IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> Nginx:优化和防盗链 -> 正文阅读

[系统运维]Nginx:优化和防盗链

目录

一、隐藏版本号

1、修改配置文件

2、修改源码

二、修改用户和组(控制权限)

三、设置缓存时间(图片)

四、日志分割

五、连接超时(偏于客户端)

七、网页压缩

八、盗链与防盗链


前言:在企业信息化应用环境中。服务器的安全性和响应速度需要根据实际的情况进行相应的参数配置,达到最优的用户体验。

默认的nginx安装参数只能提供最基本的服务,还需要调整如网页时间、连接超时、网页压缩等相应参数,才能发挥服务器的最大作用。

一、隐藏版本号

在生产环境下,需要隐藏Nginx的版本号,以免安全漏洞的泄露。

查看方法:
① 本地查看(查看头部信息)
curl -I http://192.168.184.20

② 浏览器:可以直接在浏览器(例如谷歌)——》开发者工具——》选择network——》刷新页面——》选择请求——》选择headlers ——》查看版本

?Nginx隐藏版本号的方式:① 修改配置文件 ② 修改源码

1、修改配置文件

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;								
    ......
}
 
systemctl restart nginx
curl -I http://192.168.226.128

2、修改源码

vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" 					#修改版本号
#define NGINX_VER "NGINX" NGINX_VERSION 		#修改服务器类型
 
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --add-module=/usr/local/nginx-module-vts-master/
make && make install(生产环境最好不好make install 会清空所有nginx配置)
 
vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;		                    #版本号打开
	......
}
 
systemctl restart nginx                         #重启服务

?

?

二、修改用户和组(控制权限)

若没有安装前创建用户,则在此服务中默认使用的是nobody
vim /usr/local/nginx/conf/nginx.conf
 
#user  nobody;
worker_processe  1;
#默认是Nginx默认使用nobody用户账号与组账号
#修改成如下内容
 
user  nginx nginx;
worker_processe  1;
#修改属组属主,重启服务,查看服务状态
systemctl restart nginx
ps aux | grep nginx
root     109662  0.0  0.0  20560   624 ?        Ss   12:10   0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx    109663  0.0  0.0  23096  1392 ?        S    12:10   0:00 nginx: worker process
root     109667  0.0  0.0 112724   988 pts/4    S+   12:10   0:00 grep --color=auto nginx

?

三、设置缓存时间(图片)

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { #加入新的 location,以图片作为缓存对象
			root html;
			expires 1d;							   #指定缓存时间,1天
		}
......
	}
}
 
nginx -t
systemctl restart nginx
#上传rabbit.jpg图片、修改站点文件
cd /usr/local/nginx/html
vim index.html
14 <h1>Welcome to nginx</h1>
15 <img src="rabbit.jpg"/>			#插入识别图片

四、日志分割

vim /opt/fenge.sh

#!/bin/bash
d=$(date -d "-1 day" "+%Y%m%d")                 #显示前一天的时间
logs_path="/var/log/nginx"
pid_path=`cat /usr/local/nginx/logs/nginx.pid`
[ -d $logs_path ] || mkdir -p $logs_path        #创建日志文件目录
#移动并重命名日志文件
mv /usr/local/nginx/logs/access.log ${logs_path}/wu.com-access.log-{$d} 
#重建日志文件
kill -USR1 $pid_path
#删除30天前的日志文件                   
find $logs_path -mtime +30 -exec rm -rf {} \;
#find $logs_path -mtime +30 |xargs rm -rf

?

五、连接超时(偏于客户端)

vim /usr/local/nginx/conf/nginx.conf
 
32     #keepalive_timeout  0;
33     keepalive_timeout  100;      #控制连接总的超时时间(整体、下面是具体)
34     client_header_timeout 80;	#等待客户端发送请求头的超时时间,超时会发送408错误
35     client_body_timeout 80;		#等待客户端发送请求体的超时时间
nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

六、更改进程数(场景)

cpu的 nice 值 优先级

cd /sys/fs/cgroup/cpu
cat cpu.cfs_quota_us
-1 #负一代表不做限制



cat /proc/cpuinfo | grep -c "physical"		#核心数
8
ps aux | grep nginx							#一个主进程包含一个子进程
root     111019  0.0  0.0  20600  1496 ?        Ss   6月24   0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx    113972  0.0  0.0  23112  1428 ?        S    01:00   0:00 nginx: worker process
root     114265  0.0  0.0 112724   988 pts/1    S+   01:24   0:00 grep --color=auto nginx
 
vim /usr/local/nginx/conf/nginx.conf
 
#user  nobody;
worker_processes  2;			#修改与CPU核数相同或2倍(cgroup)
worker_cpu_affinity 01 10;		#设置每个进程由不同的cpu处理、进程数配为4时,为0001 0010 0100 1000

PS:

01表示启用第一个CPU内核,10表示启用第二个CPU内核
worker cpu affinity 0110;表示开启两个进程,第一个进程对应着第一个CP U内核,第二个进程对应着第二个CPU内核。
###2核cpu,开启4个进程
worker processes 4;
worker cpu affinity 01 10 01 10;
PS:开启了四个进程,它们分别对应着开启2个CPU内核
###4个cpu,开启4个进程
worker processes 4;
worker cpu affinity 0001 0010 0100 1000;
Ps:0001表示启用第一个CPU内核,0010表示启用第二个CPU内核,依此类推

七、网页压缩

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
gzip on;       #取消注释,开启gzip压缩功能
   gzip_min_length 1k;        #最小压缩文件大小(放在http中 只要文件超过1k就会进行压缩)
   gzip_buffers 4 64k;        #压缩缓冲区,大小为4个64k缓冲区
   gzip_http_version 1.1;     #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
   gzip_comp_level 6;         #压缩比率
   gzip_vary on;     #支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;  #压缩类型,表示哪些网页文档启用压缩功能
...... 
}

cd /usr/local/nginx/html
先将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="game.jpg"/>				#网页中插入图片
</body>
</html>
 
systemctl restart nginx
在Linux系统中,打开火狐浏览器,右击点查看元素
选择 网络 ---> 选择 HTML、WS、其他 
访问 http://192.168.184.20 ,双击200响应消息查看响应头中包含 Content-Encoding: gzip

?

八、盗链与防盗链

盗链端: 192.168.226.128 	nginx

服务端: 192.168.226.130    nginx

win10 :  192.168.226.160	#配置/HOST
PS: win10的hosts配置路径:C:\WINDOWS\System32\drivers\etc
首次修改需要修改权限
属性——》安全——》高级——》更改为所有权限


####具体实操

网页准备:
服务端(192.168.226.130)

cd /usr/local/nginx/html
将dog.jpg、error.png文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="dog.jpg"/>
</body>
</html>

#盗链端 
vim /etc/hosts
echo "192.168.226.128 www.dog.com" >> /etc/hosts 

cd /usr/local/nginx/html
vim index.html
...... 
<img src="http://www.dog.com/dog.jpg"/>
</body>
</html>
 
vim /etc/hosts
echo "192.168.226.130 www.kgc.com" >> /etc/hosts 
echo "192.168.226.128 www.dog.com" >> /etc/hosts 
在盗图网站主机上进行浏览器验证

http://www.dog.com

防盗链核心操作:
vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	......
		location ~*\.(jpg|gif|swf)$ {
			valid_referers *.dog.com dog.com;
			if ( $invalid_referer ) {
				rewrite ^/ http://www.dog.com/error.png;
				return 403;
            }
        }
	......
	}
}
表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件

~* .(jpg|gif|jepg|bmp|ico)$

防盗链设置参数详细说明:
valid referers:设置信任的网站,即能引用相应图片的网站
none:浏览器中Referer为空的情况,就是直接在浏览器访问图片
blocked:referer不为空的情况,但是值被代理或防火墙删除了,这些值不以以http://或者https://开头
后面的网址或者域名:referer中包含相关字符串的网址
if语句:如果链接的来源域名不在valid referers所列出的列表中,Sinvalid referer为1,则执行后面的操作,即进行重写或返回403页面
##上传error.png文件至/usr/local/nginx/html

?盗

?

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-09-04 01:48:04  更:2022-09-04 01:48:31 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 19:43:21-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计