Nginx优化与防盗链
Nginx优化与防盗链
隐藏Nginx版本号,避免安全漏洞泄露
第一种方法:修改配置文件
1.进nginx.conf文件
[root@zzz ~]# cd /usr/local/nginx/conf/
[root@zzz conf]# vim nginx.conf
2.重启服务,验证
[root@zzz conf]# systemctl restart nginx.service
也能通过命令获取
第二种方法:修改源码法
make && make install
[root@zzz nginx-1.12.2]# cd /usr/local/nginx/conf/
[root@zzz conf]# vim nginx.conf
重启服务
systemctl restart nginx
修改Nginx用户与组
修改的方法
第一种:编译安装时指定用户与组
第二种:修改配置文件指定用户与组
配置Nginx网页缓存时间
当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
一般针对静态网页设置,对动态网页不设置缓存时间
重启服务
[root@zzz conf]# systemctl restart nginx.service
实现Nginx的日志切割
编写脚本进行日志切割的思路
- 设置时间变量
- 设置保存日志路径
- 将目前的日志文件进行重命名
- 重键新日志文件
- 删除时间过长的日志文件
- 设置cron任务,定期执行脚本自动进行日志分割
脚本内容如下
在脚本倒数第二行 PID_PATH加上$符号
配置Nginx实现连接超时
为避免同一客户端长时间占用连接,造成资源浪费,可设置相应的连接超时参数,实现控制连接访问时间
超时参数
Keepalive_timeout
设置连接保持超时时间
Client_header_timeout
指定等待客户段发送请求头的超时时间
Client_body_timeout
设置请求体读超时时间
[root@zzz nginx]# cd /usr/local/nginx/conf/
[root@zzz conf]# vim nginx.conf
systemctl restart nginx
更改Nginx运行进程数
默认情况,Nginx的多个进程可能跑在一个CPU上,可以分配不同的进程给不同的CPU处理,充分利用硬件多核多CPU
[root@zzz conf]# vim nginx.conf
[root@zzz conf]# ulimit 10240
[root@zzz conf]# systemctl restart nginx.service
默认情况,Nginx的多个进程可能跑在一个CPU上,可以分配不同的进程给不同的CPU处理,充分利用硬件多核多CPU
在一台4核物理服务器,进行配置,将进程进行分配
重启服务
[root@zzz conf]# systemctl restart nginx
配置Nginx实现网页压缩功能
-
Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
-
允许Nginx服务器将输出内容在发送客户端之前进行压缩,以
约网站带宽,提升用户的访问体验,默认已经安装
-
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化
压缩功能参数
gzip on: 开启gzip压缩输出
gzip_min_length 1k: 设置允许压缩的页面最小字节数
gzip_buffers 4 16k:申请4个单位为16k的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果
gzip_http_version 1.0: 设置识别http协议版本,默认是1.1,目前大部分浏览器已经支持gzip解压,但处理较慢,也比较消耗服务器CPU资源
gzip_comp_level 2: 指定gzip压缩比,1压缩比最小,处理速度最快;9压缩比最大,传输速度快,但处理速度最慢
gzip_types text/plain:压缩类型,对哪些网页文档启用压缩功能
gzip_vary on:让前端缓存服务器缓存经过gzip压缩的页面
[root@zzz conf]# vim nginx.conf
gzip on;
gzip_min_length 1k;
gzip_buffers 4 64k;
gzip_http_version 1.1;
gzip_comp_level 6;
gzip_vary on;
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;
[root@zzz conf]# systemctl restart nginx.service
[root@zzz conf]# cd ..
[root@zzz nginx]# cd html/
[root@zzz html]# vim index.html
打开网页验证
配置Nginx防盗链
[root@zzz html]# cd /usr/local/nginx/conf
[root@zzz conf]# vim nginx.conf
location ~* \.(jpg|gif|jpeg|swf)$ {
root html;
expires 1d;
valid_referers none blocked *.kgc.com kgc.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.kgc.com/error.png;
}
}
---------------------------------------------------------------
~* \.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg或.gif或.swf 结尾的文件;
valid_referers : 设置信任的网站,可以正常使用图片;
none: 允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer字段的) 如 http://www.kgc.com/13.jpg
我们使用http://www.kgc.com 访问显示的图片, 可以理解成 http://www.kgc.com/13.jpg这个请求是从http://www.kgc.com这个连接过来的
blocked:允许不是http://开头的,不带协议的请求访问资源;
*.kgc.com:只允许来自指定域名的请求访问资源,如 http://www.kgc.com
if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_ referer为true,则执行后面的操作,即进行重写或返回403页面。
[root@zzz conf]# systemctl restart nginx.service
准备一台盗链机
先安装nginx服务(这里不做演示,有需要看上一章博客)
[root@localhost html]# vim index.html
开浏览器验证
``