一、ngx_http_access_module
文件操作优化的配置
1、 allow address | CIDR | unix: | all;
2、 deny address | CIDR | unix: | all;
二、ngx_http_auth_basic_module
该模块采用基于HTTP基本身份验证的用户名和密码登录方式,来保护你的虚拟主机或目录
实现基于用户的访问控制,使用basic机制进行用户认证
1、 auth_basic string | off;
2、 auth_basic_user_file file;
三、ngx_http_stub_status_module
用于输出nginx的基本状态信息
1、 stub_status;
四、ngx_http_log_module
指定日志格式记录请求
1、 log_format name string ...;
2、 access_log path
3、 open_log_file_cache max=N [inactive=time]
五、ngx_http_gzip_module
用gzip方法压缩响应数据,节约带宽
1、 gzip on | off;
2、 gzip_comp_level level;
3、 gzip_disable regex ...;
4、 gzip_min_length length;
5、 gzip_http_version 1.0 | 1.1;
6、 gzip_buffers number size;
7、 gzip_types mime-type ...;
8、 gzip_vary on | off;
9、 gzip_proxied off
六、ngx_http_ssl_module
1、 ssl on | off;
2、 ssl_certificate file;
3、 ssl_certificate_key file;
4、 ssl_protocols [SSLv2]
5、 ssl_session_cache off | none
6、 ssl_session_timeout time;
一、ngx_http_access_module
实现基于ip的访问控制功能
1、 allow address | CIDR | unix: | all;
2、 deny address | CIDR | unix: | all;
http, server, location, limit_except
自上而下检查,一旦匹配,将生效,条件严格的置前 范围小的往前放
示例:
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
}
二、ngx_http_auth_basic_module
该模块采用基于HTTP基本身份验证的用户名和密码登录方式,来保护你的虚拟主机或目录
实现基于用户的访问控制,使用basic机制进行用户认证
1、 auth_basic string | off;
2、 auth_basic_user_file file;
location /admin/ {
auth_basic "Admin Area"; #用于指定弹出的用户名和密码登录框中提示的名称
auth_basic_user_file /etc/nginx/.ngxpasswd; #用于设置htpasswd密码文件,htpasswd文件的内容可以用apache提供的htpasswd工具来产生
}
用户口令:
1、明文文本:格式name:password:comment
2、加密文本:由htpasswd命令实现
httpd-tools所提供为了安全可以文件设为隐藏 ".htpasswd"
yum install httpd-tools
设置加密算法 第一次加c
三、ngx_http_stub_status_module
用于输出nginx的基本状态信息
输出信息示例:
Active connections: 291
server accepts handled requests
16630948 16630948 31070465
对应上面accepts,handled,requests三个值
Reading: 6 Writing: 179 Waiting: 106
Active connections:当前状态,活动状态的连接数
accepts:统计总值,已经接受的客户端请求的总数
handled:统计总值,已经处理完成的客户端请求的总数
requests:统计总值,客户端发来的总的请求数
Reading:当前状态,正在读取客户端请求报文首部的连接的连接数
Writing:当前状态,正在向客户端发送响应报文过程中的连接数
Waiting:当前状态,正在等待客户端发出请求的空闲连接数
1、 stub_status;
示例:
location /status { i
stub_status; IP下目录
allow 172.16.0.0/16; 仅允许当前号段访问
deny all;
}
给状态信息加上访问权限 allow,deny
ab www.a.com 直接访问IP下的status目录
四、ngx_http_log_module
指定日志格式记录请求
log_format access '$remote_addr - $remote_user [$time_local] "$request" "$request_time" $status $body_bytes_sent
"$http_referer" "$http_user_agent" $http_x_forwarded_for';
注释:
$remote_addr:与 $http_x_forwarded_for 用以记录客户端的ip地址;
$remote_user:用来记录客户端用户名称;
$time_local:用来记录访问时间与时区;
$request:用来记录请求的http的方式与url;
$request_time:用来记录请求时间;
$status:用来记录请求状态;成功是200,
$body_bytes_sent:记录发送给客户端文件主体内容大小;
$http_referer:用来记录从那个页面链接访问过来的;
$http_user_agent:记录客户端浏览器的相关信息
通常web服务器放在反向代理的后面,这样就不能获取到客户的IP地址了,通过$remote_add拿到的IP地址是反向代理服务器的iP地址。反向代理服务器在转发请求的http头信息中,可以增加x_forwarded_for信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。
1、 log_format name string ...;
string可以使用nginx核心模块及其它模块内嵌的变量
2、 access_log path [format [buffer=size] [gzip[=level]][flush=time] [if=condition]];
access_log off; 用来指定日志文件的存放路径、格式和缓存大小。
通俗的理解就是先用log_format来定义自己想用的日志格式,然后在用access_log定义日志时再把定义的log_format名称 跟在后面;
访问日志文件路径,格式及相关的缓冲的配置
buffer=size
flush=time
示例 格式定义
log_format compression '$remote_addr-$remote_user [$time_local] '
'"$request" $status $bytes_sent '
'"$http_referer" "$http_user_agent" "$gzip_ratio"';
access_log /spool/logs/nginx-access.log compression buffer=32k; 主配置文件里http
3、 open_log_file_cache max=N [inactive=time]
[min_uses=N] [valid=time];
open_log_file_cache off;
缓存各日志文件相关的元数据信息
max:缓存的最大文件描述符数量
min_uses:在inactive指定的时长内访问大于等于此值方
可被当作活动项
inactive:非活动时长
valid:验正缓存中各缓存项是否为活动项的时间间隔
五、ngx_http_gzip_module
用gzip方法压缩响应数据,节约带宽
1、 gzip on | off;
启用或禁用gzip压缩
2、 gzip_comp_level level;
压缩比由低到高: 1 到 9 默认: 1
3、 gzip_disable regex ...;
匹配到客户端浏览器不执行压缩
4、 gzip_min_length length;
启用压缩功能的响应报文大小阈值 大于20字节
ngx_http_gzip_module
5、 gzip_http_version 1.0 | 1.1;
设定启用压缩功能时,协议的最小版本默认: 1.1
6、 gzip_buffers number size;
支持实现压缩功能时缓冲区数量及每个缓存区的大小
默认: 32 4k 或 16 8k
7、 gzip_types mime-type ...;
指明仅对哪些类型的资源执行压缩操作;即压缩过滤器
默认包含有text/html,不用显示指定,否则出错
8、 gzip_vary on | off;
如果启用压缩,是否在响应报文首部插入“Vary: AcceptEncoding”
9、 gzip_proxied off | expired | no-cache | no-store |
private | no_last_modified | no_etag | auth | any ...;
nginx对于代理服务器请求的响应报文,在何种条件下启
用压缩功能
off:对被代理的请求不启用压缩
expired,no-cache, no-store, private:对代理服务器
请求的响应报文首部Cache-Control值任何一个,启用压缩功能
示例:
gzip on;
gzip_comp_level 6;
gzip_min_length 64;
gzip_proxied any;
gzip_types text/xml text/css application/javascript;
在生产中启用压缩功能
六、ngx_http_ssl_module
1、 ssl on | off;
为指定虚拟机启用HTTPS protocol, 建议用listen指令代替
2、 ssl_certificate file;
当前虚拟主机使用PEM格式的证书文件
3、 ssl_certificate_key file;
当前虚拟主机上与其证书匹配的私钥文件
4、 ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1]
[TLSv1.2];
支持ssl协议版本,默认为后三个
5、 ssl_session_cache off | none | [builtin[:size]]
[shared:name:size];
off 禁用缓存,none 可以使用,但不真正的存储缓存
builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有
[shared:name:size]:在各worker之间使用一个共享的缓存
6、 ssl_session_timeout time;
客户端连接可以复用ssl session cache中缓存的ssl参数的有效时长,默认5m
示例:
server {
listen 443 ssl; 强制ssl监听443,不强制系统会认为是http在监听
server_name www.magedu.com;
root /vhosts/ssl/htdocs;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt; 证书文件路径
ssl_certificate_key /etc/nginx/ssl/nginx.key; key路径
ssl_session_cache shared:sslcache:20m;
ssl_session_timeout 10m;
}
证书文件自签名一个
Enter pass phrase: #输入密码,此密码用途证书签名
Verifying - Enter pass phrase: #确认密码
Common Name (eg, YOUR name) []:www.a.com ← 服务器主机名,若填写不正确,浏览器会报告证书无效,但并不影响使用
证书被加密
证书解密
两个文件拷贝到/etc/nginx/ssl/
打开443端口
-k/--insecure 允许不使用证书到SSL站点
openssl s_client -connect www.a.com:443
windows机器加快域名解析 解析
C:\windows\system32\drivers\etc\hosts文件并用记事本打开。
C:\windows\system32\drivers\etc\hosts文件并用记事本打开。添加www.a.com www.b.com
不信任证书导致的,继续前往
导出到桌面
安装证书
重新访问网页 ok
同一端口同一个主机上创建多个虚拟主机实现ssl加密
Server Name Indication(SNI)
SNI (Server Name Indication)是用来改善服务器与客户端 SSL (Secure Socket Layer)和 TLS (Transport Layer Security) 的一个扩展。主要解决一台服务器只能使用一个证书(一个域名)的缺点,随着服务器对虚拟主机的支持,一个服务器上可以为多个域名提供服务,因此SNI必须得到支持才能满足需求。
cd /etc/pki/tls/certs
mkdir nginx2.crt
Common Name (eg, YOUR name) []:www.b.com
mkdir nginx3.crt
Common Name (eg, YOUR name) []:www.c.com
解开私钥
创建 /app/website3/index.html 目录
|
成功完成一个主机建立多个https服务