Nginx配置解析
一 Nginx配置文件
1.1 Nginx主配置
Nginx主配置文件/etc/nginx/nginx.conf是一个纯文本类型的文件,整个配置文件是以区块的形式组织,通常每一个区块以一对大括号{}来表示开始与结束。
提示:若编译安装则为编译时所指定目录。
- Main位于nginx.conf配置文件的最高层;
- Main层下可以有Event、HTTP层;
- Http层下面允许有多个Server层,用于对不同的网站做不同的配置;
- Server层下面允许有多个Location,用于对不同的路径进行不同模块的配置。
#如下为全局Main配置:
[root@master conf]# cat nginx.conf #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid;
#如下为Event配置:
events { worker_connections 1024; }
#如下为http配置:
http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on; include /etc/nginx/conf.d/*.conf;
提示:通常Server配置在独立的/etc/nginx/conf.d/*.conf中,通过引用的方式调用,如下/etc/nginx/conf.d/default.conf:
server { listen 80; server_name localhost; location / { root /usr/share/nginx/html; index index.html index.htm; } error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } }
1.2 Nginx全局配置
user nginx; #进程用户 worker_processes 1; #工作进程,配合和CPU个数保持一致 error_log /var/log/nginx/error.log warn; #错误日志路径及级别 pid /var/run/nginx.pid; #Nginx服务启动的pid
1.3 Nginx events事件配置
events { worker_connections 1024; #每个worker进程支持的最大连接数 use epoll; #内核模型,select、poll、epoll }
1.4 Nginx公共配置
http { include /etc/nginx/mime.types; #指定在当前文件中包含另一个文件的指令 default_type application/octet-stream; #指定默认处理的文件类型可以是二进制 log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; #日志格式 access_log /var/log/nginx/access.log main; #访问日志 sendfile on; #优化静态资源 #tcp_nopush on; #nginx不要缓存数据,而是一段一段发送 keepalive_timeout 65; #给客户端分配连接超时时间,服务器会在这个时间过后关闭连接。 #gzip on; #压缩
1.5 Nginx server配置
Nginx必须使用虚拟机配置站点,每个虚拟主机使用一个server。
server { listen 80; #监听端口,默认80 server_name localhost; #提供服务的域名或主机名 #charset koi8-r; #access_log logs/host.access.log main; location / { #控制网站访问路径 root /usr/share/nginx/html; #存放网站的路径 index index.html index.htm; #默认访问的首页 } #error_page 404 /404.html; #错误页面 # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; #定义请求错误,指定错误代码 location = /50x.html { #错误代码重定向到新的location root html; } # another virtual host using mix of IP-, name-, and port-based configuration # #server { #server段配置 # listen 8000; # listen somename:8080; # server_name somename alias another.alias; # location / { # root html; # index index.html index.htm; # } #} # HTTPS server # #server { #server段配置 # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; #SSL证书配置 # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} }
提示:index指令中列出多个文件名,NGINX按指定的顺序搜索文件并返回它找到的第一个文件。
Nginx更多配置释义可参考:https://blog.csdn.net/tsummerb/article/details/79248015。
错误页面
[root@nginx01 ~]# vi /etc/nginx/conf.d/base.conf server { server_name base.linuxds.com; location / { root /usr/share/nginx/base; index index.html; } } server { server_name blog.linuxds.com; error_page 404 403 500 502 503 504 /baseerror.html; #配置错误页 location /baseerror.html { root /usr/share/nginx/html; } location / { root /usr/share/nginx/blog; index index.html; } location /ok { alias /usr/share/nginx/yes; index index.html; } } [root@nginx01 ~]# echo '<h1>Error</h1>' > /usr/share/nginx/html/baseerror.html [root@nginx01 ~]# nginx -t -c /etc/nginx/nginx.conf #检查配置文件 [root@nginx01 ~]# nginx -s reload #重载配置文件
三 Nginx相关安全策略
3.1 禁止htaccess
1 location ~/\.ht { 2 deny all; 3 }
3.2 禁止多个目录
1 location ~ ^/(picture|move)/ { 2 deny all; 3 break; 4 }
3.3 禁止/data开头的文件
1 location ~ ^/data { 2 deny all; 3 }
3.4 禁止单个目录
1 location /imxhy/images/ { 2 deny all; 3 }
3.5 特定允许访问
1 root /usr/share/nginx/rewrite/; 2 allow 208.97.167.194; 3 allow 222.33.1.2; 4 allow 231.152.49.4; 5 deny all; 6 auth_basic "xhy"; 7 auth_basic_user_file htpasswd;
三 Nginx相关安全策略
3.1 禁止htaccess
1 location ~/\.ht { 2 deny all; 3 }
3.2 禁止多个目录
1 location ~ ^/(picture|move)/ { 2 deny all; 3 break; 4 }
3.3 禁止/data开头的文件
1 location ~ ^/data { 2 deny all; 3 }
3.4 禁止单个目录
1 location /imxhy/images/ { 2 deny all; 3 }
3.5 特定允许访问
1 root /usr/share/nginx/rewrite/; 2 allow 208.97.167.194; 3 allow 222.33.1.2; 4 allow 231.152.49.4; 5 deny all; 6 auth_basic "xhy"; 7 auth_basic_user_file htpasswd;