一、安全优化
1. 隐藏nginx的版本号,使攻击者不能获取nginx的服务版本号,提高安全性
2. 隐藏版本号操作
a. 修改配置文件的方式隐藏版本号
netstat -anpt | grep nginx
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 96120/nginx
curl -I http://192.168.33.111 正常情况下会显示nginx的版本号
修改nginx的主配置文件 vim /usr/local/nginx/conf/nginx.conf
在http { 区域内加入一行:server_tokens off;
/usr/local/nginx/sbin/nginx -t 或者 nginx -t 检查一下语法
重启以下nginx服务,service nginx restart
再次执行 curl -I http://192.168.33.111 结果如下图所示,已经不显示版本号了
b. 修改nginx源码文件实现隐藏版本号
修改源代码文件的版本信息,vim/usr/src/nginx-1.6.0/src/core/nginx.h
因为修改了源代码文件,所以重新编译安装一下nginx源代码包:
安装完毕后重启一下nginx服务,service nginx restart
再次测试一下,curl -I http://192.168.33.111
这时就会显示你修改的版本号,包括版本名
3. 修改用户和组
a. 在nginx的主配置文件里修改,vim /usr/local/nginx/conf/nginx.conf
b. user nobody 改为 user nginx nginx 或者 user nginx group nginx
二、性能优化
1. 配置网页缓存时间
a. 配置网页缓存时间可以加快客户端访问网页的速度
b. 修改nginx的主配置文件,加入一段新的location字段
c. location ~ \.(gif|jpg|jepg|png|bmp|ico|html)$ {
root html;
expires 1d;
}
d. 重启nginx服务,开启宿主机抓包软件fiddler,打开网页访问虚拟机ip地址http://192.168.33.111,在cache字段出现expires说明已经设置缓存时间成功
2. 日志切割
a. nginx没有类似apache的cronlog日志的分割处理功能,可以通过nginx的信号控制功能脚本进行日志分割
b. 编写日志分割脚本,vim /opt/fenge.sh
#!/bin/bash
#Filename:fenge.sh
d=$(date -d "-1 day" "+%Y%m%d")
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path
mv /usr/local/nginx/logs/access.log ${logs_path}/test.com-access.log-$d
kill -USR1 $(cat $pid_path)
find $logs_path -mtime +30 | xargs rm -rf
c. 给脚本执行权限,chmod 755 /opt/fenge.sh
d. 执行该脚本,sh /opt/fenge.sh
[root@localhost logs]# cd /var/log/nginx/
[root@localhost nginx]# ls
test.com-access.log-20181125
e. 到这里日志分割完毕,我们需要把他加入系统计划任务中,定时分割日志文件,crontab -e , 30 1 * * * /opt/fenge.sh,这样每天凌晨1:30分都会自动分割日志,方便管理,实现自动化运维
4. 设置连接超时
a. 为了避免同一个客户长时间占用连接,造成资源浪费,需要设置连接超时参数
b. 修改nginx主配置文件,vim /usr/local/nginx/conf/nginx.conf
keepalive_timeout 65;
client_header_timeout 80;
client_body_timeout 80;
这几行添加在http { }区域中添加
c. 打开宿主机fiddler抓包验证
5. 更改进程数
a. 在高并发环境中,需要启动更多的nginx进程以保证快速响应,用以处理用户的请求,避免造成阻塞
b. 修改nginx主配置文件,vim /usr/local/nginx/conf/nginx.conf
worker_processes 2; #nginx进程数,一般是cpu核心数的2倍
worker_cpu_affinity 01 10; #cpu核心分配
6. 配置网页压缩
a. 配置网页压缩可以提高用户访问的速度,节约网站带宽,提升用户体验
b. 修改主配置文件,增加gzip压缩模块vim/usr/local/nginx/conf/nginx.conf
29 gzip on;
30 gzip_buffers 4 64k; #申请4个单位为64k的内存作为压缩结果流
31 gzip_http_version 1.1;
32 gzip_comp_level 2; #指定压缩比,一般数值为2,最高为9
33 gzip_min_length 1k; #允许压缩的页面最小字节数
34 gzip_vary on;
35 gzip_types text/plain text/javascript application/x-javascript tex t/css text/xml application/xml application/xml+rss;
c. 开启宿主机fiddler抓包测试,transport标题下出现gzip字样,便是成功了
7. 配置FPM参数优化
a. 为了提高PHP动态模块的处理速度需要优化php-fpm参数
b. vim /usr/local/php5/etc/php-fpm.conf
i. pm = dynamic #动态模块设置,如果设置为static便是静态方式
ii. pm.max_children = 50 #指定启动的进程答最大数量
iii. pm.start_servers = 20 #动态方式下的初始fpm进程数量
iv. pm.min_spare_servers = 5 #动态方式下最小的fpm空闲进程数
v. pm.max_spare_servers = 20 #动态方式下fpm最大空闲进程数