文章目錄
-
- 一、隐藏版本号
-
-
- (一)、如何檢視版本号
- (二)、隐藏Nginx版本号配置指令
-
- 二、修改使用者群組
- 三、配置緩存時間
- 四、日志分割
- 五、連接配接逾時
- 六、更改程序數
- 七、配置網頁壓縮
- 八、防盜鍊
- 九、FPM參數優化
一、隐藏版本号
(一)、如何檢視版本号
- 使用 Fiddler 工具抓取資料包,檢視 Nginx版本
- 在 CentOS 中使用指令
curl -I 加網址
使用率超高!!Nginx優化與防盜鍊相關配置
(二)、隐藏Nginx版本号配置指令
在生産環境中,需要隐藏Ngnx的版本号,以避免安全漏洞的洩漏
nginx隐藏版本号的方法
- 修改配置檔案法
- 修改源碼法
方法一:
Nginx的配置檔案中的 server_tokens選項的值設定為off
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; ##添加,關閉版本号
}
systemctl restart nginx
curl -I http://192.168.200.50/ ##檢視版本号
或者
方法二:
修改源碼檔案,重新編譯安裝
vim /opt/nginx-1.12.0/src/core/nginx.h
#define nginx_version 1012000
#define NGINX_VERSION "1.0.0" #第13行,修改版本号,将原始的1.12.0修改為1.0.0
#define NGINX_VER "IIS" NGINX_VERSION #第14行,修改伺服器類型,将原始的Nginx修改為IIS
#重新編譯安裝
cd /opt/nginx-1.12.0
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module
make && make install
#将方法一中關閉的版本号重新打開
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on; #打開
#重新開機服務
systemctl restart nginx.service
#檢視版本号是否隐藏
curl -I http://192.168.182.11/
二、修改使用者群組
方法一:編譯安裝時更改,之前我們都是指定的,這裡就不示範了。
具體安裝請看部落格:企業常用的Nginx網站服務相關配置——極其詳細
方法二:如果在編譯安裝時沒有指定使用者群組,可以修改配置檔案
vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; #将前面的#注釋掉,然後修改使用者與組為nginx
systemctl restart nginx.service
ps aux | grep nginx #檢視使用者與組是否修改成功
#主程序由root建立,子程序由nginx建立
三、配置緩存時間
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on;
......
location / {
root html;
index index.html index.htm;
}
location ~ \.(gif|jpg|jepg|bmp|ico)$ { #複制上面4行并修改
root html;
expires 1d; #設定緩存時間為1天
}
cd /usr/local/nginx/html/ #需要添加張圖檔在nginx首頁中
[[email protected] html]#ls
50x.html error.png.0 game.jpg.0
error.png game.jpg index.html
使用浏覽器直接通路game.jpg圖檔
http://192.168.182.11/game.jpg
在Linux系統中,打開火狐浏覽器,右擊點檢視元素
選擇 網絡 —> 選擇 HTML、WS、其他
通路http://192.168.1182.11/,輕按兩下200響應消息檢視響應頭中包含 Cahce-Control:max-age=86400 表示緩存時間是 86400 秒。也就是緩存一天的時間,一天之内浏覽器通路這個頁面,都是用緩存中的資料,而不需要向 Nginx 伺服器重新送出請求,減少了伺服器的使用帶寬。
四、日志分割
vim /opt/fenge.sh
#!/bin/bash
#設定變量
#設定顯示前一天的時間的變量
d=$(date -d "-1 day" "+%F")
logs_path="/var/log/nginx"
pid_path=`cat /usr/local/nginx/logs/nginx.pid`
#建立日志檔案目錄
[ -d $logs_path ] || mkdir -p $logs_path
#移動并重命名日志檔案
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-{$d}
#重建日志檔案
kill -USR1 $pid_path
#删除30天前的日志檔案
find $logs_path -mtime +30 -exec rm -rf {} \;
#find $logs_path -mtime +30 |xargs rm -rf
source fenge.sh
ls /var/log/nginx #檢視日志是否成功分割
ls /usr/local/nginx/logs/ #檢視日志檔案是否重建立立
crontab -e 檢視都沒問題,就設定周期任務,在服務浏覽量少的時候執行日志分割,防止影響使用者體驗
0 1 * * * /opt/fenge.sh
補充
在linux作業系統中,每個檔案都有很多的時間參數,其中有三個比較主要,分别是ctime, atime,mtime
-
ctime (status time):
當修改檔案的權限或者屬性的時候,就會更新這個時間, ctime并不是create time,更像是change time,隻有當更新檔案的屬性或者權限的時候才會更新這個時間,但是更改内容的話是不會更新這個時間。
-
atime (accesstime):
當使用這個檔案的時候就會更新這個時間。
-
mtime (modification time):
當修改檔案的内容資料的時候,就會更新這個時間,而更改權限或者屬性,mtime不會改變,這就是和ctime的差別。
五、連接配接逾時
HTTP有一個KeepAlive模式,它告訴web伺服器在處理完一個請求後保持這個TCP連接配接的打開狀态。若接收到來自用戶端的其它請求,服務端會利用這個未被關閉的連接配接,而不需要再建立一個連接配接。
KeepAlive在一段時間内保持打開狀态,它們會在這段時間内占用資源。占用過多就會影響性能。
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on;
......
keepalive_timeout 65 180;
client_header_timeout 80;
client_body_timeout 80;
systemctl restart nginx.service
keepalive timeout:
指定KeepAlive的逾時時間(timeout) 。指定每個TCP連接配接最多可以保持多長時間,伺服器将會在這個時間後關閉連接配接。
Nginx的預設值是65秒,有些浏覽器最多隻保持60秒,是以可以設定為60秒。若将它設定為0,就禁止了keepalive連接配接。
第二個參數(可選的)指定了在響應頭Keep-Alive: timeout=time中的time值。這個頭能夠讓一些浏覽器主動關閉連接配接,這樣伺服器就不必去關閉連接配接了。沒有這個參數, Nginx不會發送Keep-Alive響應頭。
client_header_timeout:
用戶端向服務端發送一個完整的request header的逾時時間。如果用戶端在指定時間内沒有發送一個完整的request header,Nginx傳回HTTP 408 (Request Timed out)。
六、更改程序數
#檢視cpu核數
cat /proc/cpuinfo | grep -c "physical id"
#檢視nginx主程序中包含幾個子程序
ps aux | grep nginx
#修改配置檔案,這裡了解一下即可
vim /usr/local/nginx/conf/nginx.conf
#第3行;修改為核數相同或者2倍
worker_processes 2;
#添加;設定每個程序由不同cpu處理,程序數配2 4 6 8分别為0001 0010 0100 1000
worker_cpu_affinity 01 10;
systemctl restart nginx
七、配置網頁壓縮
vim /usr/local/nginx/conf/nginx.conf
http {
......
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.1;
gzip_comp_level 6;
gzip_vary on;
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;
......
}
-------解釋--------------
#32行左右;取消注釋,開啟gzip壓縮功能
gzip on;
#最小壓縮檔案大小
gzip_min_length 1k;
#壓縮緩沖區,大小為4個16k緩沖區
gzip_buffers 4 16k;
#壓縮版本(預設1.1,前端如果是squid2.5請使用1.0)
gzip_http_version 1.1;
#壓縮比率
gzip_comp_level 6;
#支援前端緩存伺服器存儲壓縮頁面
gzip_vary on;
#壓縮類型,表示哪些網頁文檔啟用壓縮功能
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;
---------解釋結束------------
cd /usr/local/nginx/html
先将game.jpg檔案傳到/usr/local/nginx/html目錄下
vim index.html
......
#網頁中插入圖檔
<img src="game.jpg"/>
systemctl restart nginx
八、防盜鍊
配置盜鍊機
yum install -y httpd
vim /var/www/html/index.html
<html><body><h1>IT WORKS!</h1>
<img src="http://www.panrj.com/game.jpg"/>
</body></html>
echo "192.168.182.11 www.panrj.com" >> /etc/hosts
echo "192.168.182.22 www.accp.com" >> /etc/hosts
systemctl restart httpd
配置源主機(防盜鍊)
vim /usr/local/nginx/conf/nginx.conf
location ~* \.(gif|jpg|jepg|bmp|ico)$ {
valid_referers *.panrj.com panrj.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.panrj.com/error.png;
}
}
systemctl restart nginx
~* \. (jpglgiflswf)s :這段正規表達式表示比對不區分大小寫,以.jpg或.gif或.swf結尾的檔案;
valid referers :設定信任的網站,可以正常使用圖檔;後面的網址或者域名: referer中包含相關字元串的網址;
語句:如果連結的來源域名不在valid referers所列出的清單中, sinvalid referer為1,則執行後面的操作,即進行重寫或傳回403頁面。
此時在盜鍊機上就不可以盜鍊源主機上的圖檔了
九、FPM參數優化
vim /usr/local/php/etc/php-fpm.conf
pid = run/php-fpm.pid
vim /usr/local/php/etc/php-fpm.d/www.conf
-----96行------
pm = dynamic #fpm程序啟動方式,動态的
-----107行-----
pm.max children = 20 #fpm程序啟動的最大程序數-
------112-------
pm.start_servers = 5 #動态方式下啟動時預設開啟的程序數,在最小和最大之間
------117行-------
pm.min_spare_servers = 2 #動态方式下最小空閑程序數
------122行-------
pm.max_spare_servers = 8 #動态方式下最大空閑程序數
kill -USR2 `cat /usr/local/php/var/run/php-fpm.pid` #重新開機php-fpm
netstat -anpt | grep 9000