Nginx优化与防盗链

标签：http nginx module Nginx conf gzip 优化防盗链

一、nginx优化

1、配置Nginx隐藏版本号

隐藏Nginx版本号，避免安全漏洞泄漏

Nginx隐藏版本号的方法

（1）修改配置文件
（2）修改源码

（1）修改配置文件

将nginx配置文件中server_tokens 选项的值设置为off

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;                                #添加，关闭版本号
    ......
}

systemctl restart nginx
curl -I http://192.168.10.103

（2）修改源码文件，重新编译安装

vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1"                     #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION             #修改服务器类型

cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
    ......
}

systemctl restart nginx
curl -I http://192.168.10.103

2、配置Nginx网页缓存时间

当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度

一般针对静态网页设置，对动态网页不设置缓存时间

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		
		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 		#加入新的 location，以图片作为缓存对象
			root html;
			expires 1d;									#指定缓存时间，1天
		}
......
	}
}
 
 
http://www.xy101.com/wangsicong.jpg
 
systemctl restart nginx

3、实现Nginx的日志切割

#!/bin/bash
#该脚本用于分隔nginx日志
 
#定义变量获取当前时间前一天的时间格式
YESTERDAY=$(date -d "-1 day" "+%Y%m%d")
 
#定义变量存放分隔日志的目录
LOGPAATH=/var/log/nginx
 
#定义变量指定nginx的家目录
NGINX_HOME=/usr/local/nginx
 
#定义PID文件路径
PIDPATH=$NGINX_HOME/logs/nginx.pid
 
#判断保存日志的目录是否存在，不存在则创建目录
[ -d $LOGPAATH ] || mkdir -p $LOGPAATH
 
#使用m命令进行日志分割，移动日志文件到专门保存日志的目录中，并在文件后
缀添加时间标记
mv $NGINX_HOME/logs/access.log $LOGPAATH/access.log_$YESTERDAY
mv $NGINX_HOME/logs/error.log $LOGPAATH/error.log_$YESTERDAY
 
#使用kill -USR1 使nginx生成新的日志文件，用于后续的日志记录
kill -USR1 $(cat $PIDPATH)
 
#使用find -mtime 选项查找超过90天以前的旧日志文件并删除，用来释放磁盘>空间
find $LOGPAATH -mtime +90 -delete

4、配置Nginx实现连接超时

为避免同一客户端长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现控制连接访问时间

超时参数
Keepalive_timeout 设置连接保持超时时间
Client header timeout 指定等待客户端发送请求头的超时时间
Client body timeout 设置请求体读超时时间

vim /usr/local/nginx/conf/nginx.conf
 
 
http {
...... 
    keepalive_timeout 60 50;
	keepalive_requests 100;
    client_header_timeout 80;
    client_body_timeout 80;
...... 
}
 
 
systemctl restart nginx

5、更改Nginx运行进程数

在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞

更改进程数的配置方法：修改配置文件，修改进程配置参数

修改配置文件的worker_processes参数，一般设为CPU的个数或者核数，在高并发情况下可设置为CPU个数或者核数的2倍
增加进程数，可减少了系统的开销，提升了服务速度，使用psaux查看运行进程数的变化情况

[root@www conf]# cat /proc/cpuinfo | grep -c "physical"
[root@www conf]# vi nginx.conf
worker processes 4;
[root@www conf]# systemctl restart nginx
[root@www conf]# ps aux | grep nginx

默认情况，Nginx的多个进程可能跑在一个CPU上，可以分配不同的进程给不同的CPU处理，充分利用硬件多核多CPU
在一台4核物理服务器，进行配置，将进程进行分配

[root@www conf]# vi nginx.conf
worker processes 4;
worker_cpu affinity 0001 0010 0100 1000;

6、配置网页压缩

ngx_http_gzip_module是Nginx提供对文件压缩功能的模块
允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

vim /usr/local/nginx/conf/nginx.conf
 
http {
...... 
    gzip on;                        #取消注释，开启gzip压缩功能
    gzip_min_length 1k;              #最小压缩文件大小，小于设置值的文件将不会压缩
    gzip_buffers 4 16k;              #压缩缓冲区，这里设置以16k为单位，按照原始数据大小以16k为单位的4倍申请内存
    gzip_http_version 1.1;           #用于识别HTTP协议版本
    gzip_comp_level 5;               #压缩比率，压缩比例由低到高从1到9，默认为1，在生产环境中一般设置该参数的值在3~5之间，最好不要超过5
    gzip_vary on;                    #支持前端缓存服务器存储压缩页面
    gzip_disable "MSIE [1-6]\.";    #配置禁用gzip条件，支持正则。此处表示ie6及以下不启用gzip（因为ie低版本不支持）
    gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json;    #压缩类型，表示哪些网页文档启用压缩功能
...... 
}

实现网页图片的压缩

http_image_filter_module是Nginx提供的集成图片处理模块，可以用于实时缩放图片，旋转图片，验证图片有效性以及获取图片宽高以及图片类型信息

yum install -y gd-devel          
 #yum在线源安装gd-devel，http_image_filter_module模块需要依赖gd-devel的支持
 
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_image_filter_module 
make && make install
 
vim /usr/local/nginx/conf/nginx.conf
http {
   .... 
   gzip on;
   gzip_types text/plain .... image/jpeg image/gif image/png;      
 #将图片类型文件压缩加入gzip
   ....
	server {
	....
		location ~* \.(jpg|gif|png)$ {
			image_filter resize 200 200;		
#按等比例缩小图像的宽或高至指定大小。如果只想设置一个维度，另一维可以指定为：“-”
		}										
#（如果长>宽就以长为标准，宽为比例；如果长<宽就以宽为标准，长为比例）
    }
}

二、防盗链

在企业网站服务中，一般都要配置防盗链功能，以避免网站内容被非法盗用，造成经济损失，
默认情况下，只需要进行简单的配置，即可实现防盗链处理

vim /usr/local/nginx/conf/nginx.conf
 
 
http {
......
    server {
    ......
        location ~* \.(jpg|gif|swf)$ {
            valid_referers none blocked *.xy101.com xy101.com;
            if ( $invalid_referer ) {
                rewrite ^/ http://www.xy101.com/error.png;
                #return 403;
            }
        }
    ......
    }
}

总结：

1.nginx优化

nginx应用配置文件的优化：
nginx的性能优化
开启网页压缩           gzip on;
页面缓存               expires 缓存时间;
连接保持超时           keepalive_timeout  服务端超时时间  客户端超时时间;
设置工作进程数         work_processes  与服务器CPU数量相同或auto
设置工作进程连接数     worker_connections    worker_rlimit_nofile
工作进程静态绑核       worker_cpu_affinity
开启高效文件传输模式   sendfile on;   tcp_nopush on;    tcp_nodelay on;
IO多路复用             use epoll;
连接优化               multi_accept on;（一个进程同时接受多个网络连接）    accept_mutex on;（以串行方式接入新连接，防止惊群现象发生）
 
nginx的安全优化
隐藏版本号             server_tokens off;      修改源代码 nginx.h
防盗链                 valid_referers   if ($invalid_referer) {rewrite ....}  rewrite地址重写
访问控制               deny/allow
设置运行用户/组        user 用户名 组名;
限制请求数             limit_req_zone   limit_req
限制连接数             limit_conn_zone  limit_conn
 
日志分割               shell脚本 + crontab


系统内核优化

/etc/sysctl.conf   内核参数配置文件
#用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1        表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1          表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1        表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30      修改MSL值，系统默认的TIMEOUT时间
 
#如果连接数本身就很多，可再优化TCP的可用端口范围，进一步提升服务器的并发能力
net.ipv4.tcp_keepalive_time=1200           #当keepalive启用时，TCP发送keepalive探测消息的频率，确认客户端是否断网
net.ipv4.ip_local_port_range=1024 65535    #用于向外连接的端口范围。缺省情况下很小，为32768 60999
net.ipv4.tcp_max_syn_backlog=8192          #SYN队列长度，默认为1024，加大队列长度为8192，可容纳更多等待连接的网络连接数
net.ipv4.tcp_max_tw_buckets=5000           #表示系统同时保持TIME WAIT的最大数量
net.core.somaxconn=65535                   #一个端口能够监听的最大连接数
 
#如果需要IP路由转发
net.ipv4.ip_forward=1
 
 
/etc/security/limits.conf   内核资源限制文件
* 	soft 	noproc			65535         打开系统进程数
* 	hard 	noproc			65535
* 	soft 	nofile			65535         进程打开文件数
* 	hard 	nofile			65535

常用nginx模块

http_stub_status_module       访问状态统计模块
http_gzip_module              网页压缩模块
http_rewrite_module           URL地址重写模块
http_ssl_module               https安全加密模块
http_auth_basic_module        网页用户认证模块
http_fastcgi_module           fastcgi转发模块
http_image_filter_module      图片处理模块
http_mp4/flv_module           mp4/flv视频格式模块
http_limit_req_module         限制请求数模块
http_limit_conn_module        限制连接数模块
http_proxy_module             代理转发模块
http_upstream_*_module        负载均衡模块
stream                        四层代理转发模块

标签：http,nginx,module,Nginx,conf,gzip,优化,防盗链
From： https://blog.csdn.net/qq_54188720/article/details/139675732