nginx使用

                                 Nginx 

     Nginx是一款面向性能设计的HTTP服务器，相较于Apache、lighttpd具有占有内存少，nginx不采用每客户机一线程的设计模型，而是充分使用异步逻辑，削减了上下文调度开销，所以并发服务能力更强。整体采用模块化设计，有丰富的模块库和第三方模块库，配置灵活。 在Linux操作系统下，nginx使用epoll事件模型，得益于此，nginx在Linux操作系统下效率相当高。

     Nginx的优点：

     Nginx作为http服务器，的特征

• 处理静态文件，索引文件以及自动索引，打开文件描述符缓冲。

• 无缓存的反向代理加速，简单的负载均衡和容错。

• FastCGI，简单的负载均衡和容错

Nginx服务器的类型

1.  web服务器：web服务器用于提供http的访问。

2. 应用程序服务器：客户端回话管理，业务逻辑管理，数据操作

3. 反向代理

4. 后台代理

5. 防火墙

user nginx nginx; //指定nginx运行的用户及用户组为nginx，默认为nobody 

worker_processes 2； //开启的进程数，一般跟逻辑cpu核数一致      cat /proc/cpuinfo| grep "processor"| wc -l

worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;  //为每个进程分配 cpu，上例中将 8 个进程分配到 8 个 cpu，当然可以写多个，或者将一个进程分配到多个 cpu。

error_log logs/error.log notice; //定于全局错误日志文件，级别以notice显示。还有debug、info、warn、error、crit模式，debug输出最多，crit输出最少，更加实际环境而定。 
pid logs/nginx.pid; //指定进程id的存储文件位置 

worker_rlimit_nofile 65535; //指定一个nginx进程打开的最多文件描述符数目，受系统进程的最大打开文件数量限制。可以调整系统系统最大打开文件数来更改设置 

events { 
use epoll; 设置工作模式为epoll，除此之外还有select、poll、kqueue、rtsig和/dev/poll模式 
worker_connections 65535; //定义每个进程的最大连接数 受系统进程的最大打开文件数量限制 

} 

epoll模型：

     epoll是Linux内核为处理大批量文件描述符而作了改进的epoll， 它能显著提高程序在大量并发连接中只有少量活跃的情况下的系统CPU利用率

优点：

      支持一个进程打开大数目的socket描述符

它所支持的FD上限是最大可以打开文件的数目，这个数字一般远大于2048,举个例子，在1GB内存的机器上大约是10万左右，具体数目可以cat /proc/sys/fs/file-max查看，一般来说这个数目和系统内存关系很大。

反观select 一个进程所打开的FD是有一定限制的，由FD_SETSIZE设置，默认值是1024。对于那些需要支持的上万连接数目的IM服务器来说显然太少了（例如：Apache）

      IO效率不随FD数目增加而线性下降

传统的select/poll另一个致命弱点就是当你拥有一个很大的socket集合，不过由于网络延时，任一时间只有部分的socket是"活跃"的，但是select/poll每次调用都会线性扫描全部的集合，导致效率呈现线性下降。 epoll它只会对"活跃"的socket进行操作---这是因为在内核实现中epoll是根据每个fd上面的callback函数实现的

      使用mmap加速内核与用户空间的消息传递

无论是select,poll还是epoll都需要内核把FD消息通知给用户空间, 如何避免不必要的内存拷贝就很重要，在这点上，epoll是通过内核与用户空间mmap同一块内存实现的.

http { 

include mime.types; //主模块指令，实现对配置文件所包含的文件的设定，可以减少主配置文件的复杂度，DNS主配置文件中的zonerfc1912，acl基本上都是用的include语句 
default_type application/octet-stream; //核心模块指令，这里默认设置为二进制流，也就是当文件类型未定义时使用这种方式 
//下面代码为日志格式的设定，main为日志格式的名称，可自行设置，后面引用。 
log_format main '$remote_addr - $remote_user [$time_local] "$request" ' 
'$status $body_bytes_sent "$http_referer" ' 
'"$http_user_agent" "$http_x_forwarded_for"'; 
access_log logs/access.log main; //引用日志main 
client_max_body_size 20m; //设置允许客户端请求的最大的单个文件字节数 
client_header_buffer_size 32k; //指定来自客户端请求头的headebuffer大小 
client_body_temp_path /dev/shm/client_body_temp; //指定连接请求试图写入缓存文件的目录路径 
large_client_header_buffers 4 32k; //指定客户端请求中较大的消息头的缓存最大数量和大小，目前设置为4个32KB 
sendfile on; //开启高效文件传输模式 
tcp_nopush on; //开启防止网络阻塞 
tcp_nodelay on; //开启防止网络阻塞 
keepalive_timeout 65; //设置客户端连接保存活动的超时时间 
client_header_timeout 10; //用于设置客户端请求读取超时时间 
client_body_timeout 10; //用于设置客户端请求主体读取超时时间 
send_timeout 10; //用于设置相应客户端的超时时间 
//以下是httpGzip模块配置 
#httpGzip modules 
gzip on; //开启gzip压缩 
gzip_min_length 1k; //设置允许压缩的页面最小字节数 
gzip_buffers 4 16k; //申请4个单位为16K的内存作为压缩结果流缓存 
gzip_http_version 1.1; //设置识别http协议的版本,默认是1.1 
gzip_comp_level 2; //指定gzip压缩比,1-9 数字越小,压缩比越小,速度越快. 
gzip_types text/plain application/x-javascript text/css application/xml; //指定压缩的类型 

gzip_vary on; //让前端的缓存服务器存经过gzip压缩的页面

反向代理：

     

location / {

    #设置主机头和客户端真实地址，以便服务器获取客户端真实IP

     proxy_set_header Host $host;

     proxy_set_header X-Real-IP $remote_addr;

     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

     #禁用缓存

     proxy_buffering off;

     #设置反向代理的地址

     proxy_pass http://192.168.1.1;

}

负载均衡

upstream test{

     #ip_hash;

     server 192.168.1.251;

     server 192.168.1.252;

     server 192.168.1.247;

 }

server {

    listen       80;

    server_name  helloword;

    location / {

         #反向代理的地址

         proxy_pass http://test;     

    }

}

负载均衡+反向代理完整配置示例

nginx.conf：

worker_processes  1;

events {

    worker_connections  1024;

}

http {

    include       mime.types;

    default_type  application/octet-stream;

    sendfile        on;

    keepalive_timeout  65;

    upstream test{

         #ip_hash;

         server 192.168.1.251;

         server 192.168.1.252;

         server 192.168.1.247;

     }

    server {

        listen       80;

        server_name  2;

        location / {

        #设置主机头和客户端真实地址，以便服务器获取客户端真实IP

             proxy_set_header Host $host;

             proxy_set_header X-Real-IP $remote_addr;

             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

             #禁用缓存

             proxy_buffering off;

             #反向代理的地址

             proxy_pass http://test;   

        }

    }

}

动静分离

worker_processes  1;

events {

    worker_connections  1024;

}

http {

    include       mime.types;

    default_type  application/octet-stream;

    sendfile        on;

    keepalive_timeout  65;

    upstream test {

         #ip_hash;

         server 192.168.1.251;

         server 192.168.1.252;

         server 192.168.1.247;

     }

    server {

        listen       80;

        server_name  2;

        #配置Nginx动静分离，定义的静态页面直接从Nginx发布目录读取。       

        location ~ .*\.(html|htm|gif|jpg|jpeg|bmp|png|ico|txt|js|css)$ {

          root /usr/local/nginx/html/myloan;

          #expires定义用户浏览器缓存的时间为7天，如果静态页面不常更新，可以设置更长，这样可以节省带宽和缓解服务器的压力

          expires      7d;

        }

         #所有jsp、do的动态请求都交给后面的tomcat处理

         location ~ (\.jsp)|(\.do)$ {

              #tomcat地址

              proxy_pass http://test;   

              proxy_redirect off; 

              proxy_set_header HOST $host; 

              proxy_set_header X-Real-IP $remote_addr; 

              proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 

              client_max_body_size 10m; 

              client_body_buffer_size 128k; 

              proxy_connect_timeout 90; 

              proxy_send_timeout 90; 

              proxy_read_timeout 90; 

              proxy_buffer_size 4k; 

              proxy_buffers 4 32k; 

              proxy_busy_buffers_size 64k; 

              proxy_temp_file_write_size 64k; 

        }     

    }

}

完整的Nginx.conf配置文件

#运行用户

user www-data;   

#启动进程,通常设置成和cpu的数量相等

worker_processes  1;

#全局错误日志及PID文件

error_log  /var/log/nginx/error.log;

pid        /var/run/nginx.pid;

#工作模式及连接数上限

events {

    use   epoll;             #epoll是多路复用IO(I/O Multiplexing)中的一种方式,但是仅用于linux2.6以上内核,可以大大提高nginx的性能

    worker_connections  1024;#单个后台worker process进程的最大并发链接数

    # multi_accept on;

}

#设定http服务器，利用它的反向代理功能提供负载均衡支持

http {

     #设定mime类型,类型由mime.type文件定义

    include       /etc/nginx/mime.types;

    default_type  application/octet-stream;

    #设定日志格式

    access_log    /var/log/nginx/access.log;

    #sendfile 指令指定 nginx 是否调用 sendfile 函数（zero copy 方式）来输出文件，对于普通应用，

    #必须设为 on,如果用来进行下载等应用磁盘IO重负载应用，可设置为 off，以平衡磁盘与网络I/O处理速度，降低系统的uptime.

    sendfile        on;

    #tcp_nopush     on;

    #连接超时时间

    #keepalive_timeout  0;

    keepalive_timeout  65;

    tcp_nodelay        on;

    #开启gzip压缩

    gzip  on;

    gzip_disable "MSIE [1-6]\.(?!.*SV1)";

    #设定请求缓冲

    client_header_buffer_size    1k;

    large_client_header_buffers  4 4k;

    include /etc/nginx/conf.d/*.conf;

    include /etc/nginx/sites-enabled/*;

    #设定负载均衡的服务器列表

     upstream mysvr {

    #weigth参数表示权值，权值越高被分配到的几率越大

    #本机上的Squid开启3128端口

    server 192.168.8.1:3128 weight=5;

    server 192.168.8.2:80  weight=1;

    server 192.168.8.3:80  weight=6;

    }

   server {

    #侦听80端口

        listen       80;

        #定义使用www.xx.com访问

        server_name  www.xx.com;

        #设定本虚拟主机的访问日志

        access_log  logs/www.xx.com.access.log  main;

    #默认请求

    location / {

          root   /root;      #定义服务器的默认网站根目录位置

          index index.php index.html index.htm;   #定义首页索引文件的名称

          fastcgi_pass  www.xx.com;

         fastcgi_param  SCRIPT_FILENAME  $document_root/$fastcgi_script_name;

          include /etc/nginx/fastcgi_params;

        }

    # 定义错误提示页面

    error_page   500 502 503 504 /50x.html; 

        location = /50x.html {

        root   /root;

    }

    #静态文件，nginx自己处理

    location ~ ^/(p_w_picpaths|javascript|js|css|flash|media|static)/ {

        root /var/www/virtual/htdocs;

        #过期30天，静态文件不怎么更新，过期可以设大一点，如果频繁更新，则可以设置得小一点。

        expires 30d;

    }

    #PHP 脚本请求全部转发到 FastCGI处理. 使用FastCGI默认配置.

    location ~ \.php$ {

        root /root;

        fastcgi_pass 127.0.0.1:9000;

        fastcgi_index index.php;

        fastcgi_param SCRIPT_FILENAME /home/www/www$fastcgi_script_name;

        include fastcgi_params;

    }

    #设定查看Nginx状态的地址

    location /NginxStatus {

        stub_status            on;

        access_log              on;

        auth_basic              "NginxStatus";

        auth_basic_user_file  conf/htpasswd;

    }

    #禁止访问 .htxxx 文件

    location ~ /\.ht {

        deny all;

    }

     }

}

nginx做七层防火墙

第一步：备份原环境模块

使用 /../nginx -V 先查看原来都有哪些模块。

然后把上面这些先复制下来以作备用。

第二步：安装依赖，阿里云的服务器可以直接使用yum安装或者升级

yum install -y gcc make automake autoconf libtool
yum install -y pcre pcre-devel libxml2 libxml2-devel curl curl-devel httpd-devel

第三步：下载编译安装modsecurity

git clone https://github.com/SpiderLabs/ModSecurity.git mod_security
cd mod_security
./autogen.sh  
./configure --enable-standalone-module
make

*（为了避免出错，可先将autogen.sh的权限改成777）

第四步：下载nginx

wget http://www.nginx.org/download/nginx-1.10.2.tar.gz

找到nginx-1.10.1/auto/lib/openssl/conf文件，将第31-35行编辑为

*（为下面编译openssl做准备）

第五步：重新编译pcre

wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.38.tar.gz
tar -xvpzf pcre-8.38.tar.gz
cd pcre-8.38sudo autoreconf -ivf

*(configure要改为777权限)

第六步：重新编译openssl

wget https://www.openssl.org/source/openssl-1.0.2j.tar.gz
tar -xvpzf openssl-1.0.2j.tar.gz
cd openssl-1.0.2j
./config 
make

*(config要改为777权限)

第七步：编译nginx，增加modsecurity模块以及原有模块。

cd nginx-1.10.2./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-ipv6 --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-openssl=../openssl-1.0.2j --with-pcre=../pcre-8.38 --with-pcre-jit --with-ld-opt=-ljemalloc \
--add-module=../mod_security/nginx/modsecurity
make

*(configure要改为777权限，不要make install)

第八步：拷贝编译后的nginx文件覆盖现有的nginx文件

service nginx stop
cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
cp objs/nginx /usr/local/nginx/sbin/nginx
service nginx start

第九步：查看现有编译模块

/../nginx -V

如图，原有模块不变，增加modsecurity成功！

第十步：下载OWASP规则

下载地址：https://github.com/SpiderLabs/owasp-modsecurity-crs
将规则目录 owasp-modsecurity-crs-master 放置 /usr/local/nginx/conf/ 下，

然后将 owasp-modsecurity-crs-master 目录下的 modsecurity_crs_10_setup.conf.example 改名为 modsecurity_crs_10_setup.conf 。

第十一步：启用OWASP规则

复制modsecurity源码目录下的modsecurity.conf-recommended和unicode.mapping到nginx的conf目录下，并将modsecurity.conf-recommended重新命名为modsecurity.conf 。
编辑modsecurity.conf 文件，将SecRuleEngine设置为 on ，并将你需要的规则导入进来：

Include modsecurity-crs/modsecurity_crs_10_setup.conf
Include modsecurity-crs/base_rules/modsecurity_crs_35_bad_robots.conf
Include modsecurity-crs/base_rules/modsecurity_crs_40_generic_attacks.conf
Include modsecurity-crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf
Include modsecurity-crs/base_rules/modsecurity_crs_41_xss_attacks.conf
Include modsecurity-crs/base_rules/modsecurity_crs_42_tight_security.conf
Include modsecurity-crs/base_rules/modsecurity_crs_45_trojans.conf

*（如果你的网站使用了CDN服务，并且间歇性打不开，可能需要删除 modsecurity_crs_11_proxy_abuse.conf 这条恶意代理IP、IP黑名单规则）

第十二步：配置nginx

location \ {    ModSecurityEnabled on;    ModSecurityConfig modsecurity.conf; 
    
    ....其他配置
    }

service nginx reload

第十三步：测试

……

如果***被阻止，恭喜你，成功启用modsecurity！

其他、排错：

· 如果正常的post请求被阻止，可将modsecurity.conf中的 SecRequestBodyAccess 修改为 Off。

· modsecurity默认的阻止日志在 /var/log/modsec_audit.log 下，可查看详细被阻止的原因和规则，可禁用规则来放行（禁用方法见下文）。

· 如果提示 Audit log: Failed to lock global mutex: Permission denied
你可能需要将modsecurity.conf中的 SecAuditLogType Serial 注释掉，然后修改/添加以下内容：

  SecAuditLog /var/log/modsec_audit.log  #（该设置默认是有的，这里不需要注释）
  SecAuditLogType Concurrent 
  SecAuditLogStorageDir /opt/modsecurity/var/audit/  #（该文件夹需要新建，并且必须指定用户组，例如属于wwwdata，和nginx中设置的相同）

· 如果正常的post使用302跳转方法无响应，可屏蔽950922 960034 960032这几个规则再试，另外这个现象有时候会伴随多个问题，例如nginx中也会产生错误日志等，根据官方的说法是modsecurity 2.9.X以前的版本在nginx下是存在bug的，官方github issue中也有很多关于类似的问题，并且官方推荐使用最新的3.0版本，将会对nginx支持更好。

增加白名单方法：

修改 modsecurity.conf ，加入 SecRuleRemoveById 960024 这样的格式禁用该规则id，也可以使用SecRuleRemoveByMs 、 SecRuleRemoveByTag 。

modsecurity owasp详细规则解释：

第一部分：基础规则集

modsecurity_crs_20_protocol_violations.conf HTTP协议规范相关规则
modsecurity_crs_21_protocol_anomalies.conf HTTP协议规范相关规则
modsecurity_crs_23_request_limits.conf HTTP协议大小长度限制相关规则
modsecurity_crs_30_http_policy.conf HTTP协议白名单相关规则
modsecurity_crs_35_bad_robots.conf 恶意扫描器与爬虫规则
modsecurity_crs_40_generic_attacks.conf 常见的***例如命令执行，代码执行，注入，文件包含、敏感信息泄露、会话固定、HTTP响应拆分等相关规则
modsecurity_crs_41_sql_injection_attacks.conf SQL注入相关规则（竟然有一条MongoDB注入的规则，很全）
modsecurity_crs_41_xss_attacks.conf XSS相关规则
modsecurity_crs_42_tight_security.conf 目录遍历相关规则
modsecurity_crs_45_trojans.conf webshell相关规则
modsecurity_crs_47_common_exceptions.conf Apache异常相关规则
modsecurity_crs_49_inbound_blocking.conf 协同防御相关规则
modsecurity_crs_50_outbound.conf 检测response_body中的错误信息，警告信息，列目录信息
modsecurity_crs_59_outbound_blocking.conf 协同防御相关规则
modsecurity_crs_60_correlation.conf 协同防御相关规则

第二部分：SLR规则集

来自确定APP的PoC，不会误报，检测方法是先检查当前请求的文件路径是否出现在data文件中，若出现再进行下一步测试，否则跳过该规则集的检测
modsecurity_crs_46_slr_et_joomla_attacks.conf JOOMLA应用的各种漏洞规则
modsecurity_crs_46_slr_et_lfi_attacks.conf 各种APP的本地文件包含相关规则
modsecurity_crs_46_slr_et_phpbb_attacks.conf PHPBB应用的各种漏洞规则
modsecurity_crs_46_slr_et_rfi_attacks.conf 各种APP的远程文件包含相关规则
modsecurity_crs_46_slr_et_sqli_attacks.conf 各种APP的SQL注入相关规则
modsecurity_crs_46_slr_et_wordpress_attacks.conf WORDPRESS应用的各种漏洞规则
modsecurity_crs_46_slr_et_xss_attacks.conf 各种APP的XSS相关规则

第三部分：可选规则集

modsecurity_crs_10_ignore_static.conf 静态文件不过WAF检测的相关规则
modsecurity_crs_11_avs_traffic.conf AVS（授权的漏洞扫描器）的IP白名单规则
modsecurity_crs_13_xml_enabler.conf 请求体启用XML解析处理
modsecurity_crs_16_authentication_tracking.conf 记录登陆成功与失败的请求
modsecurity_crs_16_session_hijacking.conf 会话劫持检测
modsecurity_crs_16_username_tracking.conf 密码复杂度检测
modsecurity_crs_25_cc_known.conf CreditCard验证
modsecurity_crs_42_comment_spam.conf 垃圾评论检测
modsecurity_crs_43_csrf_protection.conf 与modsecurity_crs_16_session_hijacking.conf联合检测，使用内容注入动作append注入CSRF Token
modsecurity_crs_46_av_scanning.conf 使用外部脚本扫描病毒
modsecurity_crs_47_skip_outbound_checks.conf modsecurity_crs_10_ignore_static.conf的补充
modsecurity_crs_49_header_tagging.conf 将WAF规则命中情况配合Apache RequestHeader指令注入到请求头中，以供后续应用进一步处理
modsecurity_crs_55_application_defects.conf 安全头(X-XSS-Protection,X-FRAME-OPTIONS,X-Content-Type-Options)设置,安全Cookie设置（Domain，httponly,secure)，字符集设置等规则
modsecurity_crs_55_marketing.conf记录MSN/Google/Yahoo robot情况

第四部分：实验性规则集

modsecurity_crs_11_brute_force.conf 防御暴力破解相关规则
modsecurity_crs_11_dos_protection.conf 防DoS***相关规则
modsecurity_crs_11_proxy_abuse.conf 检测X-Forwarded-For是否是恶意代理IP，IP黑名单
modsecurity_crs_11_slow_dos_protection.conf Slow HTTP DoS***规则
modsecurity_crs_25_cc_track_pan.conf 检测响应体credit card信息
modsecurity_crs_40_http_parameter_pollution.conf 检测参数污染
modsecurity_crs_42_csp_enforcement.conf CSP安全策略设置
modsecurity_crs_48_bayes_analysis.conf 使用外部脚本采取贝叶斯分析方法分析HTTP请求，区分正常与恶意请求
modsecurity_crs_55_response_profiling.conf 使用外部脚本将响应体中的恶意内容替换为空
modsecurity_crs_56_pvi_checks.conf使用外部脚本检测 REQUEST_FILENAME是否在osvdb漏洞库中
modsecurity_crs_61_ip_forensics.conf 使用外部脚本收集IP的域名、GEO等信息
modsecurity_crs_40_appsensor_detection_point_2.0_setup.conf APPSENSOR检测设置文件
modsecurity_crs_40_appsensor_detection_point_3.0_end.conf APPSENSOR检测设置文件
modsecurity_crs_16_scanner_integration.conf 对扫描器设置IP白名单，并调用扫描器API来进行检测
modsecurity_crs_46_scanner_integration.conf
使用modsecurity_crs_40_appsensor_detection_point_2.0_setup.conf，modsecurity_crs_40_appsensor_detection_point_3.0_end.conf 来跟踪XSS漏洞参数与SQLI漏洞参数
modsecurity_crs_40_appsensor_detection_point_2.1_request_exception.conf 使用外部脚本检测请求方法，参数个数，参数名字，参数长度，参数字符等限制

modsecurity_crs_40_appsensor_detection_point_2.9_honeytrap.conf 使用隐藏参数设置蜜罐