Nginx优化与防盗链的用法
文章目录
-
- 1.隐藏版本号
- 2.修改用户与组
- 3.配置网页缓存时间
- 4.日志切割
- 5.设置连接超时
- 6.更改进程数
- 7.配置网页压缩
- 8.设置防盗链
-
- 1.防盗链
- 2.配置Nginx防盗链
- 3.FPM参数优化
1.隐藏版本号
在生成环境中,需要隐藏Nginx的版本号,以避免泄漏Nginx的版本,使攻击者不能针对特定版本进行攻击。在隐藏前,可以使用Fiddle工具抓取数据包,查看Nginx版本,也可以在CeniOS中使用命令curl -I http://20.0.0.13/查看。
[root@server ~]# curl -I http://20.0.0.13/
HTTP/1.1 200 OK
Server: nginx/1.12.2 //版本号
隐藏Nginx版本号有两种方式,第一种是修改Nginx源码文件,指定不显示版本号,第二种是修改Nginx的主配置文件。
(1)修改配置文件的方式如下:
将Nginx的配置文件中的server_tokens选项值设置为off,如没有该配置项,加上即可。
[root@server ~]# vi /usr/local/nginx/conf/nginx.conf
.........................
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; //关闭版本号
.........................
[root@server ~]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
使用PHP处理动态网页
1.若PHP配置文件中配置了fastcgi_param SERVER_SOFTWARE选项
2.则使用php-fpm配置文件,将fastcgi_param SERVER_SOFTWARE对应的值修改为fastcgi_param SERVER_SOFTWARE nginx
(2)Nginx源码文件/opt/nginx-1.12.2/src/core/nginx.h 包含了版本信息,可以随意设置,然后重新编译安装,即隐藏了版本信息。
vi /opt/nginx-1.12.2/src/core/nginx.h
#define nginx_version 1012002
#define NGINX_VERSION "1.1.1"
#define NGINX_VER "IIS/" NGINX_VERSION
cd /opt/nginx-1.12.2/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make -j3 && make install
vi /usr/local/nginx/conf/nginx.conf
.........................
http {
include mime.types;
default_type application/octet-stream;
server_tokens on; //打开版本号
.........................
systemctl restart nginx
curl -I http://20.0.0.13
2.修改用户与组
Nginx运行时进程需要有用户与组的支持,用以实现对网站文件读取时进行访问控制,主进程由root创建,子进程由指定的用户与组创建。Nginx默认使用nobody用户账户与组账户,一般也要进行修改。修改Nginx用户与组由两种方法,一种是在编译安装时指定用户与组,另一种是修改配置文件指定用户与组。
(1)编译Nginx时指定用户与组,就是配置Nginx时,在./configure后面指定用户与组的参数。
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install
(2)修改Nginx配置文件nginx.conf指定用户与组。
vi /usr/local/nginx/conf/nginx.conf
user nginx nginx;
重启Nginx查看进程运行情况,主进程由root账户创建,子进程则由nginx创建。
[root@server ~]# ps aux | grep nginx
root 98421 0.0 0.0 20500 632 ? Ss 17:49 0:00 nginx: master process /usr/local/nginx/sbin/nginx //进程由root创建
nginx 98423 0.0 0.0 22948 1408 ? S 17:49 0:00 nginx: worker process //进程由nginx创建
3.配置网页缓存时间
当Nginx将网页数据返回给客户,可设置缓存的时间,以方便日后进行相同内容的请求时直接返回,避免重复请求,加快访问速度,一般只针对静态资源进行设置,对动态网页不用设置缓存时间。
(1)以图片作为缓存对象,服务logo.jpg图片到Nginx的工作目录,访问http://20.0.0.13/logo.jpg,用fiddle工具进行抓包,如图:
(2)修改Nginx的配置文件,在新location段加入expires参数,指定缓存的时间,1d表示一天。
[root@server ~]# vi /usr/local/nginx/conf/nginx.conf
....................................................
location / {
root html;
index index.html index.htm;
}
location ~\.(gif|jpg|jepg|png|bmp|ico)$ {
root html;
expires 1d;
}
.........................................................
(3)重启Nginx服务后,访问网站抓包,如图:
4.日志切割
随着Nginx运行时间的增加,产生的日志也会增加,为了方便掌握Nginx的运行状态,需要时刻关注Nginx日志文件。太大的日志文件对监控是一个大灾难,非常不便于分析排查,因此需要定期地进行日志文件的切割。
Nginx没有类似Apache的cronlog日志分割处理功能,但可以通过Nginx的信号控制功能脚本来实现日志的自动切割,并将脚本加入到Linux的计划任务中,让脚本在每天的固定时间执行,便可实现日志切割功能。
编写脚本进行日志切割的思路
设置时间变量
设置保存日志路径
将目前的日志文件进行重命名
重建新日志文件
删除时间过长的日志文件
设置cron任务,定期执行脚本自动进行日志分割
(1)首先编写脚本fenge.sh,把Nginx的日志文件/usr/local/nginx/logs/access.log移动到目录/var/log/nginx下面,以当前时间作为日志文件的名称;然后用kill -USR1创建新的日志文件/usr/local/nginx/logs/access.log,最后删除30天之前的日志文件。
vi fenge.sh
#/bin/bash
# Filename:fenge.sh
d=$(date -d "-1 day" "+%Y%m%d")
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path
mv /usr/local/nginx/logs/access.log ${logs_path}/test.com-access.log-$d
kill -USR1 $(cat $pid_path)
find $logs_path -mtime +30 | xargs rm -rf
(2)执行fenge.sh,测试日志文件是否被切割
[root@server ~]# ls /var/log/nginx
test.com-access.log-20201017
[root@server ~]# cat /usr/local/nginx/logs/access.log
(3)设置crontab任务,定期执行脚本自动进行日志切割。
[root@server ~]# crontab -e
30 1 * * * /root/fenge.sh
即每天的凌晨1:30分执行/root/fenge.sh脚本,进行日志分割。
5.设置连接超时
在企业网站中,为了避免同一个客户长时间占用连接,造成资源浪费,可设置相应的连接超时参数,实现对连接访问时间的控制。可以修改配置文件nginx.conf,设置keepalive_timeout超时时间。
[root@server ~]# vi /usr/local/nginx/conf/nginx.conf
http {
...................................
#keepalive_timeout 0;
keepalive_timeout 65 180;
......................................
keepalive_timeout第一个参数指定了与客户端的keep-alive连接超时时间,服务器将会在这个时间后关闭连接。可选的第二个参数指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。若没有这个参数,Nginx将不会发送Keep-Alive响应头。
一般只设置keepalive_timeout参数即可。
还有client_header_timeout参数,指定等待客户端发送请求头的超时时间,client_body_timeout则指定请求体读超时时间。
[root@server ~]# vi /usr/local/nginx/conf/nginx.conf
http {
...................................
keepalive_timeout 65 180;
client_header_timeout 80;
client_body_timeout;
.........................................
6.更改进程数
在高并发环境中,需要更多的Nginx进程以保证快速响应,用以处理用户的请求,避免造成阻塞。使用ps aux命令可以查看Nginx运行进程的个数。
[root@server ~]# ps aux | grep nginx
root 101041 0.0 0.0 20500 728 ? Ss 18:42 0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx 101042 0.0 0.0 22948 1648 ? S 18:42 0:00 nginx: worker process
其中master process是Nginx的主进程,开启了1个,worker process是子进程,也是开启了一个。
修改Nginx的配置文件中的worker_processes参数,一般设为CPU的个数或者核数,在高并发的情况下可设置为CPU的个数或者核数的2倍,可以先查看CPU的核数以确定参数。
[root@server ~]# cat /proc/cpuinfo | grep -c "physical"
4
参数设置为4,和CPU的核数相同。运行进程数设置多一些,响应客户端访问请求时,Nginx就不会临时启动新的进程提供服务,减少了系统的开销,提升了服务速度。
[root@server ~]# vi /usr/local/nginx/conf/nginx.conf
worker_processes 4;
修改完后,重启服务,使用ps aux查看运行进程数的变化情况。
systemctl restart nginx
[root@server ~]# ps aux | grep nginx
root 101041 0.0 0.0 20500 728 ? Ss 19:01 0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx 101042 0.0 0.0 22948 1648 ? S 19:01 0:00 nginx: worker process
nginx 101044 0.0 0.0 22948 1408 ? S 19:01 0:00 nginx: worker process
nginx 101045 0.0 0.0 22948 1412 ? S 19:01 0:00 nginx: worker process
nginx 101046 0.0 0.0 22948 1412 ? S 19:01 0:00 nginx: worker process
开启了1个主进程和4个子进程,可见参数设置起来作用。
默认情况下,Nginx的多个进程可能更多地跑在一颗CPU上,可以分配不同的进程给不同的CPU处理,以充分利用硬件多核多CPU。在一台4核CPU服务器上,设置每个进程分别由不同的CPU核心处理,以达到CPU的性能最大化。
vi nginx.conf
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000;
7.配置网页压缩
Nginx的ngx_http_gzip_module压缩模块提供了对文件内容压缩的功能,允许Nginx服务器将输出内容发送到客户端之前进行压缩,以节约网站的宽带,提升用户的访问体验。默认Nginx已经安装该模块,只需要在配置文件中加入相应的压缩功能参数对压缩性能进行优化即可。
gzip on:开启gzip压缩输出
gzip_min_length 1k:用于设置允许压缩的页面最小字节数
gzip_buffers 4 16k:表示申请4个单位为16KB的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果。
gzip_http_version 1.1:用来设置识别http协议版本,默认是1.1,目前大部分浏览器已经支持gzip解压,但处理很慢,也比较消耗服务器CPU资源。
gzip_comp_level 2:用来指定gzip压缩比,压缩比1最小,处理速度最快;压缩比9最大,传输速度快,但处理速度最慢,使用默认即可。
gzip_types text/plain:压缩类型,是指对哪些网页文档启用压缩功能
gzip_vary on:该选项可以让前端的缓存服务器缓存经过gzip压缩的页面
修改Nginx的配置文件,加入压缩功能参数
vi nginx.conf
gzip on;
gzip_buffers 4 64k;
gzip_http_version1.1;
gzip_comp_level 2;
gzip_min_length 1k;
gzip_vary on;
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss;
在Ngizx工作目录建立一个超过1KB大小的html文件,然后访问网址抓取数据。
8.设置防盗链
在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失,也避免不必要的带宽浪费。Nginx的防盗链功能非常强大,在默认情况下,只需要进行很简单的配置,即可实现防盗链处理。
1.防盗链
需要准备两台主机模拟盗链
| IP地址 | 域名 | 用途 |
|---|---|---|
| 20.0.0.13 | www.bt.com | 源主机 |
| 20.0.0.10 | www.test.com | 盗链主机 |
(1)修改windows的C:\Windows\System32\drivers\etc\hosts文件,设置域名和IP
20.0.0.13 www.bt.com
20.0.0.10 www.test.com
(2)修改两台CentOS的hosts文件,设置域名和IP映射关系。
vi /etc/hosts
20.0.0.13 www.bt.com
20.0.0.10 www.test.com
(3)把图片logo.jpg放到源主机(bt.com)的工作目录下
[root@server ~]# ls /usr/local/nginx/html/
50x.html bbs index.html index.php logo.jpg
(4)在盗链主机(test.com)的工作目录编写盗链页面index.html,盗取源主机(bt.com)的图片
vi /usr/local/nginx/html/index.html
(5)访问盗链的网页http;//www.test.com/index.html,查看是否盗链成功
在图片上点击右键选择属性,可以看到图片的网址是:http;//www.bt.com/logo.jpg,也就是在www.test.com中成功盗取了www.bt.com的图片。
2.配置Nginx防盗链
Nginx的防盗链原理是加入location项,用正则表达式过渡图片类型文件,对于信任的网址可以正常使用,对于不信任的网址则返回相应的错误图片,在源主机(bt.com)的配置文件中加入以下代码:
vi /usr/local/nginx/conf/nginx.conf
location ~*\.(jpg|gif|swf)$ {
valid_referers none blocked *.test.com test.com;
if ($invalid_referer) {
rewrite ^/http://www.bt.com/error.png;
}
}
下面分析一下这段代码:
~*\.(jpg|gif|swf)$:这段正则表达式表示匹配不区分大小写,以.jpg或.gif或.swf结尾的文件。
valid_referers:设置信任的网站,可以正常使用图片。
none:浏览器中referer为空的情况,这就是直接在浏览器访问图片。
blocked:浏览器中referer不可空的情况,但是值被代理或防火墙删除了,这些值不以http://或https://开头。
后面的网站或者域名:referer中包含相关字符串的网址。
if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为1,则执行后面的操作,即进行重写或返回403页面。
把图片error.png放到源主机(bt.com)的工作目录下。
ls /usr/local/nginx/html
50x.html index.html logo.jpg error.png
这是重启服务器,重新访问http://www.test.com/index.html,显示的是被重写的图片。
3.FPM参数优化
Nginx的PHP解析功能实现如果是交往由FPM处理的,为了提高PHP的处理速度,可对FPM模块进行参数的调整。
- 首先安装FPM模块的PHP环境,保证PHP可以正常运行。
- FPM进程有两种启动方式,由pm参数指定,分别是status和dynamic,前者将产生固定数据的fpm进程,后者将以动态的方式产生fpm进程。
static方式可以使用pm.max_children指定启动的进程数量。dynamic方式的参数则要根据服务器的内存与服务负载进行调整
dynamic方式的参数:
| pm.max_children | 指定启动的进程的最大的数量 |
|---|---|
| pm.start.servers | 动态方式下初始的ftpm进程数量 |
| pm.min_spare_servers | 动态方式下最小的fpm空闲进程数 |
| pm_max_spare_servers | 动态方式下最大的fpm空闲进程数 |
下面假设有服务器上,运行了个人论坛,内存为1.5GB,fpm进行数为20,内存消耗近1GB,处理比较慢,需对参数进行优化处理:
vi /usr/local/php/etc/php-fpm.conf
pm=dynamic
pm.max_children=20
pm.start_servers=5
pm.min_spare_servers=2
pm.max_spare_servers=8
FPM启动时有5个进程,最小空闲2个进程,最大空闲8个进程,最多可以有20个进程存在。