nginx优化与防盗链

nginx服务优化

系统内核级别的优化：

/ete/security/limits.conf内核限制文件

*     soft    noproc          65535        打开的进程数
*     hard    noproc          65535
*     soft    nofile          65535        打开的文件数
*     hard    nofile          65535         
*     soft    memlock         unlimited    不做内存锁定
*     hard    memlock         unlimited

你常用的Nginx模块，用来做什么

rewrite模块:实现重写功能
access模块:来源控制
ssl模块:安全加密
ngxhttp_gzipmodule:网络传输压缩模块
ngx_http_proxy_module:模块实现代理
ngx_httpupstreammodule:模块实现定义后端服务器列表
ngxcache_purge:实现缓存清除功能

用过哪些nginx模块？

http_gzip_module #网页压缩模块

http_stup_status_module #状态统计模块

http_auth_basic_module #网页用户认证模块

http_fastcgi_module #fastcgi#转发php-fpm的模块

http rewrite module #URL重气模块

http ssl module #https安全加密模块

http limit conn module #限制最人连接数模块

一、配置nginx隐藏版本号,避免安全漏洞

如何显示版本号：

crul -I（大i）  ip地址
​
         server：系统和版本号

1.修改配置文件方式

vim /usr/local/nginx/conf/nginx.conf       #进入nginx主配置文件
http {
    include       mime.types;
    default_type  application/octet-stream;
添加配置项：    server_tokens off;             #隐藏版本号信息
    ......
}
​
nginx -t#检查配置文件
systemctl restart nginx#重载nginx

2.修改源代码

vim /opt/nginx-1.12.0/src/core/nginx.h          #nginx源码文件
​
#define NGINX_VERSION "1.1.1"                   #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION           #修改服务器类型

退到nginx软件包目录中重新进行编译安装

cd /opt/nginx-1.12.0/

./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module

make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;    #将此配置项打开或者注释掉，显示版本号
    ......
}
​

systemctl restart nginx
curl -I ip检查版本号

二、修改用户与组

1.编译安装时--user（指定用户）和--group（指定用户组）

2.修改配置文件

vim /usr/local/nginx/conf/nginx.conf

ser nginx nginx;           #取消注释，修改用户为 nginx ,组为 nginx
​
systemctl restart nginx
​
ps aux | grep nginx
​

三、配置nginx网页缓存时间

• 当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度。

• 一般针对静态网页设置，对动态网页不设置缓存时间

配置方法：修改Nginx的配置文件，在location段加入expires 参数

修改配置文件vim /usr/local/nginx/conf/nginx.conf

vim /usr/local/nginx/conf/nginx.conf
http {
......
    server {
    ......
        location / {
            root html;
            index index.html index.htm;
        }
​
        location ~\.(gif|jpg|jepg|png|bmp|ico)$ {      #加入新的 location，以图片作为缓存对象
            root html;                           #存放图片位置
            expires 1d;                          #指定缓存时间，1天1day
        #只要是以gif|jpg|jepg|png|bmp|ico为结尾的路径，就会呗location匹配到，从html目录中获取到网页的静态内容，并且让浏览器缓存这些资源一天
        }
......
    }
}
​
​
nginx -t#检查nginx配置文件修改是否有误
systemctl restart nginx

四、实现nginx的日志分割

日志分割：脚本+crontab

编写脚本进行日志切割的思路

vi /opt/fenge.sh
#!/bin/bash
# Filename: fenge.sh               #注释信息
#设置变量
day=$(date -d "-1 day" "+%Y%m%d")  #显示前一天的时间
logs_path="/var/log/nginx"         #nginx日志目录
pid_path="/usr/local/nginx/logs/nginx.pid"#nginx的pid文件的路径
​
[ -d $logs_path ] || mkdir -p $logs_path 
#-d，判断日志文件目录是否存在，如果不存在则创建日志文件目录
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-$day
#移动并重命名日志文件
kill -USR1 $(cat $pid_path)
#重建新日志文件
find $logs_path -mtime +30 -exec rm -rf {} ;
#删除30天之前修改过的日志文件
（mtime：，ctime，atime）
chmod +x /opt/fenge.sh
​
------------------------------
/opt/fenge.sh
ls /var/log/nginx
ls /usr/local/nginx/logs/access.log 
​
crontab -e
0 0 * * * /opt/fenge.sh      #使用分时日月周，每天的0点0分做日志分割

补充(ctime/atime/mtime)

在linux操作系统中，每个文件都有很多的时间参数，其中有三个比较主要，分别是
​
ctime,atime,mtime
​
ctime
修改文件属性时间
atime
访问文件的时间
mtime
修改文件内容时间

五、连接超时

• HTTP有一个KeepAlive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。

• KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。

vim /usr/local/nginx/conf/nginx.conf
​
http {
...... 
    keepalive_timeout 60 60;  
         #指定一个长连接最多可以保持多长时间,若将它设置为0，代表关闭长连接,第一个60是指服务器的超时时间，第二个是指客户端的超时时间
 
    keepalive_requests 100;      #指定一个长连接中最多允许的请求数
​
   client_header_timeout 80;     #用于去指定客户端向服务端发送的完整的请求头的超时时间
​
   client_body_timeout 80;       #指定客户端与服务端建立连接后发送的请求体的超时时间
...... 
}
​
systemctl restart nginx       #重启nginx

六、更改nginx运行进程数

修改配置文件的worker_processes参数

• 一般设为cpu的个数或核数

• 在高并发的情况下课设置为cpu个数或者核数的2倍

cat /proc/cpuinfo | grep -c "physical id"   #查看cpu核数
ps aux | grep nginx #查看nginx主进程中包含几个子进程

vim /usr/local/nginx/conf/nginx.conf

worker_processes  2;                #修改为核数相同或者2倍
worker_cpu_affinity 01 10;          #设置每个进程由不同cpu处理，进程数配为4时0001 0010 0100 1000
​
worker_rlimit_nofile 63335;        #配置最大并发量

systemctl restart nginx

七、配置网页压缩

vim /usr/local/nginx/conf/nginx.conf http { ...... gzip on; #配置前取消注释，开启gzip压缩功能

 #添加配置选项：
​
   gzip_min_length 1k;              #最小压缩文件大小
   gzip_buffers 4 64k;               #压缩缓冲区，大小为4个64k缓冲区
   gzip_http_version 1.1;       #压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
   gzip_comp_level 6;               #压缩比率
   gzip_vary on;                         #支持前端缓存服务器存储压缩页面
​
   gzip disable"MSIE[1-6]\.";
#配置禁用gzip条件，支持正则。此处表示ie6及以下不启用gzip(因为ie低版本不支持)

cd /usr/local/nginx/html
​
先将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
​
...... 
<img src="game.jpg"/>       #网页中插入图片
</body>
</html>

systemctl restart nginx

八、配置防盗链

防盗链：rewrite

vim /usr/local/nginx/conf/nginx.conf
http {
......
    server {
    ......
        location ~* \.(jpg|gif|swf)$ {
            valid_referers none blocked *.kgc.com kgc.com;#可信任的站点路径
            if ( $invalid_referer ) {
                rewrite ^/ http://www.kgc.com/error.png;
                #return 403;
            }
        }
    ......
    }
}