Linux系统架构----Nginx的服务优化
一.隐藏版本号
- 在生产环境中,需要隐藏Nginx的版本号,以免泄露Nginx的版本,使得攻击者不能针对特定版本进行攻击
查看Nginx的版本有两种方法
-
使用fiddler工具抓取数据包,查看Nginx版本
-
在Centos7上使用使用命令 curl -I 查看
隐藏Nginx版本号也有两种方法
-
修改Nginx的源码文件,指定不显示版本号
-
修改Nginx的主配置文件
隐藏版本号操作
- 修改源码文件
[root@server1 ~]# curl -I 10.1.1.172
HTTP/1.1 200 OK
Server: nginx/1.14.1 ##版本号
Date: Sat, 09 Mar 2024 11:27:40 GMT
Content-Type: text/html
Content-Length: 4057
Last-Modified: Mon, 07 Oct 2019 21:16:24 GMT
Connection: keep-alive
ETag: "5d9bab28-fd9"
Accept-Ranges: bytes
##修改配置
[root@server2 ~]# vim /etc/nginx/nginx.conf
...
http {
include mime.types;
default_type application/octet-stream;
server_tokens off;
...
[root@server2 ~]# systemctl restart nginx.service
- 验证是否隐藏版本号
[root@server1 ~]# curl -I 10.1.1.172
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 09 Mar 2024 11:31:19 GMT
Content-Type: text/html
Content-Length: 4057
Last-Modified: Mon, 07 Oct 2019 21:16:24 GMT
Connection: keep-alive
ETag: "5d9bab28-fd9"
Accept-Ranges: bytes
二.修改用户和组
- Nginx在运行时进程需要有用户和组的支持,用于实现对网站读取时的进行访问控制
- 主进程由root创建,子进程有指定的用户与组创建
- Nginx默认使用nobody用户账户和组账号
修改Nginx用户和组有两种方法
-
在编译安装时指定的用户与组
-
修改配置文件
修改用户和组操作
- 编译时指定用户和组
#创建用户,不建立宿主文件,且不能再shell上登录
useradd -M -s /sbin/nologin nginx
#配置,安装且编译
cd /opt/nginx-1.12.2/
./configure \
--prefix=/usr/local/nginx \
--user=nginx \ //指定用户名为nginx
--group=nginx \ //指定组名为nginx
--with-http_stub_status_module
- 修改Nginx的配置文件nginx.conf指定用户和组
[root@server2 ~]# vim /etc/nginx/nginx.conf
...
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
...
- 查看Nginx进程运行情况
[root@server2 ~]# ps aux |grep nginx
root 25282 0.0 0.0 119160 2176 ? Ss 19:30 0:00 nginx: master process /usr/sbin/nginx
nginx 25283 0.0 0.2 151852 8140 ? S 19:30 0:00 nginx: worker process
nginx 25284 0.0 0.2 151852 8140 ? S 19:30 0:00 nginx: worker process
nginx 25285 0.0 0.2 151852 8140 ? S 19:30 0:00 nginx: worker process
nginx 25286 0.0 0.2 151852 8140 ? S 19:30 0:00 nginx: worker process
root 25291 0.0 0.0 12348 1036 pts/2 S+ 19:35 0:00 grep --color=auto nginx
三.配置网页缓存时间
-
当Nginx将网页数据返回给给客户端之后,可以设置缓存的时间,方便下次再浏览相同的内容时直接返回,避免重复请求,加快访问速度,一般只针对静态资源设置,对于动态网页不用设置缓存时间
-
在Nginx服务中,expires参数指定缓存时间
-
当没有设置expires参数时,使用Fiddler进行抓包
[root@server2 ~]# vim /etc/nginx/nginx.conf
location ~ \.php$ {
proxy_pass http://10.1.1.171;
expires 1d; ##添加此处代码
}
四.日志分割
- Nginx没有类似于Apache的cronlog日志分割处理功能,但是可以通过Nginx的信号控制功能脚本来实现日志的自动分割,并且将脚本加入到Linux的计划任务中去,让脚本在每天固定的时间执行,便可以实现切割功能
- 编写脚本进行日志切割的思路
- 设置时间变量
- 设置保存日志路径将目前的日志文件进行重命名
- 删除时间过长的日志文件
- 设置cron任务,定期执行脚本自动进行日志分割
[root@server2 ~]# vim /opt/fenge.sh
#!/bin/bash
d=$(date -d "-1 day" "+%Y%m%d")
logs_path="/var/log/nginx"
pid_path="/run/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path //创建日志文件目录
mv /var/log/nginx/access.log ${logs_path}/test.com-access.log-$d ##移动且重命名日志文件
kill -USR1 $(cat $pid_path) ##重建新的日志文件
find $logs_path -mtime +30 |xargs rm -rf ##删除30天之前的日志文件
执行分割脚本
[root@server2 opt]# bash fenge.sh
[root@server2 opt]# ls /var/log/nginx/ ##查看日志文件
access.log error.log test.com-access.log-20240308
##修改日期
[root@server2 opt]# date
2024年 03月 09日 星期六 20:10:00 CST
[root@server2 opt]# date -s 2024-03-12
2024年 03月 12日 星期二 00:00:00 CST
[root@server2 opt]# ls /var/log/nginx/
access.log error.log test.com-access.log-20240308 test.com-access.log-20240311
###设置crontab任务,每天零点执行脚本
[root@server2 ~]# crontab -e
no crontab for root - using an empty one
crontab: installing new crontab
[root@server2 ~]# crontab -l
0 0 * * * /opt/fenge.sh
五.设置连接超时
-
在企业网站中为了避免同一个客户长时间占用连接,造成资源浪费,可以设置相应的连接超时参数,实现对连接访问时间的控制,可以修改配置文件nginx.conf,设置keepalive_timeout超时时间
-
具体操作如下
keepalive_timeout 65 180;
//第一个参数指定了与客户端的keep-alive连接超时时间,服务器将会在这个时间后关闭连接
//第二个参数指定了在响应头Keep-Alive_timeout中的time值,这个头能够让一些浏览器主动关闭连接,这样服务器就不必关闭连接。如果没有这个参数,Nginx将不会发送Keep_Alive响应头
client_header_timeout 80;
//指定等待客户端发送请求头的超时时间
client_body_timeout 80;
//指定请求体读的超时时间