Nginx模块

Nginx目录索引

Nginx默认是不允许列出整个目录浏览下载。
要求
当用户访问 http://game.nfsnobody.com/ 直接访问我们的游戏
当用户访问 http://game.nfsnobody.com/centos 跳转到我们centos的目录
如果开启了目录的索引
上传的文件,只看该文件的修改时间。
如果本地创建,则和服务器时间进行保持。
例子
autoindex on;
开启目录索引
autoindex_exact_size off;
默认为on, 显示出文件的确切大小,单位是bytes。
修改为off,显示出文件的大概大小,单位是kB或者MB或者GB。
autoindex_localtime on;
默认为off,显示的文件时间为GMT时间。
修改为on, 显示的文件时间为文件的服务器时间。
charset utf-8,gbk;
默认中文目录乱码,添加上解决乱码。
实例

[root@web01 centos]# cat /etc/nginx/conf.d/nfsnobody_game.conf 
server {
listen 80;
server_name game.nfsnobody.com;
charset utf-8,gbk;

location / {
root /nfsnobody_code;
index index.html;
}

location /centos {
autoindex on;
autoindex_localtime on;
autoindex_exact_size off;
root /nfsnobody_code;
}
}

Nginx状态监控

ngx_http_stub_status_module用于展示Nginx连接状态信息, 需要--with-http_stub_status_module模块支持
Syntax: stub_status;
Default: —
Context: server, location
2.配置Nginx status
 location /nginx_status {
    stub_status;
    access_log off;
}
使用浏览器访问http://IP/nginx_status访问后得到的结果
Active connections:2    #当前活动的连接数
server accepts handled requests
16     16     19

16          # 总的tcp连接数connection
16          # 成功tcp连接数connection(失败连接=(总连接数-成功连接数))
19          # 总共处理的http请求数requests

# keepalive_timeout 0;  每次连接都会产生一次请求(短连接)
# keepalive_timeout 60; 在60s以内的请求建立在一个连接基础之上(长连接)

Reading:2 Writing:1 Waiting: 19
Reading             #请求
Writing             #响应
Waiting             #等待的请求数,开启了keepalive

Nginx访问控制

基于IP的访问控制 http_access_module
基于用户登陆认证 http_auth_basic_module

基于IP地址

//允许配置语法
Syntax: allow address | CIDR | unix: | all;
Default:    —
Context:    http, server, location, limit_except
//拒绝配置语法
Syntax: deny address | CIDR | unix: | all;
Default:    —
Context:    http, server, location, limit_except
1.访问控制配置示例, 拒绝指定的IP, 其他全部允许
deny 10.0.0.1/32;
allow all;
2.访问控制配置示例, 只允许谁能访问, 其它全部拒绝
allow 127.0.0.1;
deny all;

基于IP地址的缺点

image.png

解决方式

1.采用HTTP头信息控制访问, 代理以及web服务开启http_x_forwarded_for
2.结合geo模块作
3.通过HTTP自定义变量传递

基于用户密码

//配置语法
Syntax: auth_basic string| off;
Default:    auth_basic off;
Context:    http, server, location, limit_except

//用户密码记录配置文件
Syntax: auth_basic_user_file file;
Default:    -
Context:    http, server, location, limit_except
1.安装hhtpd-tools,需要使用到htpaaswd这个命令生成密码
[root@web01 conf.d]# yum install httpd-tools -y
[root@web01 conf.d]# htpasswd -b -c /etc/nginx/auth_conf nfsnobody nfsnobody
2.加入需要做认证的location模块
auth_basic "Gun Dan!!!!";
auth_basic_user_file /etc/nginx/auth_conf;

用户认证局限性

1.用户信息依赖文件方式
2.用户管理文件过多, 无法联动
3.操作管理机械,效率低下

解决办法

1.Nginx结合LUA实现高效验证
2.Nginx结合LDAP利用nginx-auth-ldap模块

参考fj.nfsnobody.com

location / {
    root /code;                                 # 指定网站代码存放的位置
    autoindex on;	        # 开启目录索引
    autoindex_localtime on;	    # 开启本地服务器的时间
    autoindex_exact_size off;	    # 以人性化方式显示文件大小
    access_log off;	        # 关闭访问日志
    auth_basic "Permission denied";	    # 基础认证的描述信息
    auth_basic_user_file /etc/nginx/auth_conf;	# 基础认证密码文件位置(验证)
}

Nginx访问限制

经常会遇到这种情况,服务器流量异常,负载过大等等。对于大流量恶意的攻击访问, 会带来带宽的浪费,服务器压力,影响业务,往往考虑对同一个ip的连接数,并发数进行限制。 
ngx_http_limit_conn_module模块可以根据定义的key来限制每个键值的连接数,如同一个IP来源的连接数。

访问限制类型

limit_conn_module 连接频率限制  基于TCP连接数限制(不准) 
limit_req_module 请求频率限制    基于http请求数限制 1s 30http

http协议的连接与请求


注:客户端的IP地址作为键。
$remote_addr 变量的长度为7字节到15字节 
$binary_remote_addr 变量的长度是固定的4字节
如果共享内存空间被耗尽,服务器将会对后续所有的请求返回 503错误 (Service Temporarily Unavailable)

Nginx连接限制配置

Nginx连接限制语法
Syntax:  limit_conn_zone key zone=name:size;
Default: —
Context: http

Syntax: limit_conn zone number;
Default: —
Context: http, server, location
具体配置如下:
http {
http段配置连接限制, 同一时刻只允许一个客户端IP连接
limit_conn_zone $binary_remote_addr zone=conn_zone:10m;
    ...
    server {
    ...  

        location / {
        //同一时刻只允许一个客户端IP连接
            limit_conn conn_zone 1;
        }
压力测试
yum install -y httpd-tools
ab -n 50 -c 20  http://127.0.0.1/index.html

Nginx请求限制配置

Nginx请求限制语法
Syntax:  limit_req_zone key zone=name:size rate=rate;
Default: —
Context: http

Syntax: limit_conn zone number [burst=number] [nodelay];
Default: —
Context: http, server, location
具体配置如下:
http {
//http段配置请求限制, rate限制速率,限制一秒钟最多一个IP请求
limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;
    ...
    server {
    ...  

        location / {
        //1r/s只接收一个请求,其余请求拒绝处理并返回错误码给客户端
            limit_req zone=req_zone;
        //请求超过1r/s,剩下的将被延迟处理,请求数超过burst定义的数量, 多余的请求返回503
            #limit_req zone=req_zone burst=3 nodelay;
        }

压力测试
yum install -y httpd-tools
ab -n 50 -c 20  http://127.0.0.1/index.html

连接限制与请求限制对比

连接限制没有请求限制有效?
我们前面说过, 多个请求可以建立在一次的TCP连接之上, 那么我们对请求的精度限制,当然比对一个连接的限制会更加的有效。
因为同一时刻只允许一个连接请求进入。
但是同一时刻多个请求可以通过一个连接进入。
所以请求限制才是比较优的解决方案。

Nginx日志配置

只要出错一定要日志!!!
日志里面的每一列都是什么意思
Nginx有非常灵活的日志记录模式。每个级别的配置可以有各自独立的访问日志。日志格式 通过log_format命令定义格式。

log_format指令

# 配置语法: 包括: error.log access.log
Syntax: log_format name [escape=default|json] string ...;
Default: log_format combined "...";
Context: http

默认Nginx定义日志语法

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for"';

Nginx日志格式允许包含的变量

$remote_addr        # 记录客户端IP地址
$remote_user        # 记录客户端用户名
$time_local         # 记录通用的本地时间
$time_iso8601       # 记录ISO8601标准格式下的本地时间
$request            # 记录请求的方法以及请求的http协议
$status             # 记录请求状态码(用于定位错误信息)
$body_bytes_sent    # 发送给客户端的资源字节数,不包括响应头的大小
$bytes_sent         # 发送给客户端的总字节数
$msec               # 日志写入时间。单位为秒,精度是毫秒。
$http_referer       # 记录从哪个页面链接访问过来的
$http_user_agent    # 记录客户端浏览器相关信息
$http_x_forwarded_for #记录客户端IP地址
$request_length     # 请求的长度(包括请求行, 请求头和请求正文)。
$request_time       # 请求花费的时间,单位为秒,精度毫秒
注:如果Nginx位于负载均衡器,nginx反向代理之后, web服务器无法直接获取到客 户端真实的IP地址。
$remote_addr获取的是反向代理的IP地址。 反向代理服务器在转发请求的http头信息中,
增加X-Forwarded-For信息,用来记录客户端IP地址和客户端请求的服务器地址。

access_log指令

Syntax: access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];
access_log off;
Default: access_log logs/access.log combined;
Context: http, server, location, if in location, limit_except

Example:
server {
    ...
    access_log /var/log/nginx/www.nfsnobody.com.log;
    ...

Nginx虚拟站点

什么是虚拟站点

所谓虚拟主机,及在一台服务器上配置多个网站
如: 公司主页、博客、论坛看似三个网站, 实则可以运行在一台服务器上。
Nginx虚拟主机(多Server标签)
定义多个网站
基于IP的多网站    (毫无卵用)
基于端口的多网站   (一般)

基于域名的多网站

基于域名的多网站    (最关键)

创建web站点目录

[root@nfsnobody ~]# mkdir /soft/code/{www,bbs}
[root@nfsnobody ~]# echo "www" > /soft/code/www/index.html
[root@nfsnobody ~]# echo "bbs" > /soft/code/bbs/index.html

配置不同域名的虚拟主机

[root@nfsnobody ~]# cat /etc/nginx/conf.d/www.conf
server {
    listen       80;
    server_name  www.nfsnobody.com;
    root /soft/code/www;
    index index.html;
    ...
}
[root@nfsnobody ~]# cat /etc/nginx/conf.d/bbs.conf
server {
    ...
    listen       80;
    server_name  bbs.nfsnobody.com;
    root /soft/code/bbs;
    index index.html;
}

基于端口的配置

基于端口的多网站   (一般)
1.如果网站都是使用不同的端口访问,那使用域名和不使用域名没有什么影响。
注意:只在公司内部才会使用到。
//仅修改listen监听端口即可, 但不能和系统端口出现冲突

server {
    ...
    listen       8001;
    ...
}

server {
    ...
    listen       8002;
    ...
}

基于虚拟主机别名配置

实现用户访问多个域名对应同一个网站, 比如用户访问www.nfsnobody.com和访问nfsnobody.com内容一致

默认配置方式

[root@nfsnobody ~]# vim /etc/nginx/conf.d/www.conf
server {
    listen       80;
    server_name www.nfsnobody.com;
}
server {
    listen       80;
    server_name nfsnobody.com;
}

使用别名配置方式

[root@nfsnobody ~]# vim /etc/nginx/conf.d/www.conf
server {
    listen       80;
    server_name  www.nfsnobody.com nfsnobody.com;
    ...
}


测试访问,

带www和不带www是一样的

[root@nfsnobody ~]# curl nfsnobody.com
Go
[root@nfsnobody ~]# curl www.nfsnobody.com
Go

Nginx Location

使用Nginx Location控制访问网站规则
一个server可以有多个location配置,但多个location配置的优先级又该如何划分
Location语法规则:
location [=|^||*|!|!~*|/] /uri/ { ...
}

location优先级别

Location优先级如[]号显示

匹配符 匹配规则 优先级
= 精确匹配 1
^~ 以某个字符串开头 2
~  (常用) 区分大小写的正则匹配 3
~* (常用) 不区分大小写的正则匹配 4
!~ 区分大小写不匹配的正则 5
!~* 不区分大小写不匹配的正则 6
/ (常用) 通用匹配,任何请求都会匹配到 7

通用匹配,任何请求都会匹配到

location / {

}

实例准备测试

实例准备

[root@Nginx conf.d]# cat testserver.conf 
server {
listen 80;
server_name nfsnobody.com;

  location / {
    return 200 "location /";
  }

  location =/ {
    return 200 "location =/";
  }

  location ~ / {
    return 200 "location ~/";
  }

 # location ^~ / {
 #  return 200 "location ^~";
 # }
}

测试效果

[root@Nginx conf.d]# curl nfsnobody.com
location =/

//注释掉精确匹配=, 重启Nginx
[root@Nginx ~]# curl nfsnobody.com
location ~/

//注释掉~, 重启Nginx
[root@Nginx ~]# curl nfsnobody.com
location /

常用的匹配规则

严格区分大小写,匹配以.php结尾的都走这个location

location ~ \.php$ {
    fastcgi_pass http://127.0.0.1:9000;
}
严格区分大小写,当用户访问/.zip结尾,统统全部拒绝
location ~ \.zip$ {
    deny  all;
}
不区分大小写匹配,只要用户访问.jpg,gif,png,js,css 都走这条location
location ~* .*\.(jpg|gif|png|js|css)$ {
        root /code/nfsnobody;
        expires 7d;
        #rewrite (.*) http://cdn.nfsnobody.com$request_uri;
}

不区分大小写匹配,
location ~* "\.(sql|bak|tgz|tar.gz|.git)$" {
        return 403 "启用访问控制成功";
}   
posted on 2019-12-24 10:13  合衬-nfsnobody.com  阅读(445)  评论(0编辑  收藏  举报