Nginx 优化与防盗链

于 2024-06-10 16:02:56 发布
阅读量943 收藏 11
点赞数 18
CC 4.0 BY-SA版权
文章标签: nginx java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lxplxplike/article/details/139394414

一.Nginx服务优化

1.配置Nginx隐藏版本号

隐藏Nginx版本号,避免安全漏洞泄露

Nginx隐藏版本号的方法

(1)修改配置文件法

 cd /usr/local/nginx/conf/
vim nginx.conf

server_tokens off;

systemctl reload nginx.service
curl -I http://192.168.10.10

(2)修改源码法

cd nginx-1.26.0/src/core/
vim nginx.h

cd nginx-1.26.0/
make -j 4 && make install

cd /usr/local/nginx/conf/
vim nginx.conf


[root@localhost conf]# systemctl restart nginx.service 
[root@localhost conf]# curl -I http://192.168.10.10

2.修改Nginx用户和组

Nginx运行时进程需要有用户与组的支持,以实现对网站文件读取时进行访问控制

Nginx默认使用nobody用户账号与组账号

修改的方法:

(1)编译安装时指定用户与组

 ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module && make && make install      
 # --user指定用户, --group指定组

(2)修改配置文件指定用户与组

vim /usr/local/nginx/conf/nginx.conf

3.配置网页缓存时间

vim /usr/local/nginx/conf/nginx.conf

cd /usr/local/nginx/html
vim test.html

<html>
<body>
<h1>this is test</h1>
</body>
</html>

http://192.168.10.10/test.html

4.Nginx 的日志分割

#!/bin/bash
#该脚本用于分隔nginx日志
 
#定义变量获取当前时间前一天的时间格式
YESTERDAY=$(date -d "-1 day" "+%Y%m%d")
 
#定义变量存放分隔日志的目录
LOGPAATH=/var/log/nginx
 
#定义变量指定nginx的家目录
NGINX_HOME=/usr/local/nginx
 
#定义PID文件路径
PIDPATH=$NGINX_HOME/logs/nginx.pid
 
#判断保存日志的目录是否存在,不存在则创建目录
[ -d $LOGPAATH ] || mkdir -p $LOGPAATH
 
#使用m命令进行日志分割,移动日志文件到专门保存日志的目录中,并在文件后
缀添加时间标记
mv $NGINX_HOME/logs/access.log $LOGPAATH/access.log_$YESTERDAY
mv $NGINX_HOME/logs/error.log $LOGPAATH/error.log_$YESTERDAY
 
#使用kill -USR1 使nginx生成新的日志文件,用于后续的日志记录
kill -USR1 $(cat $PIDPATH)
 
#使用find -mtime 选项查找超过90天以前的旧日志文件并删除,用来释放磁盘>空间
find $LOGPAATH -mtime +90 -delete

 ./nginx_log.sh 
 ls /usr/local/nginx/logs/ -l

内容被清空到指定分隔日志中

5.Nginx实现连接超时

HTTP有一个KeepAlive模式

它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。

keepalive_timeout

指定KeepAlive的超时时间(timeout)。指定一个长连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。
第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头。

client_header_timeout

客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。

client_body_timeout

指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。

vim /usr/local/nginx/conf/nginx.conf
    #keepalive_timeout  0;
    keepalive_timeout  60 55;      
#第一个60代表服务器端主动断开连接保持时间,第二个55代表客户端

主动断开连接保持时间
    keepalive_requests  100;       #一个长连接中最多允许的连接数
    client_header_timeout 80;     
    client_body_timeout 80;

[root@localhost ~]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@localhost ~]# systemctl restart nginx.service

6.Nginx 运行进程数

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

worker_processes  auto;  auto自动获取和内核数量相同

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf

worker_processes  auto; 
worker_cpu_affinity 01 10;  #为两核cpu绑定进程

7.Nginx网页压缩

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
    gzip on;                        #取消注释,开启gzip压缩功能
    gzip_min_length 1k;              #最小压缩文件大小,小于设置值的文件将不会压缩
    gzip_buffers 4 16k;              #压缩缓冲区,这里设置以16k为单位,按照原始数据大小以16k为单位的4倍申请内存
    gzip_http_version 1.1;           #用于识别HTTP协议版本
    gzip_comp_level 5;               #压缩比率,压缩比例由低到高从1到9,默认为1,在生产环境中一般设置该参数的值在3~5之间,最好不要超过5
    gzip_vary on;                    #支持前端缓存服务器存储压缩页面
    gzip_disable "MSIE [1-6]\.";    #配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip(因为ie低版本不支持)
    gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json;    #压缩类型,表示哪些网页文档启用压缩功能
...... 
}

实现网页图片的压缩

http_image_filter_module是Nginx提供的集成图片处理模块,可以用于实时缩放图片,旋转图片,验证图片有效性以及获取图片宽高以及图片类型信息
 

yum install -y gd-devel          
 #yum在线源安装gd-devel,http_image_filter_module模块需要依赖gd-devel的支持
 
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_image_filter_module 
make && make install
 
vim /usr/local/nginx/conf/nginx.conf
http {
   .... 
   gzip on;
   gzip_types text/plain .... image/jpeg image/gif image/png;      
 #将图片类型文件压缩加入gzip
   ....
	server {
	....
		location ~* \.(jpg|gif|png)$ {
			image_filter resize 200 200;		
#按等比例缩小图像的宽或高至指定大小。如果只想设置一个维度,另一维可以指定为:“-”
		}										
#(如果长>宽就以长为标准,宽为比例;如果长<宽就以宽为标准,长为比例)
    }
}

之后图片就可以实现缩小了

8.防盗链设置

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	......
		location ~* \.(jpg|gif|swf)$ {
			valid_referers none blocked *.kgc.com kgc.com;
			if ( $invalid_referer ) {
				rewrite ^/ http://www.kgc.com/error.png;
				#return 403;
            }
        }
	......
	}
}
 
~* \.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;
valid_referers :设置信任的网站,可以正常使用图片;
none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的),如 http://www.kgc.com/game.jpg
我们使用 http://www.kgc.com 访问显示的图片,可以理解成 http://www.kgc.com/game.jpg 这个请求是从 http://www.kgc.com 这个链接过来的。
blocked:允许不是http://开头的,不带协议的请求访问资源; 
*.kgc.com:只允许来自指定域名的请求访问资源,如 http://www.kgc.com
 
if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。

使用另一台虚拟机模拟盗链

 二.总结

1.nginx优化

nginx应用配置文件的优化:
nginx的性能优化
开启网页压缩           gzip on;
页面缓存               expires 缓存时间;
连接保持超时           keepalive_timeout  服务端超时时间  客户端超时时间;
设置工作进程数         work_processes  与服务器CPU数量相同或auto
设置工作进程连接数     worker_connections    worker_rlimit_nofile
工作进程静态绑核       worker_cpu_affinity
开启高效文件传输模式   sendfile on;   tcp_nopush on;    tcp_nodelay on;
IO多路复用             use epoll;
连接优化               multi_accept on;(一个进程同时接受多个网络连接)    accept_mutex on;(以串行方式接入新连接,防止惊群现象发生)

nginx的安全优化
隐藏版本号             server_tokens off;      修改源代码 nginx.h
防盗链                 valid_referers   if ($invalid_referer) {rewrite ....}  rewrite地址重写
访问控制               deny/allow
设置运行用户/组        user 用户名 组名;
限制请求数             limit_req_zone   limit_req
限制连接数             limit_conn_zone  limit_conn

日志分割               shell脚本 + crontab

2.系统内核优化

/etc/sysctl.conf   内核参数配置文件
#用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1        表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1          表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1        表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30      修改MSL值,系统默认的TIMEOUT时间

#如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
net.ipv4.tcp_keepalive_time=1200           #当keepalive启用时,TCP发送keepalive探测消息的频率,确认客户端是否断网
net.ipv4.ip_local_port_range=1024 65535    #用于向外连接的端口范围。缺省情况下很小,为32768 60999
net.ipv4.tcp_max_syn_backlog=8192          #SYN队列长度,默认为1024,加大队列长度为8192,可容纳更多等待连接的网络连接数
net.ipv4.tcp_max_tw_buckets=5000           #表示系统同时保持TIME WAIT的最大数量
net.core.somaxconn=65535                   #一个端口能够监听的最大连接数

#如果需要IP路由转发
net.ipv4.ip_forward=1


/etc/security/limits.conf   内核资源限制文件
* 	soft 	noproc			65535         打开系统进程数
* 	hard 	noproc			65535
* 	soft 	nofile			65535         进程打开文件数
* 	hard 	nofile			65535

3.你用过哪些nginx模块

http_stub_status_module       访问状态统计模块
http_gzip_module              网页压缩模块
http_rewrite_module           URL地址重写模块
http_ssl_module               https安全加密模块
http_auth_basic_module        网页用户认证模块
http_fastcgi_module           fastcgi转发模块
http_image_filter_module      图片处理模块
http_mp4/flv_module           mp4/flv视频格式模块
http_limit_req_module         限制请求数模块
http_limit_conn_module        限制连接数模块
http_proxy_module             代理转发模块
http_upstream_*_module        负载均衡模块
stream                        四层代理转发模块
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值