1.隐藏nginx header里版本号信息
(安全优化)
在nginx配置文件nginx.conf中的http标签加入
http {
server_tokens off;
}
控制了header和网页中error messages显示nginx版本
修改源代码更改版本号显示。
vim +48 /home/xiaoyi/tools/nginx-1.6.2/src/http/ngx_http_header_filter_module.c
static char ngx_http_server_string[] = "Server: (nginx)BWS" CRLF;
static char ngx_http_server_full_string[] = "Server: " (NGINX_VER)BWS CRLF;
修改ngx_http_special_response.c
vi nginx-1.6.2/src/http/ngx_http_special_response.c
static u_char ngx_http_error_tail[] =
2.更改nginx默认用户及用户组
(安全优化)
user nginx;
(1)编译时指定--user=nginx --group=nginx
(2)如果编译时忘记了指定,可以在配置文件中使用user nginx来指定nginx运行用户
3. 调整硬件配置nginx worker进程个数(性能优化)
查看CPU核数
grep "physical id" /proc/cpuinfo
top 1
worker_processes 8;
指定了nginx要开启的进程数。建议CPU数量相等或x2
①查看物理CPU的个数
#cat /proc/cpuinfo |grep "physical id"|sort |uniq|wc -l
2
②查看逻辑CPU的个数
#cat /proc/cpuinfo |grep "processor"|wc -l
24
③查看CPU是几核
#cat /proc/cpuinfo |grep "cores"|uniq
6
4. 绑定不同的进程到不同的CPU上,资源平均分配(配置CPU亲和力)
(性能优化)
4个进程时:
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000;
2个进程时:
worker_processes 2;
worker_cpu_affinity 0101 1010;
8个进程时:
worker_processes 8;
worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;
命令行为某个服务指定CPU亲和力
taskset -c 1,2,3 /etc/init.d/mysql start
5. nginx事件处理模型优化为epoll
(性能优化)
nginx采用epoll的IO多路复用模型
freebsd才用kqueue的IO多路复用模型
solaris才用/dev/poll方式的IO多路复用模型
windows使用的是icop
epoll 2.6内核支持
events {
use epoll;
}
6. 调整nginx单个进程允许的客户端最大连接数
(性能优化)
events {
worker_connections 102400;
}
ulimit -HSn 65535
注意:设置此项的前提是ulimit的值必须修改,默认是1024
events指令是设定nginx的工作模式及连接数上限
7.配置nginx最大打开文件数
(性能优化)
ulimit -HSn 65535
worker_rlimit_nofile 65535;
8.优化服务器名字的hash表大小
(性能优化)
could not build the server_names_hash, you should increase server_names_hash_bucket_size: 32
如果你遇到了上面这条报错,那么你可能就需要修改server_names_hash_bucket_size了,如果64还不够,那么就按64的倍数往上加。
http {
server_names_hash_bucket_size 64;
server_names_hash_max_size 512;
}
9.开启高效文件传输模式
(性能优化)
http {
sendfile on;
tcp_nopush on; #在包含了keepalive参数才有效
tcp_nodelay on;}
#tcp_nopush和tcp_nodelay互相排斥
sendfile on;#可以让sendfile()发挥作用。sendfile()可以在磁盘和TCP socket之间互相拷贝数据(或任意两个文件描述符)。Pre-sendfile是传送数据之前在用户空间申请数据缓冲区。之后用read()将数据从文件拷贝到这个缓冲区,write()将缓冲区数据写入网络。sendfile()是立即将数据从磁盘读到OS缓存。因为这种拷贝是在内核完成的,sendfile()要比组合read()和write()以及打开关闭丢弃缓冲更加有效(更多有关于sendfile)。
tcp_nopush on;告诉nginx在一个数据包里发送所有头文件,而不一个接一个发送
tcp_nodelay on;告诉nginx不要缓存数据,而是一段一段的发送--当需要及时发送数据时,就应该给应用设置这个属性,这样发送一小块数据信息时就能立即得到返回值。
10.设置连接超时时间
(性能优化)
为什么要超时?保护服务器的资源、硬件、cpu、mem、连接数
php网站建议希望短链接,php程序建立连接消耗的资源要少
java网站建议长链接,java程序建立连接消耗的资源和时间要多
http {
keepalive_timeout 60;
tcp_nodelay on;
#打开了tcp_nodelay,在包含了keepalive参数才有效
client_header_timeout 15;
#设置客户端请求头读取时间,如果超过这个时间,客户端还没有发送任何数据,nginx将返回“Request time out(408)”错误
client_body_timeout 15;
#设置客户端请求主体读取超时时间。如果超过这个时间,客户端还没有发送任何数据, nginx将返回“Request time out(408)”错误,默认值是60
send_timeout 15;
#指定响应客户端的超时时间。这个超时仅限于两个连接活动之间的时间,如果超过这个时间,客户端没有任何活动,nginx将会关闭连接。
}
11.上传文件大小限制
(动态应用)
client_max_body_size 10m;设置为0不检查
12. fastcgi调优(配合php引擎动态服务)
fastcgi_connect_timeout 300;
#指定连接到后端fastcgi的超时时间
fastcgi_send_timeout 300;
#向fastcgi传送请求的超时时间,这个值是指已经完成两次握手后向fastcgi传送请求的超时时间
fastcgi_read_timeout 300;
#指定接收fastcgi应答的超时时间,这个值是指已经完成两次握手后接收fastcgi应答的超时时间
fastcgi_buffer_size 64k;
#指定读取fastcgi应答第一部分需要用多大的缓冲区,这个值表示将使用1个64KB的缓冲区读取应答的第一部分(应答头),可以设置为fastcgi_buffers选项指定的缓冲区大小
fastcgi_buffers 4 64k;
#指本地需要用多少和多大的缓冲区来缓冲fastcgi的应答请求。如果一个php脚本所产生的页面大小为256KB,那么会为其分配4个64KB的缓冲区来缓存;如果页面大小大于256KB,那么大于256KB的部分会缓存到fastcgi_temp指定的路径中,但是这并不是好方法,因为内存中的数据处理速度要快于硬盘。一般这个值应该为站点中php脚本所产生的页面大小的中间值,如果站点大部分所产生的页面大小为256KB,那么可以把这个值设置为“16 16K”、“4 64K”等
fastcgi_busy_buffers_size 128k;
#建议为fastcgi_buffers的两倍
fastcgi_temp_file_write_size 128k;
#在写入fastcgi_temp_path时将用多大的数据块,默认值是fastcgi_buffers的两倍,设置上树数值设置大小时若负载上来时可能报502 Bad Gateway
fastcgi_cache oldboy_nginx
#表示开启fastcgi缓存并为其指定一个名称。开启缓存非常有用,可以有效降低CPU的负载,并且防止502错误的发生,但是开启缓存也可能会引起其他问题,要根据具体情况选择。
fastcgi_cache_valid 200 302 1h;
#用来指定应答代码的缓存时间,实例中的值表示将200和302应答缓存一个小时
fastcgi_cache_valid any 1m;
#将其他应答缓存为1分钟
fastcgi_cache_min_uses 1;
#缓存在fastcgi_cache_path指令inactive参数值时间内的最少使用次数
13.配置nginx gzip压缩功能
nginx gzip压缩模块提供了对文件内容压缩的功能,允许nginx服务器将输出内容在发送到客户端之前根据具体的策略进行压缩,以节约网站带宽,同时提升用户访问体验。
此功能同apache的mod_deflate压缩功能,依赖ngx_http_gzip_module模块
gzip on;
gzip_min_length 1k;(小于1K不压缩)
gzip_buffers 4 32k;
#压缩缓冲区大小,表示申请4个单位为16K的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果。
gzip_http_version 1.1;(可以不加)
gzip_comp_level 9;
#压缩比率,用来指定gzip压缩比,1压缩比越小,处理速度越快;9压缩比最大,传输速度快,但处理最慢,也比较消耗CPU资源
gzip_types text/css application/javascript text/plain application/xml;
#用来指定压缩的类型,"text/html"类型总是会被压缩
gzip_vary on;
vary header支持。该选项可以让前端的缓存服务器缓存经过GZIP压缩的页面,例如用squid缓存经过nginx压缩的数据
火狐浏览器安装yslow插件可以查看压缩
14.配置nginx expires缓存功能
优点:
1.第一次以后,访问网站快 体验好
2.节省网站带宽 成本
3.服务器压力降低 成本
缺点:
1.网站改版,对应的用户看到的还是旧的(js css,图片)
解决方法:
1.过期时间短一些
2.资源文件更新时,改名。
expire功能优点:
expires尅降低网站购买的带宽,节约成本,同时提升了用户访问体验,减轻服务器的压力,是web服务非常重要的功能
expire功能缺点:
被缓存的页面或数据更新了,用户看到的可能还是旧的内容,反而影响用户体验。
解决缺点办法:
1.缩短缓存时间,例如:1天,不彻底,除非更新频率大于1天
2.对缓存的对象改名
图片,附件一般不会被用户修改,如果用户修改了,实际上也就是更改文件名重新传了而已
网站升级对于js,css元素,一般可以改名。把css,js推送到CDN
企业网站缓存日期:
1.51cto 1周
2.sina 15天
3.京东25年
4.淘宝10年
5.google 1天
6.百度10年
一般不希望被缓存的内容:
1.广告图片
2.网站流量统计文件
3.更新频繁的文件
在server中配置
针对扩展名
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)?$
{
expires 3650d;
root html/www;
}
针对目录
location ~ ^/(p_w_picpaths|javascript|js|css|flash|media|static)/ {
expires 360d;
}
针对单个文件
location ~(robots.txt) {
log_not_found off;
expires 7d;
break;
}
15. nginx防爬虫(rebot协议,HTTP_USER_AGENT)
(安全+性能优化)
server {
listen 80;
server_name 127.0.0.1;
#添加如下内容即可防止爬虫
if ($http_user_agent ~* "qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot")
{
return 403;
}
}
方法二:
网站根目录下建立robots.txt
禁止指定浏览器软件访问:
if($http_user_agent~*"Firefox|MSIE")
{
return 403;
rewrite ^(.*) http://blog.etiantan.org/$1 permanent;
}
某些网站做了只允许wget下载,比如张宴的博客http://zyan.cc,网站里的工具只允许使用wget下载,就是用了判断http_user_agent的方法
if ($http_user_agent ~ * LWP::Simple|BBBike|wget) {
return 403
}
16.nginx日志相关优化
日志轮询
cd /application/nginx/logs &&\
/bin/mv www_access.log www_access_$(date +%F -d -1day)
.log
/application/nginx/sbin/nginx -s reload
添加到cron
不记录不需要的访问日志
对于健康检查或某些图片,js,css的日志,一般不需要记录
location ~ .*\.(js|jpg|JPG|jpeg|JPEG|css|bmp|gif|GIF)$ {
access_log off;
}
17. 严格设置web站点目录的权限
安全的权限:
1.所有站点目录的用户和组都应该为root
2.所有目录权限是默认的755;
3.所有文件权限是默认的644;
注意:网站服务的用户不能用root
(业务拆分)
18. 根据扩展名限制程序和文件访问
location ~ ^/p_w_picpaths/.*\.(php|php5)$ {
deny all;
}
location ~* ^/data/(p_w_upload|avatar)/.*\.(php|php5)$ {
deny all;
}
这些目录的限制写在以下配置的前面:
location ~ .*\.(php|php5)?$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
禁止访问*.txt文件
location ~* \.(txt|doc)$ {
if (-f $request_filename){
root /data/www/www;
#rewrite
break(deny all);
}
}
禁止访问指定目录下所有的文件和目录
范例1:配置禁止访问指定的单个或多个目录
location ~ ^/(static|js)/ {
deny all;
}
范例2:禁止访问目录并返回指定的http状态吗
location /admin/ {return 403; }
限制来源IP访问
location ~ ^/oldboy/ {
deny 1.1.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
deny all;
}
19.web资源防盗链
1.根据http referer实现防盗链
在http协议中,有一个表头字段叫referer,使用URL格式来表示从哪里来的链接到当前网页的资源。通过referer可以检测目标访问的来源网页,如果是资源文件,可以跟踪到显示它的网页地址,一旦检测出来源不是本站,进行组阻止或返回指定的页面。
apache,nginx,lighttpd都支持根据http referer实现防盗链
2.根据cookie处理
3.通过加密交换访问路径实现防盗链
lighttpd有累死的插件mod_secdownload
通过判断referer变量的值,来判断图片或资源的引用是否合法,只有在根据配置符合设定需求范围内的referer,这样的的网站内容才能调用访问指定的资源内容,从而实现了资源被网站盗链的目的,需要注意的是:不是所有的用户代理(浏览器)都会设置referer变量,而且有的还可以手工修改referer,referer是可以被伪造的。上面配置,只是一种简单的防护手段。应付一般的盗链也足够了。
解决办法:
1.图片、视频上打水印,品牌
2.防火墙控制,根据IP控制
3.防盗链(根据referer机制)
location ~* \.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {
valid_referers none blocked *.etiantian.org etiantian.org;
if($invalid_referer){
rewrite ^/ http://www.etiantian.org/img/nolink.jpg;
}
}
利用referer并且针对站点目录过滤返回错误码
location /p_w_picpaths {
root /data0/www/www;
valid_referers none blocked *.etiantian.org etiantian.org;
if($invalid_referer){
return 403;
}
}
提示:要根据自己公司的业务,是否有外链的合作,进行设置域名允许。
NginxHttpAccessKeyModule实现防盗链
在产品设计上解决盗链方案:
为网站上传的图片增加水印
20. 错误页面优雅显示
(用户体验优化)
http://oldboy.blog.51cto.com/2561410/716294
error_page 403 /403.html;
error_page 404 http://oldboy.blog.com;
200 - OK,服务器成功返回网页
- Standard response for successful HTTP requests.
301 - Moved Permanently(永久跳转),请求的网页已永久跳转到新位置。
- This and all future requests should be directed to the given.
403 - Forbidden(禁止访问),服务器拒绝请求
- forbidden request (matches a deny filter) => HTTP 403
- The request was a legal request, but the server is refusing to respond to it.
404 - Not Found,服务器找不到请求的页面。
- The requested resource could not be found but may be available again in the future.
500 - Internal Server Error(内部服务器错误)
- internal error in haproxy => HTTP 500
- A generic error message, given when no more specific message is suitable.
502 - Bad Gateway(坏的网关),一般是网关服务器请求后端服务时,后端服务没有按照http协议正确返回结果。
- the server returned an invalid or incomplete response => HTTP 502
- The server was acting as a gateway or proxy and received an invalid response from the upstream server.
503 - Service Unavailable(服务当前不可用),可能因为超载或停机维护。
- no server was available to handle the request => HTTP 503
- The server is currently unavailable (because it is overloaded or down for maintenance).
504 - Gateway Timeout(网关超时),一般是网关服务器请求后端服务时,后端服务没有在特定的时间内完成服务。
- the server failed to reply in time => HTTP 504
- The server was acting as a gateway or proxy and did not receive a timely response from the
21.从正确途径取得nginx源代码
http://nginx.org
22.系统内核参数优化
23.使用tmpfs文件系统替代频繁访问的目录
mkdir /opt/tmp/
mv /tmp/* /opt/tmp/
mount -t tmpfs -o size=16m tmpfs /tmp
mount -t tmpfs /tmp /tmp/eaccelerator/
放入/etc/rc.local
24.尽可能减少http请求数
这属于架构思想了,这里提一下,从前面讲到的nginx exprise缓存,所有的目的就是劲量把请求往前推,首先在客户端放缓存,这样客户端有些资源不用再通过服务器获得;接着可能会有CDN缓存,反向代理缓存,php引擎缓存,等等。总之一句话就是尽量让用户的请求从缓存中获得,而不进行数据库,磁盘的读写。
25.TCMalloc优化nginx性能
26.使用普通用户跑nginx服务
不能用80端口,大于1024的端口
/application/nginx/sbin/nginx -c /home/xiaoyi/nginx/conf/nginx.conf
27.严格设置web站点目录的权限
(单机环境: f644 d 755 root root)
(集群环境:动静以及上传分离访问:)
动态:f644 d755 root root
静态:f644 d755 root root
上传:程序:f644 d755 root root
资源:f644 d755 nginx nginx
28.防非法域名恶意解析
nginx禁止非法域名解析访问
if($host !~^www/.duk/.cn$) {
rewrite ^(.*) http://www.duk.cn$1 permanent;
}
29.防止使用IP访问网站
server {
listen 80 default_server;
server_name_;
return 403;
}
#禁止IP访问,上面那条是老师教的,下面这条是百度到的
server {
listen 80 default;
server_name _;
server_name www.example.com example.com
return 500;
30. 防DOS***
(单IP并发连接的控制)
http{
limit_conn_zone $binary_remote_addr zone=addr:10m;
server{
listen 80;
server_name blog.etiantian.com;
root html/blog;
location /download/ {
root html/blog;
index index.php index.html index.htm;
limit_conn addr 1;
}
}
}
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server{
locaion /search/ {
limit_req zone=one burst=5;
}
}
}
31. 防DDOS***策略
http://oldboy.blog.51cto.com/2561410/845349
32.为web服务增加用户验证(适合内部机密网址)
控制力度,可以是一个虚拟主机,也可以是一个目录
auth_basec "oldboy training";
auth_basic_user_file /application/nginx/conf/htpasswd;
cat bbs.conf
server {
listen 80;
server_name bbs.etiantian.org;
location / {
root html/bbs;
index index.php index.html index.htm;
access_log logs/www_access.log;
auth_basic "oldboy training";
auth_basic_user_file /application/nginx/conf/htpasswd;
}
}
htpasswd -c(b) /application/nginx/conf/htpasswd oldboy 123
chmod 400 /application/nginx/conf/htpasswd
33.让nginx运行于监牢模式
1.给nginx服务降权用普通用户xiaoyi跑服务,站点xiaoyi,给开发设置普通帐号和xiaoyi同组
/application/nginx/sbin/nginx -c /home/xiaoyi/conf/nginx.conf
34.nginx伪静态
rewrite ^([^\.]*)/topic-(.+)\.html$ $1/portal.php?mod=topic&topic=$2 last;
rewrite ^([^\.]*)/article-([0-9]+)-([0-9]+)\.html$ $1/portal.php?mod=view&aid=$2&page=$3 last;
rewrite ^([^\.]*)/forum-(\w+)-([0-9]+)\.html$ $1/forum.php?mod=forumdisplay&fid=$2&page=$3 last;
rewrite ^([^\.]*)/thread-([0-9]+)-([0-9]+)-([0-9]+)\.html$ $1/forum.php?mod=viewthread&tid=$2&extra=page%3D$4&page=$3 last;
rewrite ^([^\.]*)/group-([0-9]+)-([0-9]+)\.html$ $1/forum.php?mod=group&fid=$2&page=$3 last;
rewrite ^([^\.]*)/space-(username|uid)-(.+)\.html$ $1/home.php?mod=space&$2=$3 last;
rewrite ^([^\.]*)/blog-([0-9]+)-([0-9]+)\.html$ $1/home.php?mod=space&uid=$2&do=blog&id=$3 last;
rewrite ^([^\.]*)/(fid|tid)-([0-9]+)\.html$ $1/index.php?action=$2&value=$3 last;
rewrite ^([^\.]*)/([a-z]+[a-z0-9_]*)-([a-z0-9_\-]+)\.html$ $1/plugin.php?id=$2:$3 last;
if (!-e $request_filename) {
return 404;
}