Linux系统架构----Nginx的服务优化

Linux系统架构----Nginx的服务优化

一.隐藏版本号

  • 在生产环境中,需要隐藏Nginx的版本号,以免泄露Nginx的版本,使得攻击者不能针对特定版本进行攻击

查看Nginx的版本有两种方法

  • 使用fiddler工具抓取数据包,查看Nginx版本

  • 在Centos7上使用使用命令 curl -I 查看

隐藏Nginx版本号也有两种方法

  • 修改Nginx的源码文件,指定不显示版本号

  • 修改Nginx的主配置文件

隐藏版本号操作

  • 修改源码文件

    [root@server1 ~]# curl -I 10.1.1.172
    HTTP/1.1 200 OK
    Server: nginx/1.14.1 ##版本号
    Date: Sat, 09 Mar 2024 11:27:40 GMT
    Content-Type: text/html
    Content-Length: 4057
    Last-Modified: Mon, 07 Oct 2019 21:16:24 GMT
    Connection: keep-alive
    ETag: "5d9bab28-fd9"
    Accept-Ranges: bytes

    ##修改配置
    [root@server2 ~]# vim /etc/nginx/nginx.conf
    ...
    http {
    include mime.types;
    default_type application/octet-stream;
    server_tokens off;
    ...
    [root@server2 ~]# systemctl restart nginx.service

  • 验证是否隐藏版本号

    [root@server1 ~]# curl -I 10.1.1.172
    HTTP/1.1 200 OK
    Server: nginx
    Date: Sat, 09 Mar 2024 11:31:19 GMT
    Content-Type: text/html
    Content-Length: 4057
    Last-Modified: Mon, 07 Oct 2019 21:16:24 GMT
    Connection: keep-alive
    ETag: "5d9bab28-fd9"
    Accept-Ranges: bytes

二.修改用户和组

  • Nginx在运行时进程需要有用户和组的支持,用于实现对网站读取时的进行访问控制
  • 主进程由root创建,子进程有指定的用户与组创建
  • Nginx默认使用nobody用户账户和组账号

修改Nginx用户和组有两种方法

  • 在编译安装时指定的用户与组

  • 修改配置文件

修改用户和组操作

  • 编译时指定用户和组

    #创建用户,不建立宿主文件,且不能再shell上登录
    useradd -M -s /sbin/nologin nginx
    #配置,安装且编译
    cd /opt/nginx-1.12.2/
    ./configure
    --prefix=/usr/local/nginx
    --user=nginx \ //指定用户名为nginx
    --group=nginx \ //指定组名为nginx
    --with-http_stub_status_module

  • 修改Nginx的配置文件nginx.conf指定用户和组

    [root@server2 ~]# vim /etc/nginx/nginx.conf
    ...
    user nginx;
    worker_processes auto;
    error_log /var/log/nginx/error.log;
    pid /run/nginx.pid;
    ...

  • 查看Nginx进程运行情况

    [root@server2 ~]# ps aux |grep nginx
    root 25282 0.0 0.0 119160 2176 ? Ss 19:30 0:00 nginx: master process /usr/sbin/nginx
    nginx 25283 0.0 0.2 151852 8140 ? S 19:30 0:00 nginx: worker process
    nginx 25284 0.0 0.2 151852 8140 ? S 19:30 0:00 nginx: worker process
    nginx 25285 0.0 0.2 151852 8140 ? S 19:30 0:00 nginx: worker process
    nginx 25286 0.0 0.2 151852 8140 ? S 19:30 0:00 nginx: worker process
    root 25291 0.0 0.0 12348 1036 pts/2 S+ 19:35 0:00 grep --color=auto nginx

三.配置网页缓存时间

  • 当Nginx将网页数据返回给给客户端之后,可以设置缓存的时间,方便下次再浏览相同的内容时直接返回,避免重复请求,加快访问速度,一般只针对静态资源设置,对于动态网页不用设置缓存时间

  • 在Nginx服务中,expires参数指定缓存时间

  • 当没有设置expires参数时,使用Fiddler进行抓包

    [root@server2 ~]# vim /etc/nginx/nginx.conf
    location ~ .php$ {
    proxy_pass http://10.1.1.171;
    expires 1d; ##添加此处代码
    }

四.日志分割

  • Nginx没有类似于Apache的cronlog日志分割处理功能,但是可以通过Nginx的信号控制功能脚本来实现日志的自动分割,并且将脚本加入到Linux的计划任务中去,让脚本在每天固定的时间执行,便可以实现切割功能

  • 编写脚本进行日志切割的思路

  • 设置时间变量

  • 设置保存日志路径将目前的日志文件进行重命名

  • 删除时间过长的日志文件

  • 设置cron任务,定期执行脚本自动进行日志分割

    [root@server2 ~]# vim /opt/fenge.sh
    #!/bin/bash
    d=$(date -d "-1 day" "+%Y%m%d")
    logs_path="/var/log/nginx"
    pid_path="/run/nginx.pid"
    [ -d $logs_path ] || mkdir -p $logs_path //创建日志文件目录
    mv /var/log/nginx/access.log {logs_path}/test.com-access.log-d ##移动且重命名日志文件
    kill -USR1 $(cat $pid_path) ##重建新的日志文件
    find $logs_path -mtime +30 |xargs rm -rf ##删除30天之前的日志文件

执行分割脚本

[root@server2 opt]# bash fenge.sh 
[root@server2 opt]# ls /var/log/nginx/  ##查看日志文件
access.log  error.log  test.com-access.log-20240308
##修改日期
[root@server2 opt]# date
2024年 03月 09日 星期六 20:10:00 CST
[root@server2 opt]# date -s 2024-03-12
2024年 03月 12日 星期二 00:00:00 CST
[root@server2 opt]# ls /var/log/nginx/
access.log  error.log  test.com-access.log-20240308  test.com-access.log-20240311
###设置crontab任务,每天零点执行脚本
[root@server2 ~]# crontab -e
no crontab for root - using an empty one
crontab: installing new crontab
[root@server2 ~]# crontab -l
0 0 * * * /opt/fenge.sh

五.设置连接超时

  • 在企业网站中为了避免同一个客户长时间占用连接,造成资源浪费,可以设置相应的连接超时参数,实现对连接访问时间的控制,可以修改配置文件nginx.conf,设置keepalive_timeout超时时间

  • 具体操作如下

    keepalive_timeout 65 180;
    //第一个参数指定了与客户端的keep-alive连接超时时间,服务器将会在这个时间后关闭连接
    //第二个参数指定了在响应头Keep-Alive_timeout中的time值,这个头能够让一些浏览器主动关闭连接,这样服务器就不必关闭连接。如果没有这个参数,Nginx将不会发送Keep_Alive响应头
    client_header_timeout 80;
    //指定等待客户端发送请求头的超时时间
    client_body_timeout 80;
    //指定请求体读的超时时间

相关推荐
watermelonoops1 小时前
Deepin和Windows传文件(Xftp,WinSCP)
linux·ssh·deepin·winscp·xftp
疯狂飙车的蜗牛2 小时前
从零玩转CanMV-K230(4)-小核Linux驱动开发参考
linux·运维·驱动开发
恩爸编程3 小时前
探索 Nginx:Web 世界的幕后英雄
运维·nginx·nginx反向代理·nginx是什么·nginx静态资源服务器·nginx服务器·nginx解决哪些问题
远游客07134 小时前
centos stream 8下载安装遇到的坑
linux·服务器·centos
马甲是掉不了一点的<.<4 小时前
本地电脑使用命令行上传文件至远程服务器
linux·scp·cmd·远程文件上传
jingyu飞鸟4 小时前
centos-stream9系统安装docker
linux·docker·centos
努力--坚持5 小时前
电商项目-网站首页高可用(一)
nginx·lua·openresty
超爱吃士力架5 小时前
邀请逻辑
java·linux·后端
cominglately7 小时前
centos单机部署seata
linux·运维·centos
魏 无羡7 小时前
linux CentOS系统上卸载docker
linux·kubernetes·centos