标签:信号 gif types sbin nginx配置 生产环境 问控制 c89 html
在企业信息化应用环境中,服务器的安全性和响应速度需要根据实际情况进行参数配置,以达到最优的用户体验。默认的Nginx安装参数只能提供最基本的服务,还需要调整如网页缓存时间、连接超时、网页压缩等相应参数,才能发挥出服务器的最大作用。Ngnix服务的安装详细介绍请参考 部署Nginx网站服务实现访问状态统计以及访问控制功能
可以从隐藏版本号、更改用户与组、配置网页缓存时间、日志切割、设置连接超时这几个方面进行优化。
在生产环境中需要隐藏Nginx的版本号,以避免泄露Nginx的版本,使×××者不能针对特定版本进行×××。查看Nginx的版本在CentOS中使用命令curl -I http://172.16.10.10/即可。
[root@localhost ~]# curl -I http://172.16.10.10/
HTTP/1.1 200 OK
Server: nginx/1.12.0 #Nginx版本信息
Date: Fri, 29 Jun 2018 08:52:27 GMT
Content-Type: text/html
Content-Length: 483
Last-Modified: Fri, 29 Jun 2018 06:56:20 GMT
Connection: keep-alive
ETag: "5b35d814-1e3"
Accept-Ranges: bytes
隐藏版本号有两种方式,一种是修改Nginx的源码文件,指定不显示版本号,第二种是修改Nginx的主配置文件。
(1)修改主配置文件的方式如下:
将Nginx的配置文件中的server_tokens选项值设置为off,如没有该配置项,加上即可。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
........... #省略内容
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; #关闭版本号
............ #省略内容
[root@localhost ~]# nginx -t #测试配置文件
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
再次访问网址,只显示Nginx,版本号已经隐藏。
[root@localhost ~]# service nginx restart #重新启动nginx服务
[root@localhost ~]# curl -I http://172.16.10.10/
HTTP/1.1 200 OK
Server: nginx #nginx隐藏了版本号
Date: Fri, 29 Jun 2018 09:09:36 GMT
Content-Type: text/html
Content-Length: 483
Last-Modified: Fri, 29 Jun 2018 06:56:20 GMT
Connection: keep-alive
ETag: "5b35d814-1e3"
Accept-Ranges: bytes
(2)Nginx的源码文件包含了版本信息,可以随意设置,然后重新编译安装,就会隐藏版本信息。
[root@localhost ~]# vim /opt/nginx-1.12.0/src/core/nginx.h #编辑源码文件
#define NGINX_VERSION "1.1.1" #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION #修改服务器类型
重新编译安装
[root@localhost ~]# cd /opt/nginx-1.12.0/
[root@localhost nginx-1.12.0]#./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module && make && make install
再次访问网址,只显示修改之后的版本信息。
[root@localhost nginx-1.12.0]# service nginx restart #重启nginx服务
[root@localhost nginx-1.12.0]# curl -I http://172.16.10.10/HTTP/1.1 200 OK
Server: IIS1.1.1 #nginx的版本信息
Date: Fri, 29 Jun 2018 09:30:09 GMT
Content-Type: text/html
Content-Length: 483
Last-Modified: Fri, 29 Jun 2018 06:56:20 GMT
Connection: keep-alive
ETag: "5b35d814-1e3"
Accept-Ranges: bytes
Nginx运行时进程需要有用户与组的支持,用以实现对网站文件读取时进行访问控制。主进程由root创建,子进程由指定的用户与组创建。Nginx默认使用nobody用户账号与组账号,一般要修改。
(1)编译Nginx时指定用户与组,就是配置nginx时,在./configure后面指定用户与组的参数。
[root@localhost ~]# cd /opt/nginx-1.12.0/
[root@localhost nginx-1.12.0]#./configure --prefix=/usr/local/nginx
--user=nginx #指定用户名是nginx
--group=nginx #指定组名是nginx
--with-
&& make && make install
(2)修改Nginx配置文件nginx.conf指定用户与组。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; #修改用户为nginx,组为nginx
重启nginx查看进程运行情况,主进程由root账户创建,子进程由nginx创建。
[root@localhost ~]# ps aux | grep nginx
root 14923 0.0 0.0 20540 624 ? Ss 17:30 0:00 nginx: master process /usr/local/nginx/sbin/nginx #主进程由root创建
nginx 14925 0.0 0.1 22984 1412 ? S 17:30 0:00 nginx: worker process #子进程由nginx创建
root 19344 0.0 0.0 112720 984 pts/0 R+ 17:47 0:00 grep --color=auto nginx
当Nginx将网页数据返回给客户端后,可设置缓存时间,方便日后进行相同内容请求是直接返回,避免重复请求,加快访问速度,一般只针对静态资源进行设置,对动态网页不用设置缓存时间。
操作步骤如下所示:
(1)以图片作为缓存对象,将game.jpg放到Nginx的网站目录下。
[root@localhost ~]# cd /usr/local/nginx/html/ #Nginx的网站目录
[root@localhost html]# ls
50x.html error.png game.jpg index.html test.html
(2)访问http://172.16.10.10/game.jpg, 再用Fidder工具抓包,查看响应报文,没有图片的缓存信息。
(3)修改配置文件,在新的location段加入expire参数,指定缓存时间,1d表示一天。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
location ~\.(gif|jpg|jepg|png|bmp|ico)$ { #加入新的location
root html;
expires 1d; #指定缓存时间
}
(4)重启nginx服务,访问网址抓包,响应报文中含有Expire参数,表示缓存的时间。
[root@localhost ~]# service nginx restart
随着Nginx的运行时间的增加,产生的日志也会增加。太大的日志文件非常不便于分析和排查,因此需要定期的进行日志文件的切割。Nginx没有类似Apache的cronlog日志分割处理功能,但可以通过Nginx的信号控制功能脚本来实现日志的自动切割,并将脚本加入到Linux的计划任务中,让脚本在每天的固定时间执行。
(1)首先编写脚本/opt/fenge.sh,把Nginx的日志文件/usr/local/nginx/logs/access.log移动到目录/var/log/nginx下面,以当前时间作为日志文件的名称,然后用kill-USR1创建新的日志文件/usr/local/nginx/logs/access.log,最后删除前30天的日志文件。
[root@localhost ~]# vim /opt/fenge.sh
#!/bin/bash
#Filename:fenge.sh
d=$(date -d "-1 day" "+%Y%m%d") #显示一天前的时间
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path #创建日志文件目录
mv /usr/local/nginx/logs/access.log #移动并重命名日志文件 ${logs_path}/test.com-access.log-$d
kill -USR1 $(cat $pid_path) #重建新的日志文件
find $logs_path -mtime +30 | xargs rm -rf #删除30天之前的日志文件
(2)执行/opt/fenge.sh,测试日志文件是否被切割。
[root@localhost ~]# chmod +x /opt/fenge.sh
[root@localhost ~]# ./fenge.sh #执行分割脚本
[root@localhost ~]# ls /var/log/nginx/
test.com-access.log-20180628
(3)设置crontab任务,定期执行脚本自动进行日志分割。
[root@localhost ~]# crontab -e
0 1 * * * /opt/fenge.sh #每天的凌晨1点执行/opt/fenge.sh脚本
在企业网站中,为了避免同一个客户长时间占用连接,造成资源浪费,可以设置相应的连接超时参数,实现对连接访问的时间的控制。
(1)修改配置文件nginx.conf,设置keepalive_timeout超时时间。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
... #省略内容
http {
...
keepalive_timeout 65 180; #设置超时是180秒
client_header_timeout 80; #指定请求头的超时时间
client_body_timeout 80; #指定请求体超时时间
... #省略内容
}
keepalive_timeout 第一个参数指定了与客户端的keep-alive连接超时时间,服务器将会在这个时间后关闭连接;第二个参数指定了响应头Keep-Alive:timeout=time中的time值。这个头能让浏览器主动关闭连接,这样服务器就不必去关闭连接。
(2)重启nginx服务,访问网址,用Fidder工具抓包。
可以从更改进程数、配置网页压缩、配置防盗链这几个方面进行深入优化。
在高并发环境中,需要启动更多的nginx进程以保证快速响应,用以处理用户的请求,避免造成阻塞。使用ps aux命令查看Nginx运行的进程的个数。
[root@localhost ~]# ps aux | grep nginx
root 14923 0.0 0.0 20540 624 ? Ss 17:30 0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx 14925 0.0 0.1 22984 1412 ? S 17:30 0:00 nginx: worker process
root 19344 0.0 0.0 112720 984 pts/0 R+ 17:47 0:00 grep --color=auto nginx
其中master process是主进程,开启了一个,worker process是子进程,也是开启了一个。
(1)修改nginx的文件中的worker_process参数,一般设为CPU的个数或核数,在高并发的情况下,可设置为CPU的个数或者核数的2倍,可以先查看CPU的核数以确定参数。
[root@localhost ~]# cat /proc/cpuinfo | grep -c "physical"
2
参数设置为2,和CPU核数相同,运行进程数设置多一些,响应客户端请求时,Nginx就不会临时启动新的进程提供服务,减少了系统的开销,提升了服务的速度。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
worker_proces 2;
修改完后,重启服务,查看运行进程数的变化。
[root@localhost ~]# service nginx restart
[root@localhost ~]# ps aux | grep nginx
root 21453 0.0 0.0 20540 636 ? Ss 20:11 0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx 21457 0.0 0.1 23000 1424 ? S 20:11 0:00 nginx: worker process
nginx 21458 0.0 0.1 23000 1424 ? S 20:11 0:00 nginx: worker process
root 21472 0.0 0.0 112720 984 pts/0 S+ 20:11 0:00 grep --color=auto nginx
开启了一个主进程和2个子进程,可见参数设置起了作用。
Nginx的ngx_http_gzip_module压缩模块提供了对文件内容压缩的功能,以节约网站的带宽,提升用户的访问体验,默认nginx已经安装该模块,只需要在配置文件加入相应的压缩功能参数对压缩性能进行优化。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
gzip on; #开启gzip压缩输出
gzip_buffers 4 64k; #表示申请4个单位为64kB的内存作为压缩结果流缓存
gzip_http_version 1.1; #用于设置http协议版本,默认是1.1
gzip_comp_level 2; #指定gzip压缩比,压缩比最小,处理速度最快
gzip_min_length 1k; #设置允许压缩的页面最小字节数
gzip_vary on; #让前端的缓存服务器缓存经过gzip压缩的页面
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss text/jpg text/png; #压缩类型
重启服务,以大小超过1KB的html文件作为nginx网站内容,然后访问网址抓取数据报文,显示使用gzip进行了压缩。
在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失,也避免不必要的带宽浪费。
一、防盗链
需要准备两台主机模拟盗链,一台主机作为客户端访问盗链网站。
IP地址 | 域名 | 用途 | 系统 |
---|---|---|---|
172.16.10.10 | www.benet.com | 源主机 | CentOS7 |
172.16.10.20 | www.bt.com | 盗链主机 | CentOS7 |
172.16.10.8 | -------------- | 客户机 | Windows7 |
(1)修改客户机的C:\Windows\System32\drivers\etc\hosts文件,设置域名和IP映射关系。
172.16.10.10 www.benet.com
172.16.10.20 www.bt.com
(2)修改源主机和盗链主机的hosts文件,设置域名和IP映射关系。
[root@localhost ~]# vim /etc/hosts
172.16.10.10 www.benet.com
172.16.10.20 www.bt.com
(3)把图片game.jpg放到源主机benet.com的站点目录下。
[root@localhost ~]# cd /usr/local/nginx/html/
[root@localhost html]# ls
50x.html game.jpg index.html
(4)在盗链主机bt.com的站点目录下编写盗链页面test.html,盗取源主机benet.com的图片。
[root@localhost ~]# cd /usr/local/nginx/html/
[root@localhost html]# vim test.html
<html>
<h1>Server 172.16.10.20</h1>
<body>
<img src="http://www.benet.com/game.jpg"/>
</body>
</html>
(5)访问盗链网页http://www.bt.com/test.html, 查看是否盗链成功。
在图片上点击右键选择属性,可以看到网址是http://www.benet.com/game.jpg。
二、配置Nginx防盗链
Nginx的防盗原理是加入location项,用正则表达式过滤图片类型文件,对于信任的网址可以正常使用,对于不信任的网址则返回相应的错误图片。在源主机benet.com的配置文件加入以下代码:
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
location ~*\.(jpg|gif|swf)$ {
valid_referers none blocked *.benet.com benet.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.benet.com/error.png;
}
}
[root@localhost ~]# cd /usr/local/nginx/html/
[root@localhost html]# ls
50x.html error.png game.jpg index.html test.html
(2)这时重启服务器,重新访问http://www.test.com/test.html, 显示的是被重写的图片,说明防盗链成功。
需要注意的是如果在配置文件中加入了新的location项去配置网页缓存时间,那么防盗链加入的location项应置于其之前,才能防盗链成功。
标签:信号 gif types sbin nginx配置 生产环境 问控制 c89 html
原文地址:http://blog.51cto.com/11134648/2134389