Nginx 企业级优化(隐藏版本号、修改用户与组、配置网页缓存时间、日志切割、设置连接超时、更改进程数、配置网页压缩、配置防盗链以及 FMP 参数优化)
文章目录
- 前言
- 一、Nginx服务优化
-
- 1.隐藏版本号
- 2.修改用户与组
- 3.配置网页缓存时间
- 4.日志切割
- 5.设置连接超时
- 二、Nginx深入优化
-
- 1.更改进程数
- 2.配置网页压缩
- 3.配置防盗链
- 4.FMP参数优化
前言
- 在企业信息化应用环境中,服务器的安全性和响应速度需要根据实际情况进行响应参数配置,以达到最优的用户体验
- 默认的 Nginx 安装参数只能提供最基本的服务,还需要调和如网页缓存时间、连接超时、网页压缩等响应参数,才能发挥吹服务器的最大作用
一、Nginx服务优化
Nginx 前期的编译安装及配置可看我上篇博客,传送门:https://blog.csdn.net/weixin_51486343/article/details/112390348
1.隐藏版本号
在生产环境中,需要隐藏 Nginx 的版本号,以避免泄露 Nginx 的版本,使攻击者不能针对特定版本进行攻击
在隐藏前,可以使用 Fiddler 工具抓取数据包,查看 Nginx 版本
具体操作可以看我之前的博客,包括本文后续虚拟机win10中使用此软件抓包使用方法
传送门:定位——5.5 方法一
也可以在 CentSO 中使用命令查看
- 方法一:修改 Nginx 的主配置文件
vim /usr/local/nginx/conf/nginx.conf
http {
include mime. types;
default_type application/octet-stream;
server_tokens off;
#添加,关闭版本号
......
}
systemctl restart nginx
curl -I http://192.168.126.11
还有一种查看版本号的方法,回到 VMware ,打开网页进行查看
- 方法二:修改源码文件,重新编译安装
vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.0.0"
#修改版本号
#define NGINX_VER "IIS" NGINX_VERSION
#修改服务器类型
保存退出后,重新进行编译安装
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make -j 4 && make install
把之前用方法一关闭的版本号显示重新打开
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on;
......
systemctl restart nginx
curl -I http://192.168.126.11
2.修改用户与组
vim /usr/local/nginx/conf/nginx.conf
user nginx nginx;
#取消注释,修改用户为nginx,组为nginx
systemctl restart nginx
ps aux | grep nginx
#主进程由root创建,子进程由nginx创建
3.配置网页缓存时间
location ~ \.(gif|jpg|jepg|png|bmp|ico)$ {
root html;
expires 1d;
}
Cache-Control:"max-age=86400"表示缓存时间是86400秒,即缓存一天时间
一天的时间内浏览器访问这个页面都是用的缓存中的数据,从而不需要向服务器重新发出请求,减少了服务器的使用带宽
4.日志切割
- 随着 Nginx 运行时间的增加,产生的日志也会增加,为了方便掌握 Nginx 的运行状态,需要时刻关注 Nginx 日志文件
- 太大的日志文件对监控是一个大灾难,非常不便于分析排查,因此需要定期的进行日志文件的切割
- Nginx 没有类似 Apache 的 cronlog 日志分割处理功能,但可以通过 Nginx 的信号控制功能脚本来实现日志的自动切割,并将脚本加入到 Linux 的计划任务中,让脚本在每天的固定时间执行,便可执行日志切割功能
cd /opt
vim fg.sh
#!/bin/bash
day=$(date -d "-1 day" +%F)
#显示前一天的时间
logpath=/var/log/nginx
#定义日志文件目录
pid=`cat /usr/local/nginx/logs/nginx.pid`
#定义日志文件
if [ -d $logpath ];then
mv /usr/local/nginx/logs/access.log ${logpath}/access.log_$day
#移动并重命名日志文件
kill -USR1 $pid
#重新建立日志文件
find $logpath -mtime +30 -exec rm -rf {
} \;
#删除30天之前的日志文件
else
mkdir -p $logpath
#创建日志文件目录
mv /usr/local/nginx/logs/access.log ${logpath}/access.log_$day
kill -USR1 $pid
find $logpath -mtime +30 -exec rm -rf {
} \;
fi
chmod +x fg.sh
./fg.sh
ls /var/log/nginx
ls /usr/local/nginx/logs/access.log
crontab -e
0 1 * * * /opt/fg.sh
- 检查一下日志文件
5.设置连接超时
- 在企业网站中,为了避免同一个客户长时间占用连接,造成资源浪费,可以设置相应的超时参数,实现对连接访问时间的控制
- HTTP 有一个 KeepAlive 模式,它告诉 web 服务器在处理完一个请求后保持这个 TCP 连接的打开状态
- 若接收到来自客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接
- KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源,而占用过多就会影响性能
keepalive_timeout 65 180;
client_header_timeout 80;
client_body_timeout 80;
keepalive timeout:指定KeepAlive的超时时间(timeout )
指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接
Nginx的默认值是65秒,有些浏览器最多只保持60秒,所以可以设定为60秒,若将它设置为0,就禁止了keepalive 连接
第二个参数(可选的)指定了在响应头Keep-Alive: timeout=time中的time值
这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了
没有这个参数,Nginx 不会发送 Keep-Alive 响应头
client_header_timeout:
客户端向服务端发送一个完整的request header 的超时时间
如果客户端在指定时间内没有发送一个完整的 request header, Nginx 返回 HTTP 408 (Request Timed Out)。client body_timeout:
指定客户端与服务端建立连接后发送 request body 的超时时间
如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP
408 (Request Timed Out)
打开虚拟机w10,访问网址抓取数据报文,响应头中显示了超时时间是180s
因为请求头和请求体只有在特殊情况下才能显示效果,这里不再演示
二、Nginx深入优化
1.更改进程数
在高并发环境中,需要启动更多的 Nginx 进程以保证快速响应,用以处理用户的请求,避免造成阻塞
使用以下命令可以查看 Nginx 运行进程的个数
其中,master 是 Nginx 的主进程,开启了 1 个,work 是子进程,也只开启了 1 个
修改 Nginx 配置文件中的 worker_processer 参数,一般设为 CPU的个数或核数,在高并发的情况下可以设置为 CPU的个数或者核数的 2 倍,可以先查看 CPU 的核数以确定参数
修改完后重启服务,再次使用 ps aux 查看进程数的变化情况
默认情况下,Nginx 的多个进程可能更多的跑在一颗 CPU 上,可以分配不同的进程给不同的 CPU 处理,以充分利用硬件多核多 CPU,以达到 CPU 的性能最大化
拓展
worker_processes最多开启8个,8个以上性能就不会再提升了,而且稳定性会变的更低,因此8个进程够用了2核2进程:
worker_processes 2;
worker_cpu_affinity 01 10;4核4进程:
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000
2.配置网页压缩
- Nginx 的 ngx_http_gzip_module 压缩模块提供了对文件内容压缩的功能,允许 Nginx 服务器将输出内容发送到客户端之前进行压缩,以节约网站的带宽,提升用户的访问体验
- 默认 Nginx 已经安装该模块,只需在配置文件中加入相应的压缩功能参数即可对压缩性能进行优化
vim /usr/local/nginx/conf/nginx.conf
gzip on;
#取消注释,开启gzip压缩功能
gzip_min_length 1k;
#用于设置允许压缩的页面最小字数
gzip_buffers 4 16k;
#表示申请4个单位为16KB的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩效果
gzip_http_version 1.1;
#用于识别http协议版本,默认是1.1,目前大部分浏览器已支持gzip压缩,但处理很慢,也比较消耗CPU资源
gzip_comp_level 6;
#用来指定gzip压缩比,压缩比1最小,处理速度最快;压缩比为9最大,传输速度快,但处理速度最慢,使用默认即可
gzip_vary on;
#该选项可以让前端的缓存服务器缓存经过gzip压缩的页面
gzip_types text/plain application/x-javascript text/css image/jpg image/jpeg image/png image/gif application/xml text/javascript application/x-httpd-php application/javascript application/json;
#压缩类型,指对哪些网页文档启用压缩功能
在网页中插入图片
vim /usr/local/nginx/html/index.html
<p><em>Thank you for using nginx.</em></p>
<img src="xcf.jpg"/>
</body>
</html>
systemctl restart nginx.service
nginx
访问网址,抓取数据报文
建议清除网页浏览记录
3.配置防盗链
在企业网站中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失,也避免不必要的带宽浪费
- 配置盗链主机
新开启一台盗链主机进行配置,以“白嫖”目标网页的图片内容
#安装httpd服务
yum -y install httpd
systemctl start httpd
#配置临时dns映射
echo "192.168.126.11 www.xcf.com" >>/etc/hosts
echo "192.168.126.12 www.zxc.com" >>/etc/hosts
vim /var/www/html/index.html
<html><body><h1>hello world~ </h1>
<img src= "http://www.xcf.com/xcf.jpg"/>
</body></html>
systemctl restart httpd.service
盗链成功
配置一把win10来盗链
- 配置 Nginx 防盗链
在源主机的配置文件中加入以下代码
location ~* \.(gif|jpg|jepg)$ {
#这段正则表达式表示匹配不区分大小写,以.jpg或.gif或.jepg结尾的文件
valid_referers *.xcf.com xcf.com;
#设置信任的网站,可以正常使用图片
#后面的网址或域名:referer中包含相关字符串的网页
if ( $invalid_referer ) {
rewrite ^/ http://www.xcf.com/error.png;
#return 403;
#if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为1,则执行后面的操作,即进行重写或返回403页面
}
}
回到盗链主机,重新进行访问,记住一定先清除历史记录(缓存)!!
4.FMP参数优化
- Nginx 的 PHP 解析功能实现如果是交由 FPM 处理的,为了提高 PHP 的响应速度,可以对 FPM 模块进行参数的调整
首先,安装带 FPM 模块的 PHP 环境,保证 PHP 可以正常运行
FPM 进程有两种启动方式,由 pm 参数指定,分别是 static 和 dynamic,前者将产生固定数据的 fpm 进程,后者将以动态的方式产生 fpm 进程
static 方式可以使用 pm.max_children 指定启动的进程数量,dynamic 方式的参数则要根据服务器的内存与服务负载进行调整,参数如下表所示
| 选项 | 描述 |
|---|---|
| pm.max_children | 指定启动的进程的最大的数量 |
| pm.start_servers | 动态方式下初始的 ftpm 进程数量 |
| pm.min_spare_servers | 动态方式下最小的 fpm 空闲进程数 |
| pm.max_spare_servers | 动态方式下最大的 fpm 空闲进程数 |
下面假设有云服务器上,运行了个人论坛,内存为 1.5GB,fpm 进程数为 20,内存消耗近 1GB,处理比较慢,需要对参数进行优化处理:
vim /usr/local/php/etc/php-fpm.conf
pid = run/php-fpm.pid
vim /usr/local/php/etc/php-fpm.d/www.conf
–96行–
pm = dynamic
#以动态方式产生 fpm 进程
–107行–
pm.max_children=20
#启动的进程最大数量为20
–112行–
pm.start_servers = 5
#动态方式下初始的 ftpm 进程数为5
–117行–
pm.min_spare_servers = 2
#动态方式下最小的 fpm 空闲进程数为2
–122行–
pm.max_spare_servers = 8
#动态方式下最大的 fpm 空闲进程数为8
kill -USR2 `cat /usr/local/php/var/run/php-fpm.pid`
#重启php-fpm
netstat -anpt | grep 9000
FPM 启动时有 8 个进程,最小空闲 2 个进程,最大空闲 8 个进程 ,最多可以有 20 个进程