时指定用户与组，就是配置Nginx时，在./configure后面指定用户与组的参数。

(2)配置用户与组

修改Nginx配置文件nginx.conf指定用户与组。

重启Ngix服务并查看进程运行情况，从执行结果中可以得出Nginx服务的主进程由root帐户创建，子进程则由nginx创建。

配置网页缓存时间

当Nginx将网页数据返回给客户端后，可设置缓存时间，以便在日后进行相同内容的请求时直接返回，以避免重复请求，加快访问速度。缓存时间一般针对静态资源进行设置，对动态网页不用设置缓存时间。

(1)以图片作为缓存对象，复制Iogo.jpg图片到Nginx的工作目录，访问htp∥192.168.0.102og0jpg,使用火狐浏览器右键点击“查看元素”->“网络”->“消息头”可以看到响应报文中没有图片的缓存信息，如图6.1所示。

(2)修改Nginx的配置文件，在新location段加入expires参数，指定缓存的时间，1d表示一天。

(3)重启Nginx服务后，利用火狐浏览器可以看到响应报文中含有Expires参数，如图6.2所示。其中的Cahce-Control:max-age=86400表示缓存时间是86400秒，也就是缓存一天的时间，一天之内浏览器访问这个页面，都是用缓存中的数据，而不需要向Nginx服务器重新发出请求，减少了服务器的使用带宽。

日志切割

随着Nginx运行时间的增加，产生的日志也会逐渐增加，为了方便掌握Ngix的运行状态，需要时刻关注Ngix日志文件。太大的日志文件对监控是一个大灾难，不便于分析排查，需要定期的进行日志文件的切割。

Nginx没有类似Apache的cronlog日志分割处理功能，但是可以通过Nginx的信号控制功能脚本来实现日志的自动切割，并将脚本加入到Liux的计划任务中，让脚本在每天的固定时间执行，便可实现日志切割功能。下面是具体操作步骤。

(1)编写脚本/opt/fenge.sh,把Nginx的日志文件usr/local/nginx/logs/.access.log移动到目录var/log/nginx下面，以当前时间做为日志文件的名称，然后用ki-USR1创建新的日志文件usr/local/nginx/logs/access.log,最后删除30天之前的日志文件。

(2)执行/opt/fenge.sh,测试日志文件是否被切割。

(3)设置crontab任务，定期执行脚本自动进行日志分割。

即每天的凌晨1：30分执行/opt/fenge.sh脚本，进行日志分割。

设置连接超时

在企业网站中，为了避免同一个客户长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现控制连接访问时间。可以修改配置文件nginx.conf,设置keepalive_timeout超时时间。

keepalive._timeout第一个参数指定了与客户端的keep-alive连接超时时间，服务器将会在这个时间后关闭连接。可选的第二个参数指定了在响应头Keep-Alive:timeouts=time中的time值。这个头能够让一些浏览器主动关闭连接，这样服务器就不必去关闭连接了。没有这个参数，Nginx不会发送Keep-Alive响应头。

使用火孤浏览器访问网址，可以看到响应头中显示了超时时间是180秒，如图6.3所示。

除Keepalive_timeout参数之外，还可以增加其它超时参数，比如Client_header_timeout参数可用于指定等待客户端发送请求头的超时时间、Client_body_timeout参数可用于指定请求体读超时时间。

Nginx深入优化

更改进程数

在高并发环境中，需要启动更多的Ngx进程以保证快速响应，用以处理用户的请求，避免造成阻塞。使用ps aux命令查看Ngix运行进程的个数。从命令执行结果可以看出master process是Nginx的主进程，开启了1个；worker process是子进程，子进程也是开启了1个。

修改Nginx的配置文件的worker_processes参数，一般设为CPU的个数或者核数，在高并发的情况下可设置为CPU个数或者核数的2倍，可以查看CPU的核数以确定参数。

参数设置为4，和CPU的核数相同。运行进程数多一些，响应客户端访问请求时，Nginx就不会临时启动新的进程提供服务，减少了系统的开销，提升了服务速度。

修改完后，重启服务，使用psux查看运行进程数的变化情况。从下面执行结果中可以看出开启了1个主进程和4个子进程，参数设置起到了作用。

默认情况下，Ngix的多个进程可能更多的跑在一颗CPU上。为了充分利用硬件多核多CPU,可以分配不同的进程给不同的CPU处理。在一台4核CPU服务器上，可以设置每个进程分别由不同的CPU核心处理，达到CPU的性能最大化。

配置网页压缩

Nginx的ngx_http,_gzip_module压缩模块提供了对文件内容压缩的功能，允许Nginx服务器将输出内容发送到客户端之前进行压缩，以节约网站的带宽，提升用户的访问体验。

默认Nginx已经安装该模块，只需要在配置文件中加入相应的压缩功能参数对压缩性能进行优化即可。

• gzipon:开启gzip压缩输出；
• gzip_min_length1k:用于设置允许压缩的页面最小字节数：
• gZip_buffers4 16k:表示申请4个单位为16k的内存作为压缩结果流缓存，默认值是申请与原始数据大小相同的内存空间来存储gzp压缩结果；
• gzip_http_version1.0:用于设置识别http协议版本，默认是1.1，目前大部分浏览器已经支持gzip解压，但处理较慢，也比较消耗服务器CPU资源；
• gzip_comp_level2:用来指定gzip压缩比，1压缩比最小，处理速度最快；9压缩比最大，传输速度快，但处理速度最慢，使用默认即可；
• gzip_types text/plain:压缩类型，是对哪些网页文档启用压缩功能：
• gzip_vary on:选项可以让前端的缓存服务器缓存经过gzip压缩的页面。

修改Nginx的配置文件，加入压缩功能参数。

在Nginx工作目录建立一个超过1K大小的html文件，然后使用浏览器访问网址验证，显示使用gzip进行了压缩，如图6.4所示。

配置防盗链

在企业网站服务中，一般都要配置防盗链功能，以避免网站内容被非法盗用，造成经济损失，也避免了不必要的带宽浪费。Ngix的防盗链功能也非常强大，在默认情况下，只需要进行很简单的配置，即可实现防盗链处理。

(1)防盗链需要准备两台主机模拟盗链，表61是主机的配置说明。

(2)修改Vindows的C:\Windows\System32 driversletclhosts文件，设置域名和IP映射关系。

(3)修改两台CentOS的hosts文件，设置域名和P映射关系。

(4)把图片logo.jpg放到源主机(bt.com)的工作日录下。

(5)在盗链主机(test.com)的工作目录编写盗链页面index.html,盗取源主机(bt.com)的图片。

(6)访问盗链的网页http:/ww.test.com/index.html查看是否盗链成功，如图6.5所示。

在图片上右键点击“查看图像信息”，可以看到图片的网址是http:w.bt.com/logo.jpg,如图6.6所示，也就是在www.test.com中成功盗取了www.bt.com的图片。

(7)配置Nginx防盗链

Nginx的防盗链原理是加入location项，用正则表达式过滤图片类型文件，对于信任的网址可以正常使用，不信任的网址返回相应的错误图片。在源主机(bt.com)的配置文件中加入以下代码：

下面分析一下这段代码：

~*\.(jpg|gif|swf)$:这段正则表达式表示匹配不区分大小写，以jpg或.gif或.swf结尾的文件；
Valid_referers:设置信任的网站，可以正常使用图片；
后面的网址或者域名：referer中包含相关字符串的网址：
lf语句：如果链接的来源域名不在valid_referers所列出的列表中，$invalid_referer为1,则执行后面的操作，即进行重写或返回403页面。

把图片error..png放到源主机(bt.com)的工作目录下。

重启服务器，重新访问http:www.test.com/index.html,显示的是被重写的图片，如图6.7所示，说明防盗链配置成功。

FPM参数优化

Ngix的PHP解析功能实现方法如果是交由FPM处理的，为了提高PHP的处理速度，可对FPM模块进行参数的调整。

(1)安装带FPM模块的PHP环境，保证PHP可以正常运行。

(2)FPM进程有两种启动方式，由pm参数指定，分别是static和dynamic,前者将产生固定数量的fpm进程，后者将以动态的方式产生fpm进程。

Static的方式可以使用pm.max_children指定启动的进程数量，Dynamic方式的参数要根据服务器的内存与服务负载进行调整，参数如表6-2所示。

假设：现有云服务器，运行了个人论坛，内存为1.5G,fpm进程数为20，内存消耗近1G,处理比较慢，对参数进行优化处理。

FPM启动时有5个进程，最小空闲2个进程，最大空闲8个进程，最多可以有20个进程存在。