Nginx服务优化以及防盗链

1. 隐藏版本号

以在 CentOS 中使用命令 curl -I http://192.168.66.10 显示响应报文首部信息。

查看版本号

• curl -I http://192.168.66.10

1. 修改配置文件

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;								#添加，关闭版本号
    ......
}

systemctl restart nginx
curl -I http://192.168.66.10

隐藏成功

2. 修改源码文件，重新编译安装

vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" 					#修改版本号
#define NGINX_VER "IIS" NGINX_VERSION 			#修改服务器类型

cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
	......
}

systemctl restart nginx
curl -I http://192.168.66.10

2. 修改用户与组

vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; 								#取消注释，修改用户为 nginx ,组为 nginx

systemctl restart nginx

ps aux | grep nginx

3. 页面缓存时间

当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度，一般针对静态网页设置，对动态网页不设置缓存时间

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		
		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 		#加入新的 location，以图片作为缓存对象
			root html;
			expires 1d;									#指定缓存时间，1天
		}
......
	}
}

设置主页图片

编辑主页文件

[root@localhost html]# vim index.html 
 
-------------------------------------------------------------------------




 


Welcome to nginx!
If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.
 
For online documentation and support please refer to
nginx.org.

Commercial support is available at
nginx.com.
 
Thank you for using nginx.

4. 日志切割

vim /opt/fenge.sh
#!/bin/bash
# Filename: fenge.sh
day=$(date -d "-1 day" "+%Y%m%d")											#显示前一天的时间
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"

[ -d $logs_path ] || mkdir -p $logs_path 									#创建日志文件目录
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-$day	#移动并重命名日志文件
kill -USR1 $(cat $pid_path)													#重建新日志文件
find $logs_path -mtime +30 -exec rm -rf {} \;								#删除30天之前的日志文件
#find $logs_path -mtime +30 | xargs rm -rf 

chmod +x /opt/fenge.sh
/opt/fenge.sh
ls /var/log/nginx
ls /usr/local/nginx/logs/access.log 

crontab -e
0 1 * * * /opt/fenge.sh

5. 连接超时

HTTP有一个KeepAlive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。
 

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
    keepalive_timeout 60 60;
	keepalive_requests 10000;
    client_header_timeout 80;
    client_body_timeout 80;
...... 
}

systemctl restart nginx

6.更改进程数

cat /proc/cpuinfo | grep -c "physical id"	#查看cpu核数
ps aux | grep nginx							#查看nginx主进程中包含几个子进程

vim /usr/local/nginx/conf/nginx.conf
worker_processes  2;				#修改为核数相同或者2倍
worker_cpu_affinity 01 10;			#设置每个进程由不同cpu处理，进程数配为4时0001 0010 0100 1000
#将每个worker子进程与特定CPU物理核心绑定，提升cpu利用率，进而提升性能。避免同一个worker子进程在不同的CPU核心上切换或者多个进程跑在一个CPU上，缓存失效，降低性能。

systemctl restart nginx

7. 配置网页压缩

Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化
 

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
   gzip on;							#取消注释，开启gzip压缩功能
   gzip_min_length 1k;      		#最小压缩文件大小
   gzip_buffers 4 64k;      		#压缩缓冲区，大小为4个64k缓冲区
   gzip_http_version 1.1;   		#压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
   gzip_comp_level 6;       		#压缩比率
   gzip_vary on;					#支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;		#压缩类型，表示哪些网页文档启用压缩功能
...... 
}

cd /usr/local/nginx/html
先将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
...... 
				#网页中插入图片


systemctl restart nginx
在Linux系统中，打开火狐浏览器，右击点查看元素
选择 网络 ---> 选择 HTML、WS、其他
访问 http://192.168.66.10 ，双击200响应消息查看响应头中包含 Content-Encoding: gzip

8. 配置防盗链

Web源主机（192.168.60.10  www.my.com）

配置映射

[root@localhost ~]# vim /etc/hosts
 
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.66.10 www.my.com

cd /usr/local/nginx/html
将game.jpg、error.png文件传到/usr/local/nginx/html目录下
vim index.html
...... 




echo "192.168.66.10 www.kgc.com" >> /etc/hosts 
echo "192.168.66.20 www.benet.com" >> /etc/hosts 

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	......
		location ~* \.(jpg|gif|swf)$ {   #因为自己的盗链图片为png结尾所以此处不设置png
			valid_referers none blocked *.my.com my.com;
			if ( $invalid_referer ) {
				rewrite ^/ http://www.my.com/tu2.png;
            }
        }
	......
	}
}
~* \.(jpg|gif|swf)$ ：这段正则表达式表示匹配不区分大小写，以.jpg 或.gif 或.swf 结尾的文件；
 
valid_referers ：设置信任的网站，可以正常使用图片；
 
none：允许没有http_refer的请求访问资源（根据Referer的定义，它的作用是指示一个请求是从哪里链接过来的，如果直接在浏览器的地址栏中输入一个资源的URL地址，那么这种请求是不会包含 Referer 字段的），如 http://www.my.com/tu.jpg
我们使用 http://www.my.com 访问显示的图片，可以理解成 http://www.my.com/tu.jpg 这个请求是从 http://www.my.com 这个链接过来的。
 
blocked：允许不是http://开头的，不带协议的请求访问资源； 
 
*.my.com：只允许来自指定域名的请求访问资源，如 http://www.my.com
 
if语句：如果链接的来源域名不在valid_referers所列出的列表中，$invalid_referer为true，则执行后面的操作。

盗链网站主机（192.168.66.20 www.qyd.com）

[root@localhost ~]# yum install httpd -y  安装apache服务
[root@localhost ~]# cd /var/www/html
[root@localhost html]# ls
[root@localhost html]# vim index.html
---------------------------------------------                                                                                                         


是谁在盗链
  #图片链接地址通过浏览器访问http://www.my.com 所得图片地址

设置域名映射

[root@localhost ~]# vim /etc/hosts
 
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.66.10 www.my.com
192.168.66.20 www.qyd.com

使用盗链主机访问网页