NGINX 优化 防盗链

引言：为了web站点安全，需要对Nginx服务进行优化

一.隐藏NGINX版本号

1.1查看版本号

方法一：
查看服务版本号，可以在服务器上直接查看

nginx -t
或
curl -i 192.168.48.10 #查看服务版本号 

方法二：
在浏览器中查看
打开浏览器，打开我们nginx服务器网址，按F12查看

隐藏版本信息
在网页上暴露nginx的版本号，不利于网站安全，为防止他人针对版本漏洞进行攻击，我们可以将版本号隐藏起来
**方法一：**修改配置文件
编译配置文件
vim /usr/local/nginx/conf/nginx.conf

http {
 18     include       mime.types;
 19     default_type  application/octet-stream;
 20     server_tokens off;   #关闭版本信息

 重启服务，再次查看版本号

 

 **方法二：**修改源码文件，重新编译安装

vim /opt/nginx-1.20.2/src/core/nginx.h
 define NGINX_VERSION      "1.20.2"     #修改版本号
 define NGINX_VER          "nginx/" NGINX_VERSION #修改服务器类型

 进行重新编译

./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module

 make
注意：仅make 不要make install

[root@xiayan objs]# pwd
/opt/nginx-1.20.2/objs
[root@xiayan objs]# mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old #备份源文件
[root@xiayan objs]# cp nginx /usr/local/nginx/sbin/nginx #将新配置的文件复制到原文件目录下
[root@xiayan objs]# systemctl restart nginx  #重启服务 

 vim /usr/local/nginx/conf/nginx.conf

 

 

Nginx调优设置

2.1更改用户组

将Nginx服务用户组改为nginx

 

systemctl restart nginx

2.2缓存时间
当nginx将网页数据返回给客户端后，可设置缓存时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度一般针对静态网页设置，对动态网页不设置缓存时间。

修改配置文件：vim /usr/local/nginx/conf/nginx.conf
添加如下内容

 location ~ \.(jpg|png|bmp|gif)$ {   #匹配以jpg、png...结尾的文件
            root   html;
            expires 1d;   #指定缓存时间为一天
        }

 ngixt -t #检测配置文件是否有误
systemctl restart nginx #重启服务 

日志切割
随着Nginx运行时间的增加，产生的日志也会逐渐增加，为了方便掌握Nginx的运行状态，需要时刻关注Nginx日志文件。太大的日志文件对监控是一个大灾难，不便于分析排查，需要定期的进行日志文件的切割。

#!/bin/bash
#定义时间日期为前一天
day=$(date -d "-1 day" "+%F")
#定义备份日志文件位置
logs_path="/var/log/nginx"
#定义nginx的pid号
pid_path=`cat /usr/local/nginx/logs/nginx.pid`
#检测日志目录是否存在，不存在则创建
[ -d $logs_path ] || mkdir -p $logs_path
#移动日志文件并改名加上日期
mv /usr/local/nginx/logs/access.log ${logs_path}/$day-access.log
#重新建立日志文件
kill -USR1 $pid_path
#删除30天之前的日志文件
find $logs_path -mtime +30 -exec rm -rf {} \;
创建计划任务

2.4连接超时设置
HTTP有一个KeepA1ive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它
请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。
KeepAlive在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。

为了避免同一个客户长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现控制连接访问时间。可以修改配置文件 nginx.conf，设置 keepalive_timeout超时时间。
vim /usr/local/nginx/conf/nginx.conf

 

指定KeepAlive的超时时间(timeout) 。指定每个TCP连接最多可以保持多长时间，服务器将会在这个时间后关闭连接。
Nginx的默认值是65秒，有些浏览器最多只保持60秒，所以可以设定为60秒。若将它设置为0，就禁止了keepalive连接。

第二个参数(可选的)指定了在响应头Keep- Alive: timeout=time中的time值。 这个头能够让一些浏览器主动关闭连接，这样服务器就不必去关闭连接了。没有这个参数，Nginx不会发送Keep- Alive响应头。

client header_ timeout
客户端向服务端发送一个完整的requestheader的超时时间。如果客户端在指定时间内没有发送一个完整的request header, Nginx 返回HTTP 408 (Request Timed Out)。

client_ body_ timeout
指定客户端与服务端建立连接后发送request body的超时时间。如果客户端在指定时间内没有发送任何内容，Nginx返回HTTP 408 (Request Timed Out )

2.5更改进程数
在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞
查看系统cpu核数

cat /proc/cpuinfo |grep -c "physical id"

修改nginx进程数
vim /usr/local/nginx/conf/nginx.conf

网页压缩
Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

1. #修改配置文件
  gzip on;                          #取消注释，开启gzip压缩功能
   gzip_min_length 1k;              #最小压缩文件大小
   gzip_buffers 4 16k;              #压缩缓冲区，大小为4个16k缓冲区
   gzip_http_version 1.1;           #压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
   gzip_comp_level 6;               #压缩比率
   #压缩级别1：压缩比最小，速度最快 9：压缩比最大，速度也快，但处理速度最慢，也比较消耗CPU资源，所以选择6中间
   gzip_vary on;                    #支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml

 

防盗链配置
在企业网站服务中，一般都要配置防盗链功能，以避免网站内容被非法盗用，造成经济损失，也避免了不必要的带宽浪费。
Nginx 的防盗链功能也非常强大，在默认情况下，只需要进行很简单的配置，即可实现防盗链处理。

3.1未开启防盗链时
使用另外一台服务器

1. #安装httpd
yum install -y httpd
2. #切换至/var/www/html
cd /var/www/html
vim index.html 

 

 打开浏览器，验证

2开启防盗链
编辑配置文件
注意：因为location匹配原则为匹配即停止，所以将上面的location注释了

 location ~* \.(jepg|png|gif)$ {    
        valid_referers none blocked *.xiayan.com xiayan.com;
        if ($invalid_referer) {
                rewrite ^/ http://www.xiayan.com/fd.jpg;  #如果$invalid——referer为真，则向其显示该地址信息
                #此处也可以写返回403状态码
                #return 403；
        }
        }
1
2
3
4
5
6
7
~* . (jepglgif|swf)$ :这段正则表达式表示匹配不区分大小写，以.jepg 或.gif 或.swf结尾的文件:
valid_ referers :设置信任的网站，可以正常访问;
none:允许没有http_refer的请求访问资源(根据Referer的定义，它的作用是指示一个请求是从哪里链接过来的，如果直接在浏览器的地址栏中输入一个资源的URL地址，那么这种请求是不会包含Referer字段的)，如http: //www.xiayan. com/dongman.png
我们使用http:/ /www.xiayan.com访问显示的图片，可以理解成http:/ /www. xiayan. com/dongman.png这个请求是从http://www. xiayan.com这个链接过来的。
blocked:允许不是http://开头的，不带协议的请求访问资源;
.xiayan.com:只允许来自指定域名的请求访问资源，如http://www.xiayan.com
if语句:如果链接的来源域名不在valid_ referers所列出的列表中，$invalid_ referer为true， 则执行后面的操作，即进行重写或返回403页面。

[root@xiayan html]# echo "192.168.48.10 www.xiayan.com" >>/etc/hosts
[root@xiayan html]# echo "192.168.48.11 www.xy.com" >>/etc/hosts
systemctl restart nginx

 测试：原域名访问

 测试：使用盗链打开网页

总结

在nginx优化时，主要有隐藏系统版本号，开启缓存功能，开启压缩功能，设置连接超时时间，更改用户组，日志切割，