实战nginx调优

实战nginx调优

本节所讲内容:

1  隐藏Nginx版本号

2  修改nginx运行用户-设置nginx的cpu亲和力

3  设置Nginx每个进程最多可以打开的文件数和事件处理模型

4  ServerName和location匹配及高效传输模式

5  Fastcgi调优-gzip压缩网页调优-expires缓存调优

6   日志切割优化-目录文件访问控制-来源访问控制

7  禁止使用IP访问网站和301优化-防盗链-错误页面的提示-开启认证功能

1  隐藏Nginx版本号

1.1   修改nginx源代码

nginx-1.14.1程序下载地址:http://nginx.org/download/nginx-1.14.1.tar.gz

上传nginx-1.14.1.tar.gz到linux系统中

或:

[root@localhost ~]# wget http://nginx.org/download/nginx-1.14.1.tar.gz

 

[root@localhost ~]# tar zxvf  nginx-1.14.1.tar.gz  -C /usr/local/src/

[root@localhost ~]#  cd /usr/local/src/nginx-1.14.1/

隐藏Nginx版本号,需要一共修改3个源代码文件

1、修改nginx软件版本号

[root@localhost nginx-1.14.1]# vim src/core/nginx.h          

改:

13 #define NGINX_VERSION      "1.14.1"

14 #define NGINX_VER          "nginx/" NGINX_VERSION

为:

#define NGINX_VERSION       "8.8.2"                 #此行修改的是你想要的版本号。

#define NGINX_VER          "XWS/" NGINX_VERSION   #此行修改的是你想修改的软件名称。

 

2、修改HTTP头信息中的connection字段,防止回显具体版本号

[root@localhost nginx-1.14.1]# vim src/http/ngx_http_header_filter_module.c

改:49 static char ngx_http_server_string[] = "Server: nginx" CRLF;

为:49 static char ngx_http_server_string[] = "Server: XWS" CRLF;

 

3、修改ngx_http_special_response.c文件定义了Nginx报 404错误时,不回显版本号。

注:nginx-1.14.1 版本,不再需要修改。   nginx1.10以下还需要修改以下内容:

[root@localhost nginx-1.14.1]# vim src/http/ngx_http_special_response.c

35 static u_char ngx_http_error_tail[] =

改:36 "<hr><center>nginx</center>" CRLF

为:36 "<hr><center>XWS</center>" CRLF

 

1.2  编译和安装nginx

1、安装nginx时必须先安装相应的编译工具
[root@localhost ~]# yum -y install gcc gcc-c++ autoconf automake  zlib zlib-devel openssl openssl-devel pcre pcre-devel

参数如下:

gcc  c      语言编译器。

gcc-c++ c++   语言编译器。

autoconf automake  用于configure和 make编译的工具。

zlib  :nginx提供gzip模块,需要zlib库支持。

openssl :nginx提供ssl功能。

pcre  :支持地址重写rewrite功能。

 

2、创建一个nginx用户用于后期启动nginx进程使用,比你直接使用root用户启动nginx更安全

[root@localhost nginx-1.14.1]# useradd  -s /sbin/nologin    -M     nginx

-s      #指定登录shell。

-M     #不创建家目录。

 

2、编译和安装nginx

[root@localhost nginx-1.14.1]# ./configure --prefix=/usr/local/nginx   --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module  --with-http_gzip_static_module  --with-pcre  && make -j 4 && make install

注: &&  表示上一个命令执行成功后,再执行后面的命令。

参数说明:

--with-http_dav_module          #启用支持(增加PUT,DELETE,MKCOL:创建集合,COPY和MOVE方法)。

                                    默认关闭,需要编译开启

--with-http_stub_status_module  #启用支持(获取Nginx上次启动以来的工作状态)。

--with-http_addition_module         #启用支持(作为一个输出过滤器,支持不完全缓冲,分部分相应请求)。

--with-http_sub_module              #启用支持(允许一些其他文本替换Nginx相应中的一些文本)。

--with-http_flv_module              #启用支持(提供支持flv视频文件支持)。

--with-http_mp4_module              #启用支持(提供支持mp4视频文件支持,提供伪流媒体服务端支持)。

--with-pcre   #需要注意,这里指的是源码,用#./configure --help |grep pcre查看帮助。

 

3、启动nginx服务

[root@localhost nginx-1.14.1]#  /usr/local/nginx/sbin/nginx

[root@localhost nginx-1.14.1]# iptables -F

 

测试1:查看在http协议中是否隐藏了版本和软件名。

[root@localhost nginx-1.12.2]# curl -I 192.168.1.63

HTTP/1.1 200 OK

Server: XWS/8.8.2   #已经隐藏成功

 

测试2:当访问时,出现404及其它错误时也会返回已经隐藏的版本信息

http://192.168.1.63/a.html

 

测试2:当访问时,出现403错误也会返回已经隐藏的版本信息

 

16.2  修改nginx运行用户-设置nginx的cpu亲和力

16.2.1  修改Nginx运行用户

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

改:2 #user  nobody;

为:2 user  nginx;

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload     #动态加载配置文件

[root@localhost nginx-1.14.1]# ps -axu | grep nginx

root      6803  0.0  0.0  45880  1124 ?   Ss   17:59   0:00 nginx: master process /usr/local/nginx/sbin/nginx   #这个以root运行的进程是nginx主进程,master process是管理nginx的worker进程的。

nginx     6804  0.0  0.1  48412  2232 ?        S    17:59   0:00 nginx: worker process

#这个是以nginx身份运行的worker process 是nginx的工作进程,work进程才是为用户提供服务的

 

16.2.2  设置Nginx运行进程个数

1、Nginx运行进程个数一般设置为CPU的核心数或者核心数2倍。

查看服务器cpu核心数

[root@localhost ~]# top    #运行top命令后,按下数字1,可以看到有4核心CPU。

 

我是4核cpu,这里设为4

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

  改: 3 worker_processes  1;

  为: 3 worker_processes  4;

 

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload

[root@localhost ~]# ps -axu | grep nginx      #已经运行了4个worker进程 

查看nginx管理进程和4个work进程的父子关系:

[root@localhost ~]# pstree -p | grep nginx  

 

1.3  设置Nginx运行CPU的亲和力

CPU的亲和力,就是把nginx每个进程绑定到固定的cpu上,从而减少cpu上下文切换导致的额外的开销。

比如服务器是4核4线程的cpu,应该配置为如下:

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

3  worker_processes  4;             #在此行下添加

4  worker_cpu_affinity 0001 0010 0100 1000;                 

 

比如服务器是8核8线程的cpu,应该配置为如下:

3  worker_processes  8;

4  worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;                    

以此类推。

 

测试cpu亲和力:

没有配置cpu亲和力,查看

[root@localhost ~]# pstree -p | grep nginx  

           |-nginx(7432)-+-nginx(48383)

           |                          |-nginx(48384)

           |                          |-nginx(48385)

           |                         `-nginx(48386)

注:#通过pstree可以看到nginx master进程和worker进程是父子关系。

[root@localhost html]# taskset -cp 48384   

pid 48384's current affinity list: 0-3   #发现0-3,说明nginx PID 48384  ,可以在4个cpu上运行

 

配置cpu亲和力,查看:

[root@localhost ~]# cd /usr/local/nginx/

[root@localhost nginx]# vim conf/nginx.conf

  4 worker_cpu_affinity 0001 0010 0100 1000;

[root@localhost nginx]# ./sbin/nginx -s reload

 

[root@localhost html]# pstree -p | grep nginx

           |-nginx(7432)-+-nginx(48459)

           |                        |-nginx(48460)

           |                        |-nginx(48461)

           |                        `-nginx(48462)

[root@localhost html]# taskset -cp 48459

pid 48459's current affinity list: 0    #表示 nginx PID 48459,只能在第一个cpu运行

[root@localhost html]# taskset -cp 48460

pid 48460's current affinity list: 1  #表示 nginx PID 48460,只能在第二个cpu运行

说明cpu绑定已经成功。

3  设置Nginx每个进程最多可以打开的文件数和事件处理模型

3.1  Nginx最多可以打开文件数

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf 

4 worker_cpu_affinity 0001 0010 0100 1000;     #在这一行下面,插入以下内容

5 worker_rlimit_nofile 102400;    

这个指令是指当一个Nginx进程打开的最多文件描述符数目,理论值应该是最多打开文件数(ulimit -n)与nginx进程数相除,即:(ulimit -n)/ worker_processes ,但是nginx分配请求并不是那么均匀,所以最好与ulimit -n的值保持一致。修改ulimit -n的值,可以参考linux系统调优的内容。

 

3.2  Nginx事件处理模型

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

14 events {

 15     use epoll;             #添加这一行,使用epoll模式

 16     worker_connections  102400;

 17 }

3.3  Nginx事件处理模型对比

select,poll,epoll都是nginx下的IO多路复用的机制。I/O多路复用就通过一种机制,可以监视多个描述符,一旦某个描述符就绪(一般是读就绪或者写就绪),能够通知程序进行相应的读写操作。

Epoll 在Linux2.6内核中正式引入,和select和poll相似,其实都是I/O多路复用技术。

 

epoll优势:

1、Epoll没有最大并发连接的限制,上限是最大可以打开文件的数目,这个数字一般远大于2048, 一般来说这个数目和系统内存关系很大,具体数目可以cat /proc/sys/fs/file-max察看。

[root@localhost nginx]# cat /proc/sys/fs/file-max

198588

2、 效率提升,Epoll最大的优点就在于它只管你“活跃”的连接,而跟连接总数无关,因此在实际的网络环境中,Epoll的效率就会远远高于select和poll。

3、 Epoll在这点上使用了“共享内存”,更省内存,效率更高。

 

3.4  单个进程允许客户端最大并发连接数 

[root@localhost nginx]# vim /usr/local/nginx/conf/nginx.conf

改:16  worker_connections  1024;                #改第16行

为:16  worker_connections  102400;

worker_connections:这个属性是指单个工作进程可以允许同时建立外部连接的数量。无论这个连接是外部主动建立的,还是内部建立的。一个工作进程建立一个连接后,进程将打开一个文件副本。所以这个数量还受限于,操作系统ulimit -n设定的值和nginx的worker_connections的值。一般情况下系统ulimit -n、worker_rlimit_nofile 、worker_connections三者的值是一样的。

nginx服务器实际最大并发值就是:worker_processes*worker_connections 的乘积。

 

[root@localhost ~]# top -u nginx           #Nginx每个进程使用的内存大小。

 PID USER      PR  NI    VIRT      RES    SHR S  %CPU %MEM     TIME+ COMMAND       

47291 nginx     20   0   48336   1992    724 S   0.0  0.1   0:00.00 nginx

47292 nginx     20   0   48336   1992    724 S   0.0  0.1   0:00.00 nginx

47293 nginx     20   0   48336   1992    724 S   0.0  0.1   0:00.00 nginx

47294 nginx     20   0   48336   1992    724 S   0.0  0.1   0:00.00 nginx 

注:通过查看RES列,可以看到刚启动的nginx进程占用内存也就1.9M左右。

 

4  ServerName和location匹配及高效传输模式

4.1 ServerName匹配

对应需要修改的配置文件的位置是40行和46行

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

 

1、ServerName匹配方式

(1)、精确匹配:www.aa.com

(2)、左侧通配符匹配:*.aa.com

(3)、右侧通配符匹配:www.*

(4)、正则表达式:~ ^.*\.aa\.com$

(5)、default_server

(5)、服务IP地址

 

2、修改server_name 值为localhost.cn

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

改:40         server_name  localhost;

为:40         server_name  localhost.cn;  

注:nginx配置文件中,每个参数都是以分号;结束的

 

[root@localhost ~]# /usr/local/nginx/sbin/nginx -t  #检测nginx配置文件是否正确。

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

 

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload  #重新加载配置文件。

 

16.4.2  location匹配

1、location匹配方式,如下:

=       绝对匹配。

^~    URL前半部分匹配,不检查正则。

~       正则匹配,区分大小写。

~*     正则匹配,不区分大小写。

\        转义。

*        配置任意个任意字符。

$       以什么结尾。

 

例:匹配出以.php结尾的文件且配置时不区分大小写。

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

68         #location ~ \.php$ {             #~ \.php$ 表示url中以.php结尾的文件且区分大小写,都按{。。。}中的方法进行处理 。 这个就可以完成我们的需求。

 69         #    root           html;

 70         #    fastcgi_pass   127.0.0.1:9000;

 71         #    fastcgi_index  index.php;

 72         #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;

 73         #    include        fastcgi_params;

 74         #}

 

4.3  开启高效传输模式

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

Include mime.types;            #媒体类型。

default_type  application/octet-stream;   默认媒体类型 足够。

30  sendfile   on;                    开启高效文件传输模式,sendfile指令指定nginx是否调用sendfile函数来输出文件,对于普通应用设为 on,如果用来进行下载等应用磁盘IO重负载应用,可设置为off,以平衡磁盘与网络I/O处理速度,降低系统的负载。注意:如果图片显示不正常把这个改成off。

31  tcp_nopush on;                  必须在sendfile开启模式才有效,防止网络阻塞,积极的减少网络报文段的数量。

 

4.4  连接超时时间

主要目的是保护服务器资源,CPU,内存,控制连接数,因为建立连接也是需要消耗资源的,TCP的三次握手四次挥手等,我们一般断掉的是那些建立连接但是不做事儿,也就是我建立了链接开始,但是后续的握手过程没有进行,那么我们的链接处于等待状态的,全部断掉!

同时我们也希望php建议短链接,消耗资源少。

34  keepalive_timeout  65;        #在此行下加入如下

     tcp_nodelay on;

    client_header_timeout 15;

    client_body_timeout 15;

    send_timeout 15;

 

keepalived_timeout  客户端连接保持会话超时时间,超过这个时间,服务器断开这个链接。

tcp_nodelay;也是防止网络阻塞,不过要包涵在keepalived参数才有效。

client_header_timeout  客户端请求头读取超时时间,如果超过设个时间没有发送任何数据,nginx将返回request time out的错误。

client_body_timeout  客户端求主体超时时间,超过这个时间没有发送任何数据,和上面一样的错误提示。

send_timeout  响应客户端超时时间,这个超时时间仅限于两个活动之间的时间,如果超过这个时间,客户端没有任何活动,nginx关闭连接。

 

文件上传大小限制

我们知道PHP可以修改上传文件大小限制,nginx也可以修改。

http {

……

40  client_max_body_size 10m;

5  Fastcgi调优-gzip压缩网页调优-expires缓存调优

5.1  Fastcgi相关概念

Fastcgi相关的个概念如下:

Cache:写入缓存区

Buffer:读取缓存区

Fastcgi是静态服务和动态服务的一个接口

fastcgi_connect_timeout 300;    #指定链接到后端FastCGI的超时时间。

fastcgi_send_timeout 300;       #向FastCGI传送请求的超时时间,这个值是指已经完成两次握手后向FastCGI传送请求的超时时间。

fastcgi_read_timeout 300;       #指定接收FastCGI应答的超时时间,这个值是指已经完成两次握手后接收FastCGI应答的超时时间。

fastcgi_buffer_size 64k;        #指定读取FastCGI应答第一部分需要用多大的缓冲区,这个值表示将使用1个64KB的缓冲区读取应答的第一部分(应答头),可以设置为gastcgi_buffers选项指定的缓冲区大小。

fastcgi_buffers 4 64k;  #指定本地需要用多少和多大的缓冲区来缓冲FastCGI的应答请求,如果一个php脚本所产生的页面大小为256KB,那么会分配4个64KB的缓冲区来缓存,如果页面大小大于256KB,那么大于256KB的部分会缓存到fastcgi_temp指定的路径中,但是这并不是好方法,因为内存中的数据处理速度要快于磁盘。一般这个值应该为站点中php脚本所产生的页面大小的中间值,如果站点大部分脚本所产生的页面大小为256KB,那么可以把这个值设置为“8 16K”、“4 64k”等。

fastcgi_busy_buffers_size 128k; #建议设置为fastcgi_buffer的两倍,繁忙时候的buffer。

fastcgi_temp_file_write_size 128k;  #在写入fastcgi_temp_path时将用多大的数据库,默认值是fastcgi_buffers的两倍,设置上述数值设置小时若负载上来时可能报502Bad Gateway。

fastcgi_cache gnix; #表示开启FastCGI缓存并为其指定一个名称。开启缓存非常有用,可以有效降低CPU的负载,并且防止502的错误发生,但是开启缓存也可能会引起其他问题,要很据具体情况选择。

fastcgi_cache_valid 200 302 1h; #用来指定应答代码的缓存时间,实例中的值表示将2000和302应答缓存一小时,要和fastcgi_cache配合使用。

fastcgi_cache_valid 301 1d;     #将301应答缓存一天。

fastcgi_cache_valid any 1m;     #将其他应答缓存为1分钟。

fastcgi_cache_min_uses 1;       #请求的数量。

fastcgi_cache_path              #定义缓存的路径。

 

修改nginx.conf配置文件,在http标签中添加如下:

[root@localhost nginx]# vim /usr/local/nginx/conf/nginx.conf

fastcgi_connect_timeout 300;

fastcgi_send_timeout 300;

fastcgi_read_timeout 300;

fastcgi_buffer_size 64k;

fastcgi_buffers 4 64k;

fastcgi_busy_buffers_size 128k;

fastcgi_temp_file_write_size 128k;

#fastcgi_temp_path /data/ngx_fcgi_tmp;

fastcgi_cache_path /data/ngx_fcgi_cache   levels=2:2   #缓存路径,levels目录层次级。

keys_zone=ngx_fcgi_cache:512m  #定义了一个存储区域名字,缓存大小。

inactive=1d max_size=40g;      #不活动的数据在缓存中多长时间,目录总大小。

 

在server location标签添加如下:

      location ~ .*\.(php|php5)?$

      {

      fastcgi_pass 127.0.0.1:9000;

      fastcgi_index index.php;

      include fastcgi.conf;

      fastcgi_cache ngx_fcgi_cache;

      fastcgi_cache_valid 200 302 1h;

      fastcgi_cache_valid 301 1d;

      fastcgi_cache_valid any 1m;

      fastcgi_cache_min_uses 1;

      fastcgi_cache_use_stale error timeout invalid_header http_500;

      fastcgi_cache_key http://$host$request_uri;

      }

fastcgi cache资料:

官方文档:

http://nginx.org/en/docs/http/ngx_http_fastcgi_module.html#fastcgi_cache

 

5.2  gzip压缩网页调优gzip调优

使用gzip压缩功能,可能为我们节约带宽,加快传输速度,有更好的体验,也为我们节约成本,所以说这是一个重点。

Nginx启用压缩功能需要你来ngx_http_gzip_module模块,apache使用的是mod_deflate

一般我们需要压缩的内容有:文本,js,html,css,对于图片,视频,flash什么的不压缩,同时也要注意,我们使用gzip的功能是需要消耗CPU的!

gzip on;        #开启压缩功能。

gzip_min_length  1k;    #设置允许压缩的页面最小字节数,页面字节数从header头的Content-Length(内容长度)中获取,默认值是0,不管页面多大都进行压缩,建议设置成大于1K,如果小与1K可能会越压越大。

gzip_buffers     4 32k; #压缩缓冲区大小,表示申请4个单位为32K的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果。

gzip_http_version 1.1; #压缩版本(默认1.1,前端为squid2.5时使用1.0)用于设置识别HTTP协议版本,默认是1.1,目前大部分浏览器已经支持GZIP解压,使用默认即可。

gzip_comp_level 9;  #压缩比例,用来指定GZIP压缩比,1压缩比最小,处理速度最快,9压缩比最大,传输速度快,但是处理慢,也比较消耗CPU资源。

gzip_types  text/css text/xml application/javascript;   #用来指定压缩的类型,‘text/html’类型总是会被压缩。

gzip_vary on;   #vary header支持,该选项可以让前端的缓存服务器缓存经过GZIP压缩的页面,例如用Squid缓存经过nginx压缩的数据。

那么配置压缩的过程中,会有一下参数:

改:41  #gzip on;

为:41  gzip on;                  #并在下一行添加如下。

gzip_min_length  1k;

gzip_buffers     4 32k;

gzip_http_version 1.1;

gzip_comp_level 9;

gzip_types  text/css text/xml application/javascript;

gzip_vary on;

 

5.3  expires缓存调优

缓存,主要针对于图片,css,js等元素更改机会比较少的情况下使用,特别是图片,占用带宽大,我们完全可以设置图片在浏览器本地缓存365d,css,js,html可以缓存个10来天,这样用户第一次打开加载慢一点,第二次,就非常快了!缓存的时候,我们需要将需要缓存的拓展名列出来!

Expires缓存配置在server字段里面:

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$

      {

      expires      365d;

      }

location ~ .*\.(js|css)?$

      {

      expires      30d;

      }

同时也可以对目录及其进行判断:

location ~ ^/(images|javascript|js|css|flash|media|static)/ {

      expires 360d;

      }

location ~(robots.txt) {

      expires 7d;

      break;

      }

expire功能优点:

(1)expires可以降低网站购买的带宽,节约成本

(2)同时提升用户访问体验

(3)减轻服务的压力,节约服务器成本,甚至可以节约人力成本,是web服务非常重要的功能

 

expire功能缺点:

被缓存的页面或数据更新了,用户看到的可能还是旧的内容,反而影响用户体验。

 

解决办法:

第一个 缩短缓存时间,例如:1天,不彻底,除非更新频率大于1天。

第二个 对缓存的对象改名。

a.图片,附件一般不会被用户修改,如果用户修改了,实际上也是更改文件名重新传了而已。

b.网站升级对于js,css元素,一般可以改名,把css,js,推送到CDN。

 

网站不希望被缓存的内容:

1)广告图片

2)网站流量统计工具

3)更新频繁的文件(google的logo)

 

6   日志切割优化-目录文件访问控制-来源访问控制

6.1  日志切割优化

[root@localhost ~]# cd /usr/local/nginx/logs/

日志优化的目的,是为了一天日志一压缩,按天存放,超过10天的删除。

[root@localhost logs]# vim cut_nginx_log.sh         #每天日志分割脚本。

(tar  tvf 2017-011-08.tar.bz2 显示文件内容)

#!/bin/bash

date=$(date +%F -d -1day)

cd /usr/local/nginx/logs

if [ ! -d cut ] ; then

        mkdir cut

fi

mv access.log cut/access_$(date +%F -d -1day).log

mv error.log cut/error_$(date +%F -d -1day).log

/usr/local/nginx/sbin/nginx -s reload

tar -jcvf cut/$date.tar.bz2 cut/*

rm -rf cut/access* && rm -rf cut/error*

cat >>/var/spool/cron/root<<eof

00 00 * * * /bin/sh /usr/local/nginx/logs/cut_nginx_log.sh >/dev/null 2>&1

eof

find -type f -mtime +10 | xargs rm -rf

健康检查的日志,不用输入到log中,因为这些日志没有意义,我们分析的话只需要分析访问日志,看看一些页面链接,如200,301,404的状态吗,在SEO中很重要,而且我们统计PV是页面计算,这些都没有意义,反而消耗了磁盘IO,降低了服务器性能,我们可以屏蔽这些如图片,js,css这些不宜变化的内容。

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

       location ~ .*\.(js|jpg|jpeg|JPG|JPEG|css|bmp|gif|GIF)$ {

            access_log off;

        }

 

日志目录权限优化:

[root@localhost logs]# chown -R root.root /usr/local/nginx/logs/

[root@localhost logs]# chmod -R 777 /usr/local/nginx/logs/

 

日志格式优化

           log_format access ‘$remote_addr - $remote_user [$time_local] “$request” ‘‘$status $body_bytes_sent “$http_referer” ‘‘”$http_user_agent” $http_x_forwarded_for’;

其中,各个字段的含义如下:

       1. $remote_addr 与$http_x_forwarded_for 用以记录客户端的ip地址;

        2. $remote_user :用来记录客户端用户名称;

        3. $time_local : 用来记录访问时间与时区;

        4. request : 用来记录请求的url与http协议;

        5. status : 用来记录请求状态;成功是200;

        6. body_bytes_s ent :记录发送给客户端文件主体内容大小;

        7. http_referer :用来记录从那个页面链接访问过来的;

        8. http_user_agent :记录客户端浏览器的相关信息;

 

6.2    目录文件访问控制

主要用在禁止目录下指定文件被访问,当然也可以禁止所有文件被访问!一般什么情况下用?比如是有存储共享,这些文件本来都只是一些下载资源文件,那么这些资源文件就不允许被执行,如sh,py,pl,php等等。

例如:禁止访问images下面的php程序文件

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf        #在location / {下添加

        location ~ ^/images/.*\.(php|php5|.sh|.py|.pl)$ {

            deny all;

        }

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload

[root@localhost ~]# mkdir /usr/local/nginx/html/images

 [root@localhost ~]# echo "<?php phpinfo(); ?>" > /usr/local/nginx/html/images/index.php

测试访问

 

多目录组合配置方法

   location ~ ^/images/(attachment|avatar)/.*\.(php|php5|.sh|.py|.py)$ {

            deny all;

        }

 

配置nginx禁止访问*.txt文件

[root@localhost ~]# echo Test > /usr/local/nginx/html/a.txt

 

配置规则,禁止访问

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf        #server字段中

   location ~* \.(txt|doc)$ {

                if ( -f $request_filename) {

                root /usr/local/nginx/html;

         break;

        }

        deny all;

}

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload

 

当然,可以重定向到某一个URL

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

     location ~* \.(txt|doc)$ {

                if ( -f $request_filename) {

                root /usr/local/nginx/html;

                rewrite ^/(.*)$ http://www.baidu.com last;

                break;

        }

        }

 

对目录进行限制的方法

[root@localhost ~]# mkdir -p /usr/local/nginx/html/{xuegod,godxue}

[root@localhost ~]# echo xuegod > /usr/local/nginx/html/xuegod/index.html

[root@localhost ~]# echo god > /usr/local/nginx/html/godxue/index.html

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

        location /xuegod/       { return 404 ; }

        location /godxue/       { return 403 ; }

 

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload

http://192.168.1.63/xuegod/index.html

 

http://192.168.1.63/godxue/index.html

 

上面是直接给了反馈的状态吗,也可以哦他能够过匹配deny all方式做

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

        location ~ ^/(xuegod)/ {

        deny all;

        }

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload

 

6.3  来源访问控制

这个需要ngx_http_access_module模块支持,不过,默认会安装。

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf        #写法类似Apache。

        location ~ ^/(xuegod)/ {

        allow 192.168.1.0/24;

        deny all;

        }

 

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload

 

http://192.168.1.63/xuegod/index.html

 

接着上面的实验,就可以访问了,下面是针对整个网站的写法,对/限制就OK。

        location / {

        allow 192.168.1.0/24;

        deny all;

        }

当然可以写IP,可以写IPduan,但是注意次序,上下匹配。

同时,也可以通过if语句控制,给以友好的错误提示。

        if ( $remote_addr = 192.168.1.38 ) {

        return 404;

        }

 

例:

[root@localhost ~]#  vim /usr/local/nginx/conf/nginx.conf

        location ~ ^/(xuegod)/ {

        if ( $remote_addr = 192.168.1.105 ) {

        return 404;

        }

        }

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload

 

http://192.168.1.63/xuegod/index.html

 

7  禁止使用IP访问网站和301优化-防盗链-错误页面的提示-开启认证功能

7.1  禁止使用IP访问网站和301优化

有时候,我们发现访问网站的时候,使用IP也是可以得,我们可以把这一层给屏蔽掉,让其直接反馈给403,也可以做跳转。

跳转的做法:

server {

        listen 80 default_server;

        server_name _;

        rewrite ^ http://www.baidu.com$request_uri?;

}

403反馈的做法

server {

        listen 80 default_server;

        server_name _;

        return 403;

}

301跳转的做法,如我们域名一般在解析的过程中,a.com一般会跳转到www.a.com

server {

    listen       80;

    root        /usr/share/nginx/html/;

    server_name  www.a.com a.com;

                if ($host = 'a.com' ) {

                        rewrite ^/(.*)$ http://www.a.com/$1 permanent;

                        }

7.2  防盗链

防止别人直接从你网站引用图片等链接,消耗了你的资源和网络流量,那么我们的解决办法由几种:

1:水印,品牌宣传,你的带宽,服务器足够

2:防火墙,直接控制,前提是你知道IP来源

3:防盗链策略

下面的方法是直接给予404的错误提示:

location ~* \.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {

        valid_referers none blocked *.a.com a.com;

                if ($invalid_referer) {

                        return 404;

                }

}

同时,我们也可以设置一个独有的,图片比较小的,来做rewrite跳转

location ~* \.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {

        valid_referers none blocked *.a.com a.com;

                if ($invalid_referer) {

                 rewrite ^/ http://www.a.com/img/nolink.png;

                }

}

 

3、错误页面的提示

对于自定义的错误页面,我们只需要将errorpage写入到配置文件。

        error_page   404  /404.html;

 

7.2   开启认证功能

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

       location ~ /xuegod/ {

                auth_basic "haha";

                auth_basic_user_file /usr/local/nginx/conf/passwd;

        }

 

用户创建:

[root@localhost ~]# rpm -ivh /mnt/Packages/httpd-tools-2.4.6-67.el7.centos.x86_64.rpm

[root@localhost ~]# htpasswd -cb /usr/local/nginx/conf/passwd aaa 123

[root@localhost ~]# chmod 400 /usr/local/nginx/conf/passwd

[root@localhost ~]# chown nginx /usr/local/nginx/conf/passwd

[root@localhost ~]# /usr/local/nginx/sbin/nginx -s reload

 

 

 

7.3  防止DDOS攻击

通过使用limit_conn_zone进行控制单个IP或者域名的访问次数。

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

http字段中配置:

   limit_conn_zone $binary_remote_addr zone=addr:10m;

server的location字段配置

    location / {

            root   html;

            limit_conn addr 1;

[root@xuegod64 ~]# ab -c 2 -t 1 http://192.168.1.63/xuegod/index.html

[root@localhost ~]# tail -f /usr/local/nginx/logs/access.log

 

= 开头表示精确匹配。

^~ 开头表示uri以某个常规字符串开头,理解为匹配 url路径即可。nginx不对url做编码,因此请求为/static/20%/aa,可以被规则^~ /static/ /aa匹配到(注意是空格)。

~ 开头表示区分大小写的正则匹配。

~*  开头表示不区分大小写的正则匹配。

!~和!~*分别为区分大小写不匹配及不区分大小写不匹配 的正则。

/ 通用匹配,任何请求都会匹配到。

多个location配置的情况下匹配顺序为(参考资料而来,还未实际验证,试试就知道了,不必拘泥,仅供参考)。

首先匹配 =,其次匹配^~, 其次是按文件中顺序的正则匹配,最后是交给 / 通用匹配。当有匹配成功时候,停止匹配,按当前匹配规则处理请求。

        set $no_cache 0;

        if ($request_method = POST) {

                set $no_cache 1;

        }

        if ($query_string != "") {

                set $no_cache 1;

        }

 

        if ($request_uri ~* "(/zb_system/)") {

                set $no_cache 1;

        }

    fastcgi_cache_bypass $no_cache;

    fastcgi_no_cache $no_cache;

posted @ 2019-09-05 16:34  科子  阅读(360)  评论(0编辑  收藏  举报