Nginx优化与防盗链
文章目录
- 配置Nginx隐藏版本号
- 修改配置文件法
- 修改源码法
- 修改nginx的用户与组
- 修改配置文件法指定
- 配置Nginx网页缓存时间
- nginx网页缓存时间实验
- 实现Nginx的日志分割
- 编写脚本进行日志切割的思路
- 日志分割实验
- 配置Nginx实现连接超时
- 更改Nginx运行进程数
- 更改Nginx运行进程数实验
- Nginx实现网页压缩功能
- 网页压缩实验
- 防盗链优化
- 防盗链实验
- fpm参数优化
配置Nginx隐藏版本号
隐藏Nginx版本号,避免安全漏洞泄露
Nginx隐藏版本号方法
- 修改配置文件法可以直接隐藏版本号
- 修改源码法可以做版本号的篡改
修改配置文件法
- 修改Nginx配置文件中server_tokens选项设置为off
- 重启服务,访问网站使用crul-l命令检测
关闭版本号,修改nginx的配置文件
[root@promote conf]# vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; ##添加关闭版本号
[root@promote conf]# service nginx restart ##重启服务修改源码法
- Nginx源码文件/usr/src/nginx-1.12.0/src/core/nginx.h包含版本信息,可以随意设置
- 重写编译安装,隐藏版本信息
- 重启服务,访问网站使用curl -l命令检测
●修改nginx.h文件
[root@promote /]# vim /opt/nginx-1.12.2/src/core/nginx.h
步骤不变,照常编译安装nginx,然后用命令去查看,发现版本号发生改变
修改nginx的用户与组
●Nginx运行时进程需要有用户与组的支持,以实现对网站文件读取时进行访问控制
●Nginx默认使用 nobody用户账号与组账号,一般也要进行修改
●修改的方法
- 编译安装时指定用户与组
- 修改配置文件时指定用户与组
修改配置文件法指定
●新建用户账号,如nginx
●修改主配置文件user选项,指定用户账号与组账号
●重启nginx服务,使配置生效
●使用ps aux命令查看nginx的进程信息,验证运行用户账号改变结果
直接修改nginx的配置文件,修改第一行的内容,wq保存
启动nginx的服务,用ps aux | grep nginx的查看进程状况
[root@promote conf]# service nginx start
配置Nginx网页缓存时间
●当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
●一般针对静态网页设置,对动态网页不设置缓存时间
●设置方法:
修改配置文件,在http段,或者server段,或者location段加入对特定内容的过期参数
nginx网页缓存时间实验
1.修改nginx的配置文件,设置缓存时间最大为1天
[root@promote conf]# vim nginx.conf ##修改配置文件
location ~\.(gif|jpg|jpeg|png|ico)$ {
root html;
expires 1d;
}
2.将图片文件放到html目录下
[root@promote conf]# cd …/html/
3.编辑index.html文件
4.编辑完成后重启服务,回到win10系统中输入IP地址用抓包软件查看头部信息
实现Nginx的日志分割
●随着Nginx运行时间增加,日志也会增加。为了方便掌握Nginx运行状态,需要时刻关注Nginx日志文件
●太大的日志文件对监控是一个大灾难
- 定期进行日志文件的切割
●Nginx自身不具备日志分割处理的功能,但可以通过Nginx信号控制功能的脚本实现日志的自动切割
●通过Linux的计划任务周期性地进行日志分割
编写脚本进行日志切割的思路
- 设置时间变量
- 设置保存日志路径
- 将目前的日志文件进行重命名
- 重建新日志文件
- 删除时间过长的日志文件
- 设置cron任务,定期执行脚本自动进行日志分割
date -d ##设置时间格式 -1 设置是前一天的日志信息
日志分割实验
1.opt目录下创建一个分割日志脚本
[root@promote html]# cd /opt/
[root@promote opt]# vim fenge.sh
#!/bin/bash
#Filename:fenge.sh
##设置日期名称
d=$(date -d "-1 day" "+%Y%m%d")
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
##自动创建日志目录
[ -d $logs_path ] || mkdir -p $logs_path
##分割日志
mv /usr/local/nginx/logs/access.log ${logs_path}/test.com-access.log-$d
##生成新日志
kill -HUP $(cat $pid_path)
##删除30天前的日志
find $logs_path -mtime +30 | xargs rm -rf
[root@promote opt]# chmod +x fenge.sh ##添加执行权限2.到win中多刷新几次网页,再回来查看日志是否生成
配置Nginx实现连接超时
●为避免同一客户端长时间占用连接,造成资源浪费,可设置相应的连接超时参数,实现控制连接访问时间
●超时参数
Keepalive_timeout
- 设置连接保持超时时间
Client_header_timeout
- 指定等待客户端发送请求头的超时时间
Client_body_timeout
- 设置请求体读超时时间
修改配置文件,设定超时时间
更改Nginx运行进程数
●在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处用户的请求,避免造成阻塞
●更改进程数的配置方法
●修改配置文件worker_processes参数
- 一般设为CPU的个数或者核数
- 在高并发情况下设置CPU个数或者核数的2倍
●增加进程数,可减少了系统的开销,提升了服务速度
●使用ps aux查看运行进程数的变化情况
更改Nginx运行进程数实验
1.查看核心数支持多少线程
[root@promote opt]# cat /proc/cpuinfo | grep -c "physical"2.修改nginx的配置文件,将进程数量改为4个
2.重启服务,用ps aux命令查看
Nginx实现网页压缩功能
●Nginx的ngx_htto_gzip_ module压缩模块提供对文件内容压缩的功能
●允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装
●可在配置文件中加入相应的压缩功能参数对压缩性能进行优化
网页压缩实验
1.修改配置文件,开启网页压缩功能
gzip on; ##开启压缩功能
gzip_min_length 1k; ##压缩预知
gzip_buffers 4 16k; ##buffer大小为4个16k缓冲区大小
gzip_http_version 1.1; ##压缩版本
gzip_comp_level 6; ##压缩比率,最小为1,处理速度快,传输速度 慢,9最大压缩比,处理速度慢,传输速度块
gzip_types text/plain application/x-javascript text/css image/jpg image/jpeg
image/png image/gif application/xml text/javascript application/x-httpd-php app
lication/javascript application/json; ##支持的类型
gzip_disable "MSIE [1-6]\."; ##配置禁用gzip条件,支持正则,表示ie6以下不启用
gzipgzip_vary on; ##选择支持vary header 可以让前端的缓存服务器缓存经过gzip压缩页面 2.回到windows清除缓存页面,再次访问并用抓包软件查看,显示支持gzip
防盗链优化
防盗链概述
- 在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失
- Nginx防盗链功能也非常强大。默认情况下,只需要进行简单的配置,即可实现防盗链处理
防盗链实验
1.做服务器的虚拟机安装DNS服务
[root@localhost ~]# yum -y install bind ##安装bind工具包
[root@localhost ~]# vim /etc/named.conf ##修改主配置文件内容
[root@localhost ~]# vim /etc/named.rfc1912.zones ##修改区域配置文件
[root@localhost named]# cd /var/named/ ##修改区域数据配置文件
启动DNS服务
2.这时打开另外一台虚拟机做盗链主机
[root@localhost ~]# yum -y install httpd ##安装apache服务
[root@localhost ~]# vim /etc/httpd/conf/httpd.conf ##修改配置文件
[root@localhost ~]# cd /var/www/html/ ##修改首页内容
[root@localhost html]# echo "nameserver 192.168.148.135" > /etc/resolv.conf ##将DNS地址指向服务器地址3.在win系统中输入地址查看
4.回到服务器虚拟机,配置防盗链
如果开头为任意字符,那就执行本地访问,如果不是本地访问,就执行重写功能导入error图片
[root@localhost html]# vim /usr/local/nginx/conf/nginx.conf
写入脚本
location ~*\.(jpg|gif|swf)$ {
valid_referers none blocked *.test.com test.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.test.com/error.png;
}
}
[root@localhost html]# service nginx restart ##重启服务5.回到win10再次访问盗链网站图片发生变化
配置说明:
- valid_referers:设置信任的网站,即能引用相应图片的网站
- none:浏览器中 Referer为空的情况,就是直接在浏览器访问图片
- blocked:referer不为空的情况,但是值被代理或防火墙删除了,这些值不以http://或者https://开头
- 后面的网址或者域名:referer中包含相关字符串的网址
- if句:如果链接的来源域名不在 valid_referers所列出的列表中, $invalid_referer为1,则执行后面的操作,即进行重写或返回403页面
fpm参数优化
vim php-fpm.conf
pid = run/php-fpm.pid
pm = dynamicpm.max_children=20 ##static模式下空闲进程数上限,大于下面的值
pm.start_servers = 5 ##动态方式下默认开启的进程数,在最小和最大之间
pm.min_spare_servers = 2 ##动态方式下最少空闲进程数pm.max_spare_servers = 8 ##动态方式下最大空闲进程数