文章目录
一、隐藏版本号
nginx服务开启之后,在网页访问时,按F12键,就可以看到nginx的版本号,这样安全性不够高,我们可以通过隐藏版本号或者修改版本名称来进行提高安全性。
方法一:隐藏版本号
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; #添加,关闭版本号
......
}
systemctl restart nginx #重启服务
curl -I http://20.0.0.55 #查看版本号
通过网页查看版本信息
方法二:修改源码文件,重新编译
vim /opt/nginx-1.12.2/src/core/nginx.h
12 #define nginx_version 1012002
13 #define NGINX_VERSION "9.9.9" #安装的版本号
14 #define NGINX_VER "nginx/" NGINX_VERSION #修改服务器类型
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module #检查环境,设置目录,模块
make #编译(不用安装,安装的话,会将以前的全部覆盖到)
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_old #备份以前的nginx
cp objs/nginx /usr/local/nginx/sbin/ #复制新编译的
systemctl restart nginx #重启服务
修改配置文件
进行检查环境,设置模块,进行编译
将编译的nginx复制到安装路径中
修改nginx的配置文件
查看版本信息
网页验证
二、修改用户和组
vim /usr/local/nginx/conf/nginx.conf
user nginx nginx;
systemctl restart nginx
ps aux |grep nginx #主进程由root创建,子进程由nginx创建
三、缓存时间
缓存时间表示,当客户端访问nginx服务器时,可以设置缓存时间,假如设置了1天。表示客户端再一天内访问该页面,将不会再向nginx服务器发送连接请求,而是直接从自己的缓存中读取就行,超过一天,就需要重新申请连接,可以设置天,时,分等。
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location / {
root html;
index index.html index.htm;
}
location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { #加入新的 location,以图片作为缓存对象
root html;
expires 1d; #指定缓存时间,1天
}
......
}
}
进入配置文件进行修改,添加location,包含图片结尾的格式都可识别。
将图片添加到指定的目录
网页验证访问
Cahce-Control:max-age=86400 表示缓存时间是 86400 秒。也就是缓存一天的时间,一天之内浏览器访问这个页面,都是用缓存中的数据,而不需要向 Nginx 服务器重新发出请求,减少了服务器的使用带宽。
四、日志切割
date命令
date :可查看系统的当前时间
date -s 【时间】 :可以修改系统的时间
vim /fenge.sh
#!/bin/bash
d=$(date -d "-1 day" "+%Y%m%d") #显示前一天的时间
logs_path="/var/log/nginx"
pid_path=`cat /usr/local/nginx/logs/nginx.pid`
[ -d $logs_path ] || mkdir -p $logs_path #创建日志文件目录
#移动并重命名日志文件
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-{$d}
#重建日志文件
kill -USR1 $pid_path
#删除30天前的日志文件
find $logs_path -mtime +30 -exec rm -rf {} \;
#find $logs_path -mtime +30 |xargs rm -rf
设置成周期性任务,日志将会不断累加。超过30天的会被删除
atime (access time) #最后一次访问文件或目录的时间
mtime (modify time) #最后一次修改文件或目录(内容)的时间
ctime (change time) #最后一次改变文件或目录(属性)的时间
五、连接超时
keepalive_timeout(tcp连接三次握手的超时时间)
- 指定keepalive的超时时间(timeout),指定每个TCP连接最多可保持多长时间,服务器将会在这个时间后关闭连接,nginx的默认值是65秒,有些浏览器最多只保持60秒,所以可设定为60秒,若将它设置为0,就禁止了keepalive连接。
- 第二个参数(可选的)指定了再相应头keep-alive:timeout=time中的time值。这个头能让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,nginx不会发送keep-alive相应头。
client_header_timeout(客户端请求头的超时时间)
- 客户端向服务器发送一个完整的request header(请求头)的超时时间,如果客户端再指定时间内没有发送一个完整的request header,nginx返回httpd408的返回码(request timed out:请求超时)
clent_body_timeout(客户端请求体的超时时间)
- 指定客户端与服务器建立连接后发送request body的超时时间,如果客户端在指定时间内没有发送任何内容,nginx返回HTTPD408(request timed out)
vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 65 180; #指定每个tcp连接超时时间内65秒
client_header_timeout 80; #请求头的超时时间为80秒
client_body_timeout 80; #请求体的超时时间为80秒
......
}
systemctl restart nginx
网页查看超时时间
六、更改进程数
在高并发场景,需要启动更多的nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞
cat /proc/cpuinfo |grep -c "physical id" #查看cpu核数
ps aux |grep nginx #查看nginx主进程中包含几个子进程
vim /usr/local/nginx/conf/nginx.conf
worker_processes 2; #修改为核数相同或者2倍
worker_cpu_affinity 01 10; #设置每个进程由不同cpu处理,进程数配为4时0001 0010 0100 1000
systemctl restart nginx #重启nginx服务
创建工作进程
查看进程数
七、配置网页压缩
vim /usr/local/nginx/conf/nginx.conf
http {
......
gzip on; #取消注释,开启gzip压缩功能
gzip_min_length 1k; #最小压缩文件大小
gzip_buffers 32k; #压缩缓冲区,大小为4个32k缓冲区
gzip_http_version 1.1; #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
gzip_comp_level 6; #压缩比率(1:压缩比最小,压缩速度最快,9:压缩比大,压缩速度慢。传输速度快。比较消耗cpu资源)
gzip_vary on; #支持前端缓存服务器存储压缩页面
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json; #压缩类型,表示哪些网页文档启用压缩功能
......
}
cd /usr/local/nginx/html
#先将123.jpg文件传到/usr/local/nginx/html目录下
vim index.html
......
<img src="game.jpg"/> #网页中插入图片
</body>
</html>
systemctl restart nginx
网页访问验证
八、配置防盗链
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location ~*\.(jpg|gif|swf)$ {
valid_referers *.ydq.com ydq.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.ydq.com/error.png;
#return 403;
}
}
......
}
}
~* .(jpg|gif|jepg|bmp|ico)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;
valid_referers :设置信任的网站,可以正常使用图片;
后面的网址或者域名 :referer 中包含相关字符串的网址;
if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为1,则执行后面的操作,即进行重写或返回 403 页面。
1、Web源主机(20.0.0.55)
cd /usr/local/nginx/html
将kiki.jpg、error.png文件传到/usr/local/nginx/html目录下
vim index.html
......
<img src="123.jpg"/>
</body>
</html>
echo "20.0.0.55 www.ydq.com" >> /etc/hosts
echo "20.0.0.56 www.haha.com" >> /etc/hosts
2、盗链网站主机(20.0.0.56)
cd /usr/local/nginx/html
vim index.html
......
<img src="http://www.ydq.com/123.jpg"/>
</body>
</html>
echo "20.0.0.55 www.ydq.com" >> /etc/hosts
echo "20.0.0.56 www.haha.com" >> /etc/hosts
3、导图网站主机(20.0.0.56)进行浏览器验证
九、fpm优化
cd /usr/local/php/etc/
cp php-fpm.conf.default php-fpm.conf
vim php-fpm.conf
pid = run/php-fpm.pid
vim /usr/local/php/etc/php-fpm.d/www.conf
#96行
pm = dynamic #fpm进程启动方式,动态的
#107行
pm.max_children=20 #fpm进程启动的最大进程数
#112行
pm.start_servers = 5 #动态方式下启动时默认开启的进程数,在最小和最大之间
#117行
pm.min_spare_servers = 2 #动态方式下最小空闲进程数
#122行
pm.max_spare_servers = 8 #动态方式下最大空闲进程数
#启动php-fpm,不可用于重启
/usr/local/php/sbin/php-fpm -c /usr/local/php/lib/php.ini
#执行第一个命令后,就可以使用下面这条命令查看pid号重启php-fpm
kill -USR2 `cat /usr/local/php/var/run/php-fpm.pid`
netstat -anpt | grep 9000
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/75036.html
