1.隐藏nginx header里版本号信息

(安全优化)

在nginx配置文件nginx.conf中的http标签加入

http {

    server_tokens off;

    }

控制了header和网页中error messages显示nginx版本


修改源代码更改版本号显示。

vim +48 /home/xiaoyi/tools/nginx-1.6.2/src/http/ngx_http_header_filter_module.c

static char ngx_http_server_string[] = "Server: (nginx)BWS" CRLF;

static char ngx_http_server_full_string[] = "Server: " (NGINX_VER)BWS CRLF;


修改ngx_http_special_response.c

vi nginx-1.6.2/src/http/ngx_http_special_response.c

static u_char ngx_http_error_tail[] =



2.更改nginx默认用户及用户组

(安全优化)

user nginx;

(1)编译时指定--user=nginx --group=nginx

(2)如果编译时忘记了指定,可以在配置文件中使用user nginx来指定nginx运行用户


3. 调整硬件配置nginx worker进程个数(性能优化)

查看CPU核数

grep "physical id" /proc/cpuinfo

top 1


worker_processes 8;

指定了nginx要开启的进程数。建议CPU数量相等或x2


①查看物理CPU的个数

#cat /proc/cpuinfo |grep "physical id"|sort |uniq|wc -l  

2  

②查看逻辑CPU的个数

#cat /proc/cpuinfo |grep "processor"|wc -l  

24  

③查看CPU是几核

#cat /proc/cpuinfo |grep "cores"|uniq  

6  


4. 绑定不同的进程到不同的CPU上,资源平均分配(配置CPU亲和力)

(性能优化)

4个进程时:

worker_processes 4;

worker_cpu_affinity 0001 0010 0100 1000;


2个进程时:

worker_processes 2;

worker_cpu_affinity 0101 1010;


8个进程时:

worker_processes 8;

worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;


命令行为某个服务指定CPU亲和力

taskset -c 1,2,3 /etc/init.d/mysql start


5. nginx事件处理模型优化为epoll

(性能优化)

nginx采用epoll的IO多路复用模型

freebsd才用kqueue的IO多路复用模型

solaris才用/dev/poll方式的IO多路复用模型

windows使用的是icop

epoll 2.6内核支持


events {

    use epoll;

}


6. 调整nginx单个进程允许的客户端最大连接数

(性能优化)

events {

    worker_connections  102400;

}

ulimit -HSn 65535

注意:设置此项的前提是ulimit的值必须修改,默认是1024

events指令是设定nginx的工作模式及连接数上限


7.配置nginx最大打开文件数

(性能优化)

ulimit -HSn 65535

worker_rlimit_nofile 65535;


8.优化服务器名字的hash表大小

(性能优化)

could not build the server_names_hash, you should increase server_names_hash_bucket_size: 32

如果你遇到了上面这条报错,那么你可能就需要修改server_names_hash_bucket_size了,如果64还不够,那么就按64的倍数往上加。

http {

    server_names_hash_bucket_size 64;

    server_names_hash_max_size 512;

}


9.开启高效文件传输模式

(性能优化)

http {

    sendfile on;

    tcp_nopush on; #在包含了keepalive参数才有效

    tcp_nodelay on;}

    #tcp_nopush和tcp_nodelay互相排斥

sendfile on;#可以让sendfile()发挥作用。sendfile()可以在磁盘和TCP socket之间互相拷贝数据(或任意两个文件描述符)。Pre-sendfile是传送数据之前在用户空间申请数据缓冲区。之后用read()将数据从文件拷贝到这个缓冲区,write()将缓冲区数据写入网络。sendfile()是立即将数据从磁盘读到OS缓存。因为这种拷贝是在内核完成的,sendfile()要比组合read()和write()以及打开关闭丢弃缓冲更加有效(更多有关于sendfile)。


tcp_nopush on;告诉nginx在一个数据包里发送所有头文件,而不一个接一个发送


tcp_nodelay on;告诉nginx不要缓存数据,而是一段一段的发送--当需要及时发送数据时,就应该给应用设置这个属性,这样发送一小块数据信息时就能立即得到返回值。


10.设置连接超时时间

(性能优化)

为什么要超时?保护服务器的资源、硬件、cpu、mem、连接数

php网站建议希望短链接,php程序建立连接消耗的资源要少

java网站建议长链接,java程序建立连接消耗的资源和时间要多

http {

    keepalive_timeout 60;

    tcp_nodelay on; 

#打开了tcp_nodelay,在包含了keepalive参数才有效

    client_header_timeout 15;

 #设置客户端请求头读取时间,如果超过这个时间,客户端还没有发送任何数据,nginx将返回“Request time out(408)”错误

    client_body_timeout 15;

#设置客户端请求主体读取超时时间。如果超过这个时间,客户端还没有发送任何数据, nginx将返回“Request time out(408)”错误,默认值是60

    send_timeout 15; 

#指定响应客户端的超时时间。这个超时仅限于两个连接活动之间的时间,如果超过这个时间,客户端没有任何活动,nginx将会关闭连接。

}


11.上传文件大小限制

(动态应用)

client_max_body_size 10m;设置为0不检查


12. fastcgi调优(配合php引擎动态服务)

fastcgi_connect_timeout 300;

#指定连接到后端fastcgi的超时时间

fastcgi_send_timeout 300;

#向fastcgi传送请求的超时时间,这个值是指已经完成两次握手后向fastcgi传送请求的超时时间

fastcgi_read_timeout 300;

#指定接收fastcgi应答的超时时间,这个值是指已经完成两次握手后接收fastcgi应答的超时时间

fastcgi_buffer_size 64k;

#指定读取fastcgi应答第一部分需要用多大的缓冲区,这个值表示将使用1个64KB的缓冲区读取应答的第一部分(应答头),可以设置为fastcgi_buffers选项指定的缓冲区大小

fastcgi_buffers 4 64k;

#指本地需要用多少和多大的缓冲区来缓冲fastcgi的应答请求。如果一个php脚本所产生的页面大小为256KB,那么会为其分配4个64KB的缓冲区来缓存;如果页面大小大于256KB,那么大于256KB的部分会缓存到fastcgi_temp指定的路径中,但是这并不是好方法,因为内存中的数据处理速度要快于硬盘。一般这个值应该为站点中php脚本所产生的页面大小的中间值,如果站点大部分所产生的页面大小为256KB,那么可以把这个值设置为“16 16K”、“4 64K”等

fastcgi_busy_buffers_size 128k;

#建议为fastcgi_buffers的两倍

fastcgi_temp_file_write_size 128k;

#在写入fastcgi_temp_path时将用多大的数据块,默认值是fastcgi_buffers的两倍,设置上树数值设置大小时若负载上来时可能报502 Bad Gateway

fastcgi_cache oldboy_nginx

#表示开启fastcgi缓存并为其指定一个名称。开启缓存非常有用,可以有效降低CPU的负载,并且防止502错误的发生,但是开启缓存也可能会引起其他问题,要根据具体情况选择。

fastcgi_cache_valid 200 302 1h;

#用来指定应答代码的缓存时间,实例中的值表示将200和302应答缓存一个小时

fastcgi_cache_valid any 1m;

#将其他应答缓存为1分钟

fastcgi_cache_min_uses 1;

#缓存在fastcgi_cache_path指令inactive参数值时间内的最少使用次数


13.配置nginx gzip压缩功能

nginx gzip压缩模块提供了对文件内容压缩的功能,允许nginx服务器将输出内容在发送到客户端之前根据具体的策略进行压缩,以节约网站带宽,同时提升用户访问体验。

此功能同apache的mod_deflate压缩功能,依赖ngx_http_gzip_module模块


gzip on;

gzip_min_length 1k;(小于1K不压缩)

gzip_buffers 4 32k;

#压缩缓冲区大小,表示申请4个单位为16K的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果。

gzip_http_version 1.1;(可以不加)

gzip_comp_level 9;

#压缩比率,用来指定gzip压缩比,1压缩比越小,处理速度越快;9压缩比最大,传输速度快,但处理最慢,也比较消耗CPU资源

gzip_types text/css application/javascript text/plain application/xml;

#用来指定压缩的类型,"text/html"类型总是会被压缩

gzip_vary on;

vary header支持。该选项可以让前端的缓存服务器缓存经过GZIP压缩的页面,例如用squid缓存经过nginx压缩的数据


火狐浏览器安装yslow插件可以查看压缩



14.配置nginx expires缓存功能

优点:

1.第一次以后,访问网站快  体验好

2.节省网站带宽  成本

3.服务器压力降低  成本

缺点:

1.网站改版,对应的用户看到的还是旧的(js css,图片)

解决方法:

1.过期时间短一些

2.资源文件更新时,改名。


expire功能优点:

expires尅降低网站购买的带宽,节约成本,同时提升了用户访问体验,减轻服务器的压力,是web服务非常重要的功能

expire功能缺点:

被缓存的页面或数据更新了,用户看到的可能还是旧的内容,反而影响用户体验。

解决缺点办法:

1.缩短缓存时间,例如:1天,不彻底,除非更新频率大于1天

2.对缓存的对象改名

图片,附件一般不会被用户修改,如果用户修改了,实际上也就是更改文件名重新传了而已

网站升级对于js,css元素,一般可以改名。把css,js推送到CDN


企业网站缓存日期:

1.51cto 1周

2.sina 15天

3.京东25年

4.淘宝10年

5.google 1天

6.百度10年


一般不希望被缓存的内容:

1.广告图片

2.网站流量统计文件

3.更新频繁的文件

在server中配置

针对扩展名

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)?$

{

expires 3650d;

root html/www;

}

针对目录

location ~ ^/(p_w_picpaths|javascript|js|css|flash|media|static)/ {

  expires 360d;

}

针对单个文件

location ~(robots.txt) {

log_not_found off;

expires 7d;

break;

}


15. nginx防爬虫(rebot协议,HTTP_USER_AGENT)

(安全+性能优化)

server {

listen 80;

server_name 127.0.0.1;

#添加如下内容即可防止爬虫

if ($http_user_agent ~* "qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot") 

    { 

    return 403; 

    }

}

方法二:

网站根目录下建立robots.txt


禁止指定浏览器软件访问:

if($http_user_agent~*"Firefox|MSIE")

{

return 403;

rewrite ^(.*) http://blog.etiantan.org/$1 permanent;

}


某些网站做了只允许wget下载,比如张宴的博客http://zyan.cc,网站里的工具只允许使用wget下载,就是用了判断http_user_agent的方法

if ($http_user_agent ~ * LWP::Simple|BBBike|wget) {

return 403

}

16.nginx日志相关优化

日志轮询

cd /application/nginx/logs &&\

/bin/mv www_access.log www_access_$(date +%F -d -1day)

.log

/application/nginx/sbin/nginx -s reload

添加到cron


不记录不需要的访问日志

对于健康检查或某些图片,js,css的日志,一般不需要记录

location ~ .*\.(js|jpg|JPG|jpeg|JPEG|css|bmp|gif|GIF)$ {

 access_log off;

}



17. 严格设置web站点目录的权限

安全的权限:

1.所有站点目录的用户和组都应该为root

2.所有目录权限是默认的755;

3.所有文件权限是默认的644;

注意:网站服务的用户不能用root

(业务拆分)



18. 根据扩展名限制程序和文件访问

location ~ ^/p_w_picpaths/.*\.(php|php5)$ {

deny all;

}

location ~* ^/data/(p_w_upload|avatar)/.*\.(php|php5)$ {

deny all;

}

这些目录的限制写在以下配置的前面:

location ~ .*\.(php|php5)?$

{

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

include fcgi.conf;

}


禁止访问*.txt文件

location ~* \.(txt|doc)$ {

 if (-f $request_filename){

 root /data/www/www;

 #rewrite

 break(deny all);

 }

}


禁止访问指定目录下所有的文件和目录

范例1:配置禁止访问指定的单个或多个目录

location ~ ^/(static|js)/ {

deny all;

}

范例2:禁止访问目录并返回指定的http状态吗

location /admin/ {return 403; }


限制来源IP访问

location ~ ^/oldboy/ {

  deny 1.1.1.1;

  allow 192.168.1.0/24;

  allow 10.1.1.0/16;

  deny all;

}



19.web资源防盗链

1.根据http referer实现防盗链

在http协议中,有一个表头字段叫referer,使用URL格式来表示从哪里来的链接到当前网页的资源。通过referer可以检测目标访问的来源网页,如果是资源文件,可以跟踪到显示它的网页地址,一旦检测出来源不是本站,进行组阻止或返回指定的页面。

apache,nginx,lighttpd都支持根据http referer实现防盗链

2.根据cookie处理

3.通过加密交换访问路径实现防盗链

lighttpd有累死的插件mod_secdownload


通过判断referer变量的值,来判断图片或资源的引用是否合法,只有在根据配置符合设定需求范围内的referer,这样的的网站内容才能调用访问指定的资源内容,从而实现了资源被网站盗链的目的,需要注意的是:不是所有的用户代理(浏览器)都会设置referer变量,而且有的还可以手工修改referer,referer是可以被伪造的。上面配置,只是一种简单的防护手段。应付一般的盗链也足够了。


解决办法:

1.图片、视频上打水印,品牌

2.防火墙控制,根据IP控制

3.防盗链(根据referer机制)


location ~* \.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {

  valid_referers none blocked *.etiantian.org etiantian.org;

if($invalid_referer){

  rewrite ^/ http://www.etiantian.org/img/nolink.jpg;

 }

}


利用referer并且针对站点目录过滤返回错误码

location /p_w_picpaths {

  root /data0/www/www;

  valid_referers none blocked *.etiantian.org etiantian.org;

if($invalid_referer){

  return 403;

 }

}

提示:要根据自己公司的业务,是否有外链的合作,进行设置域名允许。

NginxHttpAccessKeyModule实现防盗链


在产品设计上解决盗链方案:

为网站上传的图片增加水印


20. 错误页面优雅显示

(用户体验优化)

http://oldboy.blog.51cto.com/2561410/716294

error_page 403 /403.html;

error_page 404 http://oldboy.blog.com;


200 - OK,服务器成功返回网页 

    - Standard response for successful HTTP requests.

 

301 - Moved Permanently(永久跳转),请求的网页已永久跳转到新位置。

     - This and all future requests should be directed to the given.

 

403 - Forbidden(禁止访问),服务器拒绝请求

     - forbidden request (matches a deny filter) => HTTP 403

     - The request was a legal request, but the server is refusing to respond to it.

 

404 - Not Found,服务器找不到请求的页面。

     - The requested resource could not be found but may be available again in the future.

 

500 - Internal Server Error(内部服务器错误)

     - internal error in haproxy => HTTP 500

     - A generic error message, given when no more specific message is suitable.

 

502 - Bad Gateway(坏的网关),一般是网关服务器请求后端服务时,后端服务没有按照http协议正确返回结果。

     - the server returned an invalid or incomplete response => HTTP 502

     - The server was acting as a gateway or proxy and received an invalid response from the upstream server.

 

503 - Service Unavailable(服务当前不可用),可能因为超载或停机维护。

     - no server was available to handle the request => HTTP 503

     - The server is currently unavailable (because it is overloaded or down for maintenance).

 

504 - Gateway Timeout(网关超时),一般是网关服务器请求后端服务时,后端服务没有在特定的时间内完成服务。

     - the server failed to reply in time => HTTP 504

     - The server was acting as a gateway or proxy and did not receive a timely response from the


21.从正确途径取得nginx源代码

http://nginx.org


22.系统内核参数优化


23.使用tmpfs文件系统替代频繁访问的目录

mkdir /opt/tmp/

mv /tmp/* /opt/tmp/

mount -t tmpfs -o size=16m tmpfs /tmp

mount -t tmpfs /tmp /tmp/eaccelerator/

放入/etc/rc.local


24.尽可能减少http请求数

这属于架构思想了,这里提一下,从前面讲到的nginx exprise缓存,所有的目的就是劲量把请求往前推,首先在客户端放缓存,这样客户端有些资源不用再通过服务器获得;接着可能会有CDN缓存,反向代理缓存,php引擎缓存,等等。总之一句话就是尽量让用户的请求从缓存中获得,而不进行数据库,磁盘的读写。


25.TCMalloc优化nginx性能


26.使用普通用户跑nginx服务

不能用80端口,大于1024的端口

/application/nginx/sbin/nginx -c /home/xiaoyi/nginx/conf/nginx.conf



27.严格设置web站点目录的权限

(单机环境: f644 d 755 root root)

(集群环境:动静以及上传分离访问:)

动态:f644 d755 root root

静态:f644 d755 root root

上传:程序:f644 d755 root root

     资源:f644 d755 nginx nginx


28.防非法域名恶意解析

nginx禁止非法域名解析访问

if($host !~^www/.duk/.cn$) {

rewrite ^(.*) http://www.duk.cn$1 permanent;

}


29.防止使用IP访问网站

server {

listen 80 default_server;

server_name_;

return 403;

}

  #禁止IP访问,上面那条是老师教的,下面这条是百度到的     

server  {

listen 80 default;

server_name _;

server_name www.example.com example.com

return 500;


30. 防DOS***

(单IP并发连接的控制)

http{

limit_conn_zone $binary_remote_addr zone=addr:10m;

server{

listen 80;

server_name blog.etiantian.com;

root html/blog;

location /download/ {

     root html/blog;

   index index.php index.html index.htm;

         limit_conn addr 1;

   }

 }

}


http {

 limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

 server{

 locaion /search/ {

   limit_req zone=one burst=5;

              }

      }

}


31. 防DDOS***策略

http://oldboy.blog.51cto.com/2561410/845349



32.为web服务增加用户验证(适合内部机密网址)

控制力度,可以是一个虚拟主机,也可以是一个目录

auth_basec "oldboy training";

auth_basic_user_file /application/nginx/conf/htpasswd;

cat bbs.conf

server {

listen 80;

server_name bbs.etiantian.org;

location / {

root html/bbs;

index index.php index.html index.htm;

access_log logs/www_access.log;

auth_basic "oldboy training";

auth_basic_user_file /application/nginx/conf/htpasswd;

          }

}


htpasswd -c(b) /application/nginx/conf/htpasswd oldboy 123

chmod 400 /application/nginx/conf/htpasswd




33.让nginx运行于监牢模式

1.给nginx服务降权用普通用户xiaoyi跑服务,站点xiaoyi,给开发设置普通帐号和xiaoyi同组

/application/nginx/sbin/nginx -c /home/xiaoyi/conf/nginx.conf



34.nginx伪静态

rewrite ^([^\.]*)/topic-(.+)\.html$ $1/portal.php?mod=topic&topic=$2 last;

rewrite ^([^\.]*)/article-([0-9]+)-([0-9]+)\.html$ $1/portal.php?mod=view&aid=$2&page=$3 last;

rewrite ^([^\.]*)/forum-(\w+)-([0-9]+)\.html$ $1/forum.php?mod=forumdisplay&fid=$2&page=$3 last;

rewrite ^([^\.]*)/thread-([0-9]+)-([0-9]+)-([0-9]+)\.html$ $1/forum.php?mod=viewthread&tid=$2&extra=page%3D$4&page=$3 last;

rewrite ^([^\.]*)/group-([0-9]+)-([0-9]+)\.html$ $1/forum.php?mod=group&fid=$2&page=$3 last;

rewrite ^([^\.]*)/space-(username|uid)-(.+)\.html$ $1/home.php?mod=space&$2=$3 last;

rewrite ^([^\.]*)/blog-([0-9]+)-([0-9]+)\.html$ $1/home.php?mod=space&uid=$2&do=blog&id=$3 last;

rewrite ^([^\.]*)/(fid|tid)-([0-9]+)\.html$ $1/index.php?action=$2&value=$3 last;

rewrite ^([^\.]*)/([a-z]+[a-z0-9_]*)-([a-z0-9_\-]+)\.html$ $1/plugin.php?id=$2:$3 last;

if (!-e $request_filename) {

return 404;

}