[系统运维]Nginx优化

Nginx优化

隐藏版本号

在日常生产环境中，暴露出nginx版本号，对于网站的安全会有很大的影响，他人会针对版本的漏洞bug进行攻击，所以为了安全我们一般会将版本号进行隐藏

查看版本号

1本地查看

curl -I http://192.168.116.134

2通过浏览器查看

如谷歌ctrl +shift+I调出开发者工具 点击network

隐藏版本号的方法

①修改配置文件

vim /usr/local/nginx/conf/nginx.conf    (建议备份防止出错)
在http模块下
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;				#关闭版本号，注意分号
    ......
}

保存后可以使用 nginx -t 可以查看是否有错误

nginx -t
systemctl restart nginx.service  #重启服务

curl -I http://192.168.116.134  或者通过浏览器查看
发现版本号都已隐藏

②修改源码的方式

自定义版本信息

vim /opt/nginx-1.15.9/src/core/nginx.h
define NGINX_VERSION      "1.15.9"     #修改版本号
define NGINX_VER          "nginx/"     NGINX_VERSION #修改服务器类型

cd /opt/nginx-1.15.9/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;   #开启版本信息
	......
}

nginx -t 
systemctl restart nginx.service
curl -I http://192.168.116.134  或者浏览器访问查看

修改用户和组

vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; #取消注释，修改用户为 nginx ,组为 nginx

user  nginx nginx;
worker_processe  1;

systemctl restart nginx
ps aux |grep nginx  

缓存时间

当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度，一般针对静态网页设置，对动态网页不设置缓存时间。

配置

vim /usr/local/nginx/conf/nginx.conf

http {                                                  #http模块下
......
	server {                                            #server模块下
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		
		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 		#加入新的 location，以图片作为缓存对象
			root html;
			expires 2d;									#指定缓存时间，2天
		}
......
	}
}

nginx -t
systemctl restart nginx  #重启服务
打开浏览器
http://192.168.116.134/2.jpg   #访问图片RUL
可以看到缓存时间为2天 2天之内浏览器访问这个页面，都是用缓存中的数据，而不需要向 Nginx 服务器重新发出请求，减少了服务器的使用带宽。

日志分隔

过多的日志文件对于运维监控来说很不方便，不方便排查故障等。所以需要定期分隔日志。

cd /opt
vim rzfenge.sh

#!bin/bash
d=$(date -d"-1 day" "+%Y%m%d")
#定义时间日期为前一天
logs_path="/var/log/nginx"
#定义备份日志文件位置
pid_path="/usr/local/nginx/logs/nginx.pid"
#定义nginx的pid号
[ -d $logs_path ] || mkdir -p $logs_path
#检测日志目录是否存在，不存在则创建
mv /usr/local/nginx/logs/access.log ${logs_path}/test.com-access.log-$d
#移动日志文件并改名加上日期
kill -USR1 $(cat $pid_path)
#重新建立日志文件
find $logs_path -mtime +30 | xargs rm -rf
#删除30天之前的日志文件

crontab -e   #把脚本添加到周期性计划中
crontab -l  

把脚本执行一下，在/var/log/nginx 可以看到前一天的日志

连接超时（偏向于客户端）

vim /usr/local/nginx/conf/nginx.conf

#keepalive_timeout  0;
keepalive_timeout  100;
client_header_timeout 80;	#等待客户端发送请求头的超时时间，超时会发送408错误
client_body_timeout 80;		#等待客户端发送请求体的超时时间

更改进程数

cat /proc/cpuinfo | grep -c "physical id"  #查看CPU核数

vim /usr/local/nginx/conf/nginx.conf
user  nginx nginx;
worker_processes  8;
worker_cpu_affinity 0001 0010 0100 1000;

网页压缩

vim /usr/local/nginx/conf/nginx.conf

http {
...... 
   gzip on;							#取消注释，开启gzip压缩功能
   gzip_min_length 1k;      		#最小压缩文件大小
   gzip_buffers 4 18k;      		#压缩缓冲区，大小为4个18k缓冲区
   gzip_http_version 1.1;   		#压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
   gzip_comp_level 6;       		#压缩比率
   gzip_vary on;					#支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;		#压缩类型，表示哪些网页文档启用压缩功能
...... 
}

nginx -t
systemctl restart nginx

盗链和防盗链

盗链：

准备三台机器：

盗链端：192.168.116.131

服务端：192.168.116.134

Win0： 192.168.116.150

#在盗链端和服务端将域名映射关系配置好
vim /etc/hosts
192.168.116.131 www.daolian.com
192.168.116.134 www.xiaoyan.com

未设置之前w10访问盗链端为：

访问服务端为：

设置盗链

盗链端机器：

vim /usr/local/nginx/html/index.html

然后用W10机器进行访问：

服务端

盗链端：

配置防盗链：

在服务端上进行配置

vim /usr/local/nginx/conf/nginx.conf
http {
	server 
		location ~* \.(jpg|gif|swf)$ {
			valid_referers none blocked www.xiaoyan.com;
			if ( $invalid_referer ) {
    			rewrite ^/ http://www.lic.com/19.png; #最后是图片名称
				#return 403;
            }
            }
	}
}

systemctl restart nginx.service    #配置完成后重启服务 

进行验证

使用W10机器进行测试

打开浏览器  输出盗链端的域名 www.daolian.com