nginx安装
下载
下载地址:http://nginx.org/en/download.html
在服务器root用户,/user/src/目录下下载:wget http://nginx.org/download/nginx-1.21.4.tar.gz
下载的是一个源码包,解压:tar -zxvf nginx-1.21.4.tar.gz.
安装
配置
- 检查环境,是否满足安装条件。即依赖解决。
- 指定安装方式(新手不适用),配置文件位置,开启模块功能
- 指定模块安装位置
安装流程
-
安装依赖
yum -y install gcc pcre-devel zlib zlib-devel -
指定安装位置安装ngix
cd nginx-1.21.4
./configure --prefix=/usr/local/nginx -
确认配置过程成功
如果配置过程中出现了error的错误,就立马去解决错误。
要使用https协议时,就需要安装OpenSSL库,现在暂时不需要。
![]()
-
make将源码变成可执行程序 -
make install安装
nginx 相关文件
nginx 启动
nginx 是http的软件,它占用的端口是80.
启动之后就成了一个服务,服务三要素
- 端口
- 监听地址
- 协议
查看端口是否被占用:
lsof -i :80netstat -ntpl
启动
usr/local/nginx/sbin/nginx
验证是否成功启动
方式一:浏览器
方式二:文本浏览器 elinks
yum -y install elinks
tips:
如果centos上启动了服务,本机可以ping通centos,但是无法访问到nginx服务器,需要先将防火墙和Selinux关闭,在进行尝试。
配置文件内容
#运行用户,启动nginx的用户,root是主进程用户,此处设置的是子进程的用户。
user nobody;
#启动进程,通常设置成和cpu的数量相等,启动子进程(nginx工作进程)的数量。
worker_processes 1;
#全局错误日志及PID文件
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
# 存放主进程号的文件位置,root进程的进程号
#pid logs/nginx.pid;
#工作模式及连接数上限
events {
#epoll是多路复用IO(I/O Multiplexing)中的一种方式,
#仅用于linux2.6以上内核,可以大大提高nginx的性能
use epoll;
#单个nginx工作进程的最大并发链接数
worker_connections 1024;
# 并发总数是 worker_processes 和 worker_connections 的乘积
# 即 max_clients = worker_processes * worker_connections
# 在设置了反向代理的情况下,max_clients = worker_processes * worker_connections / 4 为什么
# 为什么上面反向代理要除以4,应该说是一个经验值
# 根据以上条件,正常情况下的Nginx Server可以应付的最大连接数为:4 * 8000 = 32000
# worker_connections 值的设置跟物理内存大小有关
# 因为并发受IO约束,max_clients的值须小于系统可以打开的最大文件数
# 而系统可以打开的最大文件数和内存大小成正比,一般1GB内存的机器上可以打开的文件数大约是10万左右
# 我们来看看360M内存的VPS可以打开的文件句柄数是多少:
# $ cat /proc/sys/fs/file-max
# 输出 34336
# 32000 < 34336,即并发连接总数小于系统可以打开的文件句柄总数,这样就在操作系统可以承受的范围之内
# 所以,worker_connections 的值需根据 worker_processes 进程数目和系统可以打开的最大文件总数进行适当地进行设置
# 使得并发总数小于操作系统可以打开的最大文件数目
# 其实质也就是根据主机的物理CPU和内存进行配置
# 当然,理论上的并发总数可能会和实际有所偏差,因为主机还有其他的工作进程需要消耗系统资源。
# ulimit -SHn 65535
}
http {
#设定mime类型,类型由mime.type文件定义
include mime.types;
default_type application/octet-stream;
#设定日志格式, 记录谁访问虚拟主机了
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
# 全局日志的路径,log_format main的存放路径
access_log logs/access.log main;
#sendfile 指令指定 nginx 是否调用 sendfile 函数(zero copy 方式)来输出文件,
#对于普通应用,必须设为 on,
#如果用来进行下载等应用磁盘IO重负载应用,可设置为 off,
#以平衡磁盘与网络I/O处理速度,降低系统的uptime.
sendfile on;
#tcp_nopush on;
#连接超时时间
#keepalive_timeout 0;
keepalive_timeout 65;
tcp_nodelay on;
#开启gzip压缩
gzip on;
gzip_disable "MSIE [1-6].";
#设定请求缓冲
client_header_buffer_size 128k;
large_client_header_buffers 4 128k;
#设定虚拟主机配置
server {
#侦听80端口
listen 80;
#定义使用 www.nginx.cn访问,设置域名
server_name www.nginx.cn;
#定义服务器的默认网站根目录位置
root html;
#设定本虚拟主机的访问日志
access_log logs/nginx.access.log main;
#定义网站的根目录。
location / {
#定义首页索引文件的名称
index index.php index.html index.htm;
}
# 定义错误提示页面
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
#静态文件,nginx自己处理
location ~ ^/(images|javascript|js|css|flash|media|static)/ {
#过期30天,静态文件不怎么更新,过期可以设大一点,
#如果频繁更新,则可以设置得小一点。
expires 30d;
}
#PHP 脚本请求全部转发到 FastCGI处理. 使用FastCGI默认配置.
location ~ .php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
#禁止访问 .htxxx 文件
location ~ /.ht {
deny all;
}
}
}
killall nginx 杀掉所有的nginx进程。通过yum search killall来知道怎么安装killall, 安装yum install psmisc之后就会带有killall。
基本使用
默认网站
当nginx配置文件中有且只有一个Server的时候,该Server就被Nginx认为是默认网站,所有发给nginx服务器80端口的数据都会默认给该Server.
目录访问控制
控制虚拟主机上哪些目录可以访问不能访问。
一个对a文件的一个访问控制,除本机外,其他地址不可以访问a目录。
# 是相对路径,相对于root 指定的路径。/usr/local/nginx/html/a
location /a {
allow 127.0.0.1;
# allow 192.168.0.104 # 可以定义多个allow
deny all; # 拒绝allow中之外的所有
return 404; # 一般返回的是403,可以迷惑一下访问者,返回错误码设置为404.
# return http://www.baidu.com; # 返回一个地址
}
重启nginx的方式:killall -s HUP nginx
目录的用户验证
任何人都可以访问,但是需要凭用户密码才能访问。
b下只有一个index.html文件
location /b {
auth_basic "登录验证";
auth_basic_user_file /etc/nginx/htpasswd; # 指定用户名密码存放的位置,从这个文件中校验用户密码是否正确
}
生成密码文件:
1.yum -y install httpd-tools # 目的是安装htpasswd
2.vim /etc/nginx/htpasswd
3.生成账户密码
4.此时访问127.0.0.1/b就需要用户登录
日志
配置日志的格式,以json的方式展现日志。
log_format access_json '{"@timestamp":"$time_iso8601",'
'"host":"$server_addr",'
'"clientip":"$remote_addr",'
'"size":$body_bytes_sent,'
'"responsetime":$request_time,'
'"upstreamtime":"$upstream_response_time",'
'"upstreamhost":"$upstream_addr",'
'"http_host":"$host",'
'"url":"$uri",'
'"domain":"$host",'
'"xff":"$http_x_forwarded_for",'
'"referer":"$http_referer",'
'"status":"$status"}';
access_log /var/log/nginx/access.log access_json;
防盗链
盗链:我们创建服务器的本质是,让用户直接来访问我们的服务器来增长用户,但是有些第三方就爬取我们的图片资源,相当于在用户和我们图片服务器之间横叉了一脚,把用户拦截了,用户在第三方就可以访问图片,用户不再直接到达图片服务器,导致用户减少。第三方横插一脚就是盗链行为。
防盗链:只能是我授权的用户和授权的第三方来我服务器上拿图片资源,其他的是不能的。用请求头中的referer字段来区分
- 用户访问我们的图片服务器时,请求头中是没有
referer字段的 - 从第三方网站跳转到图片服务器时,就会有
referer字段表明是从哪个网站来的。
针对nginx服务器的c目录做防盗链:
location /c {
# location ~* \.(png|gif|bmp)$ { #
valid_referers none blocked *.xxx.com; # none 是没有referer字段,blocked是硬件防火墙的标志,*.xxx.com 是允许的第三方域名
if ($invalid_referer) {
return 403;
}
}
浙公网安备 33010602011771号