Nginx 优化与防盗链

---

隐藏版本号

• 隐藏Nginx版本号，避免安全漏洞泄漏
• Nginx隐藏版本号的方法
  • 修改配置文件法
  • 修改源码法

方法一：修改配置文件

重启服务后，查看验证。

修改源码

1. 修改源码文件

2. 重新编译安装

make && make install
vim /usr/local/nginx/conf/nginx.conf
http {
        include        mime.types;
        default_type application/octet-stream;
        server tokens on;
        ......
}
systemctl restart nginx
curl 一I http://192.168.44.30

修改Nginx用户与组

Nginx运行时进程需要有用户与组的支持，以实现对网站文件读取时进行访问控制

Nginx默认使用nobody用户账号与组账号

修改的方法

• 编译安装时指定用户与组

• 修改配置文件指定用户与组

配置Nginx网页缓存时间

当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度。
一般针对静态网页设置，对动态网页不设置缓存时间

设置方法

修改配置文件，在http段、或者server段、或者location段加入对特定内容的过期参数。

1. 修改Nginx的配置文件，在location段加入expires参数确定缓存时间

2. 重启服务进行测试

日志分割（编写成脚本）

脚本内容

赋予执行权限并执行。

设置为计划任务。

crontab -e
01 * * * /opt/fenge.sh

补充
在linux操作系统中，每个文件都有很多的时间参数，其中有三个比较主要，分别是ctime ,atime , mtime

• ctime (status time) :当修改文件的权限或者属性的时候，就会更新这个时间，ctime并不是create time，更像是change time只有当更新文件的属性或者权限的时候才会更新这个时间，但是更改内容的话是不会更新这个时间。
• atime (accesstime ) :当使用这个文件的时候就会更新这个时间。
• mtime (modification time ) :当修改文件的内容数据的时候，就会更新这个时间，而更改权限或者属性，mtime不会改变，这就是和ctime的区别。

连接超时

HTTP有一个KeepAlive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未概关断的连接,而不需要再建立一个连接。

KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。

1. 修改配置文件/usr/local/nginx/conf/nginx.conf

2. 重启服务后，浏览器查看

• keepalive timeout
  指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间，服务器将会在这个时间后关闭连接。
  Nginx的默认值是65秒，有些浏览器最多只保持60秒，所以可以设定为 60秒。若将它设置为0，就禁止了keepalive连接。
  第二个参数(可选的）指定了在响应头Keep-Alive.timeout=time中的time值。这个头能够让一些浏览器主动关闭连接，这样服务器就不必去关闭连接了。没有这个参数，Nginx不会发送Keep-Alive响应头。

• client header timeout
  客户端向服务端发送一个完整的 request header的超时时间。如果客户端在指定时间内没有发送一个完整的request headr ,Nginx返回HTTP 408 (Request Timed out ) 。

• client body timeout
  指定客户端与服务端建立连接后发送request body 的超时时间。如果客户端在指定时间内没有发送任何内容，Nginx返回HTTP 408 (Request Timed out ) 。

更改进程数

在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞

1. 修改配置文件/usr/local/nginx/conf/nginx.conf

2. 重启服务后，ps aux查看

配置网页压缩

Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能

允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

1. 修改配置文件/usr/local/nginx/conf/nginx.conf

2. 设置页面，先将game.jpg文件传到/usr/ local/ nginx/html目录下

3. 重启服务后，浏览器查看

配置防盗链

1. 修改配置文件/usr/local/nginx/conf/nginx.conf

   • ~*\.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写，以.jpg或.gif 或.swf 结尾的文件
   • valid referers:设置信任的网站，可以正常使用图片
   • none:允许没有http_refer的请求访问资源（根据Referer的定义，它的作用是指示一个请求是从哪里链接过来的，如果直接在浏览器的地址栏中输入一个资源的以L地址，那么这种请求是不会包含Referer字段的），如www.abc.com/game.jpg
   • 我们使用 www.abc.com访问显示的图片，可以理解成http://www.abc.co… 这个请求是从www.abg.com这个链接过来的。
   • blocked:允许不是http://开头的，不带协议的请求访问资源
   • *.abc.com:只允许来自指定域名的请求访问资源，如www.abc.com
   • if语句:如果链接的来源域名不在valid_referers所列出的列表中，$invalid_referer为true，则执行后面的操作，即进行重写或返回403页面。

2. 设置域名解析

3. 设置页面，先将game.jpg和error.png文件传到/usr/ local/ nginx/html目录下

4. 设置盗链页面

5. 重启服务后，盗链主机浏览器查看