nginx优化和防盗链

夏威夷果陆胖胖
48 阅读7分钟

nginx优化

nginx服务优化

  1. 服务器无法满足日益增长的业务,要进行性能优化
  2. 为避免同一客户端长时间占用连接,造成资源浪费
  3. 在高并发场景,需要启动更多的nginx进程以保证快速响应,避免造成阻塞

配置nginx隐藏版本号

为了避免安全漏洞泄漏

方法一:修改配置文件

vim /usr/local/nginx/conf/nginx.conf
#编辑nginx服务的配置文件
17 http {
18    include       mime.types;
19    default_type  application/octet-stream;
      ......
27    server_tokens off;		#添加,关闭版本号
      ......
}

systemctl restart nginx    #重启nginx服务

curl -I http://192.168.42.11
#curl表示从网页上扒源代码

浏览器验证:
1. 在去浏览器里面访问:http://192.168.42.11
2. 按f12,有人的电脑是按fn+f12,会页面的右边出现源代码页面
3. 选择网络选项
4. 按f5或者fn+f5刷新,出现访问的ip
5. 点击ip出现源代码,可以看见版本号

编辑修改配置文件 image.png 重启 image.png 刷新,出现ip image.png 显示版本 image.png

方法二:修改源码法

vim /opt/nginx-1.12.0/src/core/nginx.h
#编辑代码源文件
13 #define NGINX_VERSION "1.1.1" 				#修改版本号
14 #define NGINX_VER "IIS" NGINX_VERSION 			#修改服务器类型

cd /opt/nginx-1.12.0/
#切换目录
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module

make 
#编译

vim /usr/local/nginx/conf/nginx.conf
#编译
17 http {
18    include       mime.types;
19    default_type  application/octet-stream;
20    server_tokens on;
	......
}

systemctl restart nginx
#重启
curl -I http://192.168.80.10

ps aux |grep nginx
#查看进程

image.png

image.png

image.png

image.png

image.png

image.png

修改用户与组

思路

  1. 修改配置文件
  2. 重启
vim /usr/local/nginx/conf/nginx.conf
#编辑配置文件
2 user nginx nginx; 				
#将第二行取消注释,修改用户为 nginx ,组为 nginx

systemctl restart nginx

ps aux | grep nginx
#主进程还是由root创建,子进程nginx创建

image.png

image.png

缓存时间

当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度。一般针对静态网页设置,对动态网页不设置缓存时间

cd /usr/local/nginx/html
#先进入nginx的html里面,放一张图片,在这个文件夹里面
vim /usr/local/nginx/conf/nginx.conf
#编辑配置文件
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		
		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 		
#加入新的 location,以图片作为缓存对象
			root html;
			expires 1d;		
                        #指定缓存时间,1天
		}
......
	}
}


systemctl restart nginx
#重启

http://www.kgc.com/zly.jpg
#

image.png

image.png

image.png

1668077960942.jpg

日志分割

vim /opt/fenge.sh
#编辑一个脚本文件
#!/bin/bash
# Filename: fenge.sh
day=$(date -d "-1 day" "+%Y%m%d")		
#显示前一天的时间
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path 	
#创建日志文件目录
mv /usr/local/nginx/logs/access.log ${logs_path}/kgc.com-access.log-$day	
#移动并重命名日志文件
kill -USR1 $(cat $pid_path)			
#重建新日志文件
find $logs_path -mtime +30 -exec rm -rf {} \;	
#删除30天之前的日志文件
#find $logs_path -mtime +30 | xargs rm -rf 
#也可以这样写
chmod +x /opt/fenge.sh
#给脚本一个可执行权限
/opt/fenge.sh
#运行脚本
ls /var/log/nginx
#显示日志下的nginx目录
ls /usr/local/nginx/logs/access.log 
#查看运行脚本自动生成的日志文件
crontab -e
#编辑,以当前用去去计划任务
0 1 * * * /opt/fenge.sh
#设置定时:每月每周每天的1点开始执行脚本

image.png

1668079066036.jpg

image.png image.png

扩展

ctime(status time): 当修改文件的权限或者属性的时候,就会更新这个时间,ctime并不是create time,更像是change time, 只有当更新文件的属性或者权限的时候才会更新这个时间,但是更改内容的话是不会更新这个时间。

atime(accesstime): 当使用这个文件的时候就会更新这个时间。

mtime(modification time): 当修改文件的内容数据的时候,就会更新这个时间,而更改权限或者属性,mtime不会改变,这就是和ctime的区别。

连接超时

  • HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。
  • 若接收到来自同一客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。
  • KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。
vim /usr/local/nginx/conf/nginx.conf
#编辑配置文件
#在http模块中添加,不过不能在server模块中添加,只能在http模块中
http {
...... 
    keepalive_timeout 65 180;      
    三次握手的超时时间
    client_header_timeout 80;       
    等待客户端发送请求头的超时时间会送408 错误
    client_body_timeout 80;          
    设置客户端发送请求体的超时时间
...... 
}

systemctl restart nginx
#重启

报错!!!!
在重启时候,可能会出现报错,
在配置文件中,第34行也是keepalive_timeout 65;是默认打开的,可以将这行删除,也可以在添加时候就不添加这行

image.png

image.png

keepalive_timeout 指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。 第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头。

client_header_timeout 客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。

client_body_timeout 指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。

更改进程

在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞,这时,可以将进程数给扩大;在处理小的进程时候,也可以将进程数改小

cat /proc/cpuinfo | grep -c "physical id"	
#查看cpu核数
ps aux | grep nginx				
#查看nginx主进程中包含几个子进程

vim /usr/local/nginx/conf/nginx.conf
#编辑配置文件
worker_processes  2;				
#修改为核数相同或者2倍
worker_cpu_affinity 01 10;			
#设置每个进程由不同cpu处理,进程数配为4时0001 0010 0100 1000

systemctl restart nginx
#重启

image.png image.png

配置网页压缩

Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能,许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装可在配置文件中加入相应的压缩功能参数对压缩性能进行优化。

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
   gzip on;					
   #取消注释,开启gzip压缩功能
   gzip_min_length 1k;      		
   #最小压缩文件大小
   gzip_buffers 4 64k;      		
   #压缩缓冲区,大小为4个64k缓冲区
   gzip_http_version 1.1;   		
   #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
   gzip_comp_level 6;       		
   #压缩比率      1:压缩比最小,速度最快;9:压缩比最大,传输速度最快,但处理也最慢,也比较的消耗CPU资源 
   gzip_vary on;				
   #支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;		
#压缩类型,表示哪些网页文档启用压缩功能
...... 
}

cd /usr/local/nginx/html
#将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="game.jpg"/>				#网页中插入图片
</body>
</html>

systemctl restart nginx
#重启服务

image.png image.png

image.png image.png

配置防盗链

  • 在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济 损失,也避免了不必要的带宽浪费。
  • Nginx 的防盗链功能也非常强大,在默认情况下,只需 要进行很简单的配置,即可实现防盗链处理。
vim /usr/local/nginx/conf/nginx.conf
#编辑配置文件
http {
......
	server {
	......
		location ~* \.(jpg|gif|swf)$ {
			valid_referers none blocked *.kgc.com kgc.com;
			if ( $invalid_referer ) {
				rewrite ^/ http://www.kgc.com/error.png;
				#return 403;
            }
        }
	......
	}
}
avatar
文章
阅读
粉丝