Nginx优化与防盗链

Nginx优化与防盗链

配置Nginx隐藏版本号

• 隐藏Nginx版本号，避免安全泄漏
• Nginx隐藏版本号的方法
  • 修改配置文件法
  • 修改源码法

修改配置文件法

将Nginx配置文件中serrver_tokens选项的值设置为off

[root@www conf]# vi nginx.conf

关闭版本号 server_tokens off; [root@www conf]# nginx -t 重启服务，访问网站使用curl -l命令检测

修改源码法 Nginx源码文件/usrlsrc/nginx-1.12.0/src/core/ngi inx.h 包含版本信息,可以随意设置 重新编译安装，隐藏版本信息示例 #define NGINX_VERSION “1.1.1"，修改版本号为1.1.1 #define NGINX VER "lIS/"，修改软件类型为IIS 重启服务，访问网站使 用curl -I命令检测

修改Nginx用户与组 Nginx运行时进程需要有用户与组的支持，以实 现对网 站文件读取时进行访问控制 Nginx默认使用nobo dy用户账号与组账号 修改的方法 编译安装时指定用户与组修改配置文件指定用户与组

配置Nginx网页缓存时间

• 当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度
• 一般针对静态网页设置，对动态网页不设置缓存时间

配置Nginx网页缓存时间

设置方法 修改配置文件，在http段、或者server段、或者location段加入对特定内容的过期参数 示例 修改Nginx的配置文件，在location段加入expires参数

location ~\.(gifljpgljepglpng|bmpl ico)$ {
root html;
expires 1d;

实现Nginx的日志切割

• 随着Nginx运行时间增加，日志也会增加。为了方便掌握Nginx运行状态,需要时刻关注Nginx日志文件

• 太大的日志文件对监控是一个大灾难

  • 定期进行日志文件的切割

• Nginx自身不具备日志分割处理的功能，但可以通过Nginx信号控制功能的脚本实现日志的自动切割

• 通过Linux的计划任务周期性地进行日志切割

实现Nginx的日志切割

编写脚本进行日志切割的思路

• 设置时间变量 date -d "-1 day" "+%Y%m%d"

• 设置保存日志路径 d="/var/log/nginx" [ -d $d]

• 将目前的日志文件进行重命名

• 重建新日志文件 kill -USR1 $(cat $PID)

• 删除时间过长的日志文件 find $d -mtime +30 -exec rm -rf{};

• 设置cron任务，定期执行脚本自动进行日志分割

  crontab -e

  [root@www logs]# vim lopt/fenge.sh
  #!/bin/bash
  # Filename: fenge.sh
  d=$(date -d "-1 day" "+%Y%m%d")
  logs_path="/varllog/nginx"
  pid_path="/usr/local/nginx/logs/nginx.pid"
  [ -d $logs_path ] || mkdir -p $logs_path
  mv /usr/local/nginx/logsl/access.log${logs_path}/test.com-access.log-$d kill -USR1 $(cat $pid_path)
  find $logs_path -mtime +30 |xargs rm -rf
  
  

# !/ bin/ bash
#desc: this is used for cut nginx access log every day in 0:0:0#获取上一天日期
#指定日志存储目录
LOG_PATH=" /var/log/nginx"
#指定nginx服务的进程文件位置
PID_PATH=" /usr/local/nginx /logs/ nginx.pid""
#判断日志存储目录是否存在，如果不存在则创建目录[ -d $LOG_PATH ]l  mkdir -p $LOG_PATH
#分剖日志，移动日志文件并重命名
mv /usr/local/nginx/logs/access.log ${LOG_PATH}/access.log-$LAST_DAY
#重新构建新的日志文件
kill -USR1 $ (cat PID_PATH)
#删除30天之前的日志文件
find $LOG_PATH -mtime +30 -exec rm -f 

配置Nginx实现连接超时

• 为避免同一客户端长时间占用连接，造成资源浪费，可设置相应的连接超时参数,实现控制连接访问时间
• 超时参数
  • Keepalive_timeout
    • 设置连接保持超时时间
  • Client_header_timeout
  • 指定等待客户端发送请求头的超时时间
  • Client_body_timeout
    • 设置请求体读超时时间

务端会利用这个未被关闭的连接，而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。
vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 65 180;
client _header_timeout 80;
client body _timeout 80;
......
systemctl restart nginx
---------------------
keepalive_timeout
指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间，服务器将会在这个时间后关闭连接。
Nginx的默认值是65秒，有些浏览器最多只保持60秒，所以可以设定为60秒。若将它设置为0，就禁止了keepalive连接。
第二个参数（可选的）指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接，这样服务
器就不必
去关闭连接了。没有这个参数，Nginx不会发送 Keep-Alive 响应头。
client header timeout
客户端向服务端发送一个完整的 request header的超时时间。如果客户端在指定时间内没有发送一个完整的request header,
Nginx
返回HTTP 408 (Request Timed out) 。
client body timeout
指定客户端与服务端建立连接后发送request body的超时时间
如果客户端在指定时间内没有发送任何内容，Nginx返回 HTTP
408 (Request Timed out) 。

更改Nginx运行进程数 在高并发场景,需要启动更多的Nginx进程以保证快速 响应，以处理用户的请求, 避免造成阻塞 更改进程数的配置方法 修改配置文件，修改进程配置参数

更改Nginx运行进程数3-2 修改配置文件的worker_processes参数·一般设为CPU的个数或者核数 , 在高并发情况下可设置为CPU个数或者核数的2倍 增加进程数,可减少了系统的开销，提升了服务速度使用ps aux查看运行进程数的变化情况

[root@www conf]# cat /proc/cpuinfo lgrep -c "physical"4
[root@www conf]# vi nginx.confworker processes 4;
[root@www conf]# systemctl restart nginx
[root@www conf]# ps aux | grep nginx

更改Nginx运行进程数3-3

• 默认情况，Nginx的多个进程可能跑在一个CPU上，可以分配不同的进程给不同的CPU处理,充分利用硬件多核多CPU

• 在一台4核物理服务器，进行配置，将进程进行分配

[root@www conf]# vi nginx.conf
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000;

配置Nginx实现网页压缩功能

• Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
• 允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽，提升用户的访问体验，默认已经安装
• 可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

压缩功能参数: gzip on:开启gzip压缩输出 gzip_min_length 1k:设置允许压缩的页面最小字节数

gzip_buffers 4 16k:申请4个单位为16k的内存作为压缩结果流缓存，默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果 gzip_http_version 1.0:设置识别http协议版本，默认是1.1,目前大部分浏览器已经支持gzip解压，但处理较慢，也比较消耗服务器Cpu资源

压缩功能参数（续) gzip_comp_level 2:指定gzip压缩比，1压缩比最小，处理速度最快;9压缩比最大，传输速度快，但处理速度最慢 gzip_types text/plain:压缩类型，对哪些网页文档启用压缩功能 gzip_vary on:让前端缓存服务器缓存经过gzip压缩的页面

在Linux系统中，打开火狐浏览器，右击点查看元素

选择网络--->选择 HTML、wS、其他

访问http://192.168.80.10，双击200响应消息查看响应头中包含Content-Encoding: gzip

配置防盗链 vim /usr/ local/nginx/ conf/nginx.confhttp { server { location ~* l.(jpglgiflswf)${ valid_referers none blocked *.kgc.com kgc.comif ( $invalid_referer ) { rewrite ^/ http: / / www. kgc.com/error.png;#return 403; } }

~* \.(jpglgif lswf)$ :这段正则表达式表示匹配不区分大小写，
以.jpg或.gif或.swf结尾的文件;
valid referers :设置信任的网站，可以正常使用图片;
none:允许没有http refer的请求访问资源（根据Referer的定义，它的作用是指示一个请求是从哪里链接过来的，如果直接在浏
览器的地
址栏中输入一个资源的URL地址，那么这种请求是不会包含Referer 字段的)，如 http://www.kgc.com/game.jpg
我们使用http;//wn .kgc.com访问显示的图片，可以理解成http://w.kcc.com/game.jpg 这个请求是从http://ww.kcc.com这个链接过来的。
blocked:允许不是http://开头的，不带协议的请求访问资源;
*.kgc.com:只允许来自指定域名的请求访问资源，如http: / / www.kgc.com
if语句:如果链接的来源域名不在valid referers所列出的列表中，$invalid referer为true，则执行后面的操作，即进行重写或返回403页面。
网页准备:
Web源主机(192.168.80.10)配置:
cd /usr/ local/nginx/html
将game.jpg、error . png文件传到/usr/local/nginx/htm1目录下
vim index.html