Nginx优化与防盗链 _Nginx优化

【Nginx优化与防盗链】博观而约取，厚积而薄发。这篇文章主要讲述Nginx优化与防盗链相关的知识，希望能为你提供帮助。
nginx优化与防盗链 Nginx服务优化配置Nginx隐藏版本号

隐藏Nginx版本号，避免安全泄露
Nginx隐藏版本号的方法
- 修改配置文件法
- 修改源代码法
- curl -I http://192.168.80.30
- 修改配置文件

文章图片

[ ] 方法一：将Nginx配置文件中server_tokens选项的值设置为off

vim /usr/local/nginx/conf/nginx.conf http includemime.types; default_typeapplication/octet-stream; #20行左右；添加；关闭版本号 server_tokens off; ......systemctl restart nginx #重启服务 curl -I http://192.168.80.30

文章图片

[ ] 方法二：修改源码文件，重新编译安装

vim /opt/nginx-1.12.2/src/core/nginx.h #13行；修改版本号 #define NGINX_VERSION "x.x.x" #14行；修改服务器类型 #define NGINX_VER "apache/" NGINX_VERSIONcd /opt/nginx-1.12.2/ ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module make & & make installvim /usr/local/nginx/conf/nginx.conf http includemime.types; default_typeapplication/octet-stream; server_tokens on; ......systemctl restart nginx curl -I http://192.168.80.30

文章图片

文章图片

修改Nginx用户与组

Nginx运行时进程需要有用户与组的支持，以实现对网站文件读取时进行访问控制
Nginx默认使用nobody用户账号与组账号
修改的方法
- 编译安装时指定用户与组
- 修改配置文件指定用户与组

vim /usr/local/nginx/conf/nginx.conf #取消注释，修改用户为nginx,组为 nginx user nginx nginx; systemctl restart nginx#主进程由root创建，子进程由nginx创建 ps aux | grep nginx

文章图片

文章图片

配置Nginx网页缓存时间

[ ] 当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度
[ ] —般针对静态网页设置，对动态网页不设置缓存时间
[ ] 设置方法
- 修改配置文件，在http段、或者server段、或者location段加入对特定内容的过期参数
[ ] 示例
- 修改Nginx的配置文件，在location段加入expires参数

vim /usr/local/nginx/conf/nginx.conf location ~ \\.(html|jpg|jepg|png)$ roothtml; expires 1d; systemctl restart nginx #重启服务

文章图片

文章图片

实现Nginx的日志切割

随着Nginx运行时间增加，日志也会增加。为了方便掌握Nginx运行状态，需要时刻关注Nginx日志文件
太大的日志文件对监控是一个大灾难
- 定期进行日志文件的切割
Nginx自身不具备日志分割处理的功能，但可以通过
Nginx信号控制功能的脚本实现日志的自动切割
通过Linux的计划任务周期性地进行日志切割
[ ] 编写脚本进行日志切割的思路
- 设置时间变量
- date -d "-1 day" "+%Y%m%d"
- 设置保存日志路径
- d="/var/log/nginx" [-d $d] || mkdir -p $d
- 将目前的日志文件进行重命名
- mv logs/accesss.log $d/access.log-$day
- 重建新日志文件
- kill -USR1 $(cat $PID)
- 删除时间过长的日志文件
- find $d -mtime +30 -exec rm -rf\\;
- 设置cron任务，定期执行脚本自动进行日志分割
- crontab -e 0 0 * * * /opt/logfenge.sh

编写脚本进行日志切割的思路

vim /opt/logfenge.sh#!/bin/bash #desc: this is used for cut nginx access log every day in 0:0:0 #获取上一天日期 LAST_DAY=$(date -d "-1 day" "+%Y%m%d") #指定日志存储目录 LOG_PATH="/var/log/nginx" #指定nginx服务的进程文件位置 PID_PATH="/usr/local/nginx/logs/nginx.pid" #用于判断日志存储目录是否存在，如果不存在则创建目录 [ -d $LOG_PATH ] || mkdir -p $LOG_PATH #用于分割日志，移动日志文件并重命名 mv /usr/local/nginx/logs/access.log $LOG_PATH/accesss.log-$LAST_DAY #重新构建新的日志文件 kill -USR1 $(cat $PID_PATH) #删除30之前的日志文件 find $LOG_PATH -mtime +30 -exec rm -f\\; source fenge.sh ls /var/log/nginx ls /usr/local/nginx/logs/crontab -e 0 1 * * * /opt/fenge.sh

文章图片

文章图片

配置Nginx实现连接超时

为避免同一客户端长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现控制连接访问时间
超时参数
- Keepalive_timeout
- 设置连接保持超时时间
- Client_header_timeout
- 指定等待客户端发送请求头的超时时间
- Client_body_timeout
- 设置请求体读超时时间
[ ] HTTP有一个KeepAlive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。
[ ] KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。

vim /usr/local/nginx/conf/nginx.conf http ...... keepalive_timeout 60 180; client_header_timeout 80; client_body_timeout 80; ......systemctl restart nginx ------------------------------ keepalive_timeout 指定KeepAlive的超时时间（timeout）。指定每个TCP连接最多可以保持多长时间，服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒，有些浏览器最多只保持60秒，所以可以设定为60秒。若将它设置为0，就禁止了keepalive连接。第二个参数（可选的）指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接，这样服务器就不必去关闭连接了。没有这个参数，Nginx不会发送Keep-Alive响应头。client_header_timeout 客户端向服务端发送一个完整的request header的超时时间。如果客户端在指定时间内没有发送一个完整的reguest header，Nginx返回HTTP 408（Request Timed out）。client_body_timeout 指定客户端与服务端建立连接后发送request body的超时时间。如果客户端在指定时间内没有发送任何内容，Nginx返回HTTP 408（Request Timed Out）。

文章图片

文章图片

更改Nginx运行进程数

在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞

更改进程数的配置方法

修改配置文件，修改进程配置参数
修改配置文件的worker_processes参数
- —般设为CPU的个数或者核数
- 在高并发情况下可设置为CPU个数或者核数的2倍
增加进程数,可减少了系统的开销，提升了服务速度
使用ps aux查看运行进程数的变化情况

cat /proc/cpuinfo | grep -c "physical id" #统计CPU核数

默认情况，Nginx的多个进程可能跑在一个CPU上，可以分配不同的进程给不同的CPU处理,充分利用硬件多核多CPU
在一台4核物理服务器，进行配置，将进程进行分配

#修改配置文件，这里了解一下即可 vim /usr/local/nginx/conf/nginx.conf #第3行；修改为核数相同或者2倍 worker_processes4; #添加；设置每个进程由不同cpu处理，进程数配2 4 6 8分别为0001 0010 0100 1000 worker_cpu_affinity 0001 0010 0100 1000; systemctl restart nginx

文章图片

文章图片

配置Nginx实现网页压缩功能

Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽，提升用户访问的体验，默认已安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

压缩功能参数

gzip on：开启gzip压缩输出
gzip_min_length 1k：设置允许压缩的页面最小字节数
gzip_buffers 4 16k：申请4个单位为16k的内存作为压缩结果流缓存，默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果
gzip_http_version 1.0：设置识别http协议版本，默认是1.1，目前大部分浏览器已经支持gzip解压，但处理较慢，也比较消耗服务器CPU资源
gzip_comp_level 2：指定gzip压缩比，1压缩比最小，处理速度最快；9压缩比最大，传输速度快，但处理速度最慢
gzip_types text/plain：压缩类型，对哪些网页文档启用压缩功能
gzip_vary on：让前端缓存服务器缓存经过gzip压缩的页面

vim /usr/local/nginx/conf/nginx.conf gzip on; #取消注释，开启gzip压缩功能 gzip_min_length 1k; #最小压缩文件大小 gzip_buffers 4 64k; #压缩缓冲区，大小为4个64k缓冲区 gzip_http_version 1.1; #压缩版本（默认1.1，前端如果是squid2.5请使用1.0） gzip_comp_level 6; #压缩比率 gzip_vary on; #支持前端缓存服务器存储压缩页面 gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json; #压缩类型，表示哪些网页文档启用压缩功能cd /usr/local/nginx/html 先将图片文件传到/usr/local/nginx/html目录下 vim index.html ...... #网页中插入图片 < img src="https://www.songbingjia.com/android/caocao.jpg"/> systemctl restart nginx在Linux系统中，打开火狐浏览器，右击点查看元素选择网络---> 选择HTML、ws、其他访问http://192.168.80.30，双击200响应消息查看响应头中包含Content-Encoding: gzip

文章图片

文章图片

配置Nginx实现防盗链

在企业网站服务中，一般都要配置防盗链功能，以避免网站内容被非法盗用，造成经济损失
Nginx防盗链功能也非常强大。默认情况下，只需要进行简单的配置，即可实现防盗链处理

vim /usr/local/nginx/conf/nginx.conf http ...... server ...... location ~*\\.(jpg|gif|swf)$ valid_referers *.jzm.com jzm.com; if ( $invalid_referer ) rewrite ^/ http://www.jzm.com/error.png; #return 403; ......systemctl restart nginx --------------解释-------------- ~* \\.(jpg|gif|jepg|bmp|ico)$ ：这段正则表达式表示匹配不区分大小写，以.jpg 或.gif或.swf结尾的文件； valid_referers：设置信任的网站，可以正常使用图片； none：允许没有http_refer的请求访问资源（根拼Referer的定义，它的作用是指示一个请求是从哪里链接过来的，如果直接在浏览器的地址栏中输入一个资源的URL地址，那么这种请求是不会包含Referer字段的），如http://www.jzm.com/caocao.jpg 我们使用 http://www.jzm.com访问显示的图片，可以理解成http://www.jzm.com/caocao.jpg 这个请求是从http://www.jzm.com这个链接过来的。 blocked：允许不是http://开头的，不带协议的请求访问资源； if语句：链接来源域名不在valid_referers所列出的列表中，$invalid_referer为true，则执行后面的操作，即进行重写或返回403页面。

文章图片

网页准备

cd /usr/local/nginx/html 将caocao.jpg、error.png文件传到/usr/local/nginx/html目录下 vim index.html ...... < img src="https://www.songbingjia.com/android/caocao.jpg"/> < /body> < /html> echo "192.168.80.30 www.jzm.com" > > /etc/hosts echo "192.168.80.31www.daotu.com" > > /etc/hosts

文章图片

盗链网站主机(192.168.80.31)

#先安装nginx服务 cd /usr/local/nginx/html vim index.html ...... < img src="http://www.jzm.com/caocao.jpg"/> < /body> < /html> echo "192.168.80.30 www.jzm.com" > > /etc/hosts echo "192.168.80.31www.daotu.com" > > /etc/hosts

文章图片

文章图片

在盗图网站主机上进行浏览器验证

http://www.jzm.com http://www.daotu.com

文章图片

gzip 网站数据压缩 rewrite 地址重写 stub_status 用于统计Nginx服务状态 ssl 支持 https，得先用openssl或者TLS工具生成相关证书和私钥文件。再用ssl模块配置中调用证书和私钥 upstream 使用Nginx做反向代理web群集，定义群集服务器池 stream 用于定义4层反向代理 auth_basic 用户认证 fastcgi 转发请求给php--with-模块名#开启模块 --without-模块名#禁用模块