Nginx的优化与防盗链

Posted 2022-01-12 kiroct

配置nginx隐藏版本号

作用：隐藏nginx版本号，避免安全漏洞泄露

nginx隐藏版本号的办法

1、修改配置文件法

将nginx配置文件中的server_tokens选项的值设置成off
使用php处理动态网页
若PHP配置文件中配置了fastcgi_param
SERVER_SOFTWARE 选项
则编辑php-fpm配置文件,将fastcgi_param
SERVER_SOFTWARE 对应的值修改为astcgi_param
SERVER_SOFTWARE nginx;
```html/xml
vim /usr/local/nginx/conf/nginx.conf
20行加入 server_tokens off;
systemctl restart nginx
curl -I 192.168.206.5 #查看版本号即可

![1.png](https://s2.51cto.com/images/20220111/1641883869854826.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![2.png](https://s2.51cto.com/images/20220111/1641883872760829.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![3.png](https://s2.51cto.com/images/20220111/1641883876912807.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

2、修改源码法

将Nginx配置文件中server_ tokens选项的值设置为off

vi nginx.conf
server_tokens off;
nginx -t #检查是否安装正确
重启服务，访问网站使用curl -|命令检测

Nginx源码文件/usr/src/nginx-1.12.2/src/core/nginx.h 包含版本信息，可以随意设置
重新编译安装，隐藏版本信息
示例：
#define NGINX_VERSION“1.1.1" .，修改版本号为1.1.1
#define NGINX_VER "IIS/" ，修改软件类型为IIS
重启服务，访问网站使用curl -l命令检测

操作：
首先是vim /opt/nginx-1.12.2/src/core/nginx.h
进去后随便改改版本啥的
![2.png](https://s2.51cto.com/images/20220111/1641884205383414.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
保存退出后，我们
cd /opt/nginx-1.12.2/ 进去安装包文件
然后重新编译编译安装
```html/xml
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module

编译完成后我们使用make -j 4 && make install

搞完后，我们重新进入conf文件
vim /usr/local/nginx/conf/nginx.conf
如图所示，再次开启版本信息

然后就是重启nginx和查询版本号
```html/xml
systemctl restart nginx
curl -I 192.168.206.5

可以看到，已经改好了版本了
![5.png](https://s2.51cto.com/images/20220111/1641884413160641.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 修改Nginx用户与组

Nginx运行时进程需要有用户与组的支持，以实现对网站文件读取时进行访问控制
Nginx默认使用nobody用户账号与组账号

修改的方法
编译安装时指定用户与组
修改配置文件指定用户与组

修改配置文件法指定

新建用户账号，如nginx

修改主配置文件user选项，指定用户账号与组账号

重启nginx服务，使配置生效

使用ps aux命令查看nginx的进程信息，验证运行用户
操作：

vim /usr/local/nginx/conf/nginx.conf
。。。。。。。。
systemctl restart nginx
ps aux |grep nginx #查看nginx相关进程

首先是进入nginx的conf配置文件，
![1.png](https://s2.51cto.com/images/20220111/1641885006145125.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
然后我们如图第二行取消注释，设置nginx用户为nginx，设立ngixn的用户组。
![2 首先是修改用户与用户组.png](https://s2.51cto.com/images/20220111/1641885009150631.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
最后如上图所示，重启后查看下端口，发现进程是nginx的用户名
![1.png](https://s2.51cto.com/images/20220111/1641885139755546.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 配置Nginx网页缓存时间

当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度

一般针对静态网页设置， 对动态网页不设置缓存时间

设置方法

修改配置文件，在http段、 或者server段、 或者location段加入对特定内容的过期参数

案例：修改Nginx的配置文件，在location段加入expires 参数

location ~.(gif|jpg|jepg|png|bmp|ico)$
root html;
expires 1d;

操作：
首先是vim /usr/local/nginx/conf/nginx.conf进入配置文件空间
然后是如图所示进行4yy复制 p粘贴，改成下面的设置图片缓存格式时间，
![2.png](https://s2.51cto.com/images/20220111/1641886306864369.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
然后我们重启Nginx,并去/usr/local/nginx/html，传一张图片进去，然后使用客机登录192.168.206.5进行验证，发现成功
![4.png](https://s2.51cto.com/images/20220111/1641886649870997.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![3.png](https://s2.51cto.com/images/20220111/1641886651777298.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

## 实现nginx的日志切割

随着Nginx运行时间增加，日志也会增加。为了方便掌握Nginx运行状态，需要时刻关注Nginx日志文件

太大的日志文件对监控是一个大灾难：定期进行日志文件的切割

Nginx自身不具备日志分割处理的功能，但可以通过Nginx信号控制功能的脚本实现日志的自动切割

通过Linux的计划任务周期性地进行日志切割

**编写脚本进行日志切割的思路**

●设置时间变量

●设置保存日志路径

●将目前的日志文件进行重命名

●重建新日志文件

●删除时间过长的日志文件

●设置cron任务，定期执行脚本自动进行日志分割

操作的脚本：

#!/bin/bash

d=$(date -d "-1 day" "+%Y%m%d") #显示前一天的时间
logs_path="/var/log/nginx"
pid_path=cat /usr/local/nginx/logs/nginx.pid

[ -d $logs_path ] || mkdir -p $logs_path #创建日志文件目录

#移动并重命名日志文件
mv /usr/local/nginx/logs/access.log $logs_path/access.log-$d

#重建日志文件
kill -USR1 $pid_path
#删除30天前的日志文件
find $logs_path -mtime +30 -exec rm -f \\;
#find $logs_path -mtime +30 |xargs rm -f

操作：首先我们先去opt目录创建一个脚本
![1.png](https://s2.51cto.com/images/20220111/1641889326593416.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
然后我们脚本内容如下
![2 脚本.png](https://s2.51cto.com/images/20220111/1641889349738103.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

最后赋权运行脚本，使用
```html/xml
ls /var/log/nginx   #查看是否被分割了日期
ls /usr/local/nginx/logs/access.log  #查看原目录

如图所示：分割成功

配置Nginx实现连接超时

为避免同- -客户端长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现控制连接访问时间

超时参数：

Keepalive_ timeout

设置连接保持超时时间

Client_header_timeout

指定等待客户端发送请求头的超时时间

Client_body_timeout

设置请求体读超时时间

HTTP有一.个KeepAlive模式，它告诉web服务器在处理完一。 个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。
KeepAlive在一段时 间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。

vim /usr/local/nginx/conf/nginx.conf
http 
.........
keepalive_timeout 65 180;
client_header_timeout 80;
client_body_timeout 80;
...........

systemctl restart nginx

keepalive timeout

指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间，服务器将会在这个时间后关闭连接。Nginx的默认值是65秒，有些浏览器最多只保持60秒，所以可以设定为60秒。若将它设置为0，就禁止了keepalive连接。第二个参数(可选的)指定了在响应头Keep- -Alive:t imeout=time中的time值。这个头能够让- . 些浏览器主动关闭连接，这样服务器就不必去关闭连接了。没有这个参数，Nginx不会发送Keep-Alive 响应头。

client header timeout

客户端向服务端发送一-个完整的request header 的超时时间。如果客户端在指定时间内没有发送一- 个完整的request header, Nginx返回HTTP 408 (Request Timed Out)。返回HTTP 408 (Request Timed Out)。

client body _timeout

指定客户端与服务端建立连接后发送request body 的超时时间。如果客户端在指定时间内没有发送任何内容，Nginx返回HTTP408 ( Request Timed Out)。

操作：
首先是老样子：vim /usr/local/nginx/conf/nginx.conf

进去后如图所示进行修改
分别是
```html/xml
TCP的超时时间
相应头超时时间
相应体超时时间

![1.png](https://s2.51cto.com/images/20220111/1641889622698228.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 更改Nginx运行进程数

默认情况，Nginx的多个进程可能跑在一-个CPU上， 可以分配不同的进程给不同的CPU处理，充分利用硬件多核多CPU

在一台4核物理服务器，进行配置，将进程进行分配

vim /usr/local/nginx/conf/nginx.conf

.......................
worker_processes 4; #修改核心，为2的倍数（超线程）
worker_cpu_affinity 0001 0010 0100 1000; （修改每个进程由不同的CPU处理，多线程技术）
.......................

![1.png](https://s2.51cto.com/images/20220111/1641889833188764.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

注释：

修改配置文件的worker_ _processes参数

在高并发情况下可设置为CPU个数或者核数的2倍

增加进程数，可减少了系统的开销，提升了服务速度

使用ps aux查看运行进程数的变化情况

cat /proc/cpuinfo | grep -C "physical"
vi nginx.conf
.........
worker_processes 4;
........
systemctl restart nginx
ps aux | grep nginx

![1.png](https://s2.51cto.com/images/20220111/1641889939122980.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

### 配置Nginx实现网页压缩功能

Nginx的ngx_ _http_ _gzip_ module压缩模块提供对文件内容压缩的功能

允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装

可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

**压缩功能参数**

gzip on:开启gzip压缩输出

gzip_ min_ length 1k:设置允许压缩的页面最小字节数

gzip_ buffers4 16k:申请4个单位为1 6k的内存作为压缩结果流缓存，默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果

gzip_ http_ _version 1.0:设置识别http协议版本， 默认是1.1,目前大部分浏览器已经支持gzip解压，但处理较慢，也比较消耗服务器CPU资源

压缩功能参数
gzip_ comp_ level 2:指定gzip压缩比， 1压缩比最小，处理速度最快; 9压缩比最大，传输速度快，但处理速度最慢

gzip_ types text/plain:压缩类型，对哪些网页文档启用压缩功能
gzip_ vary on:让前端缓存服务器缓存经过gzip压缩的页面

操作：

```html/xml
  #首先是去32行注释掉，开启压缩功能，加入以下代码  
    gzip  on;
    gzip_min_length 1k;  #设置级别，最小压缩
    gzip_buffers 4 16k;  #设置压缩缓冲区
    gzip_http_version 1.1;   #压缩版本（默认1.1）
    gzip_comp_level 6;    #压缩等级，6级
    gzip_vary on;         #支持前端缓存服务器存储压缩页面
    gzip_types text/plain text/javascript application/x-javascript text/css text/xml application    /xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php applic    ation/javascript application/json;        #设置哪些文件格式启用压缩

保存后退出即可，然后重启Nginx
systemctl restart nginx
然后我们去/usr/local/nginx/html
然后传一个文件去这个目录，在该目录的index.html文件下载入这个图片就行了

最后我们登陆客机的网页，打开查看器，发现成功启动压缩功能

配置Nginx实现防盗链

在企业网站服务中，一般都要配置防盗链功能，以避免网站内容被非法盗用，造成经济损失
Nginx防盗链功能也非常强大。默认情况下，只需要进行简单的配置，即可实现防盗链处理
示例：
使用两台主机模拟盗链

环境：
```html/xml
主机发布：206.5 www.123.com
盗版机子 206.3 www.456.com

**首先是主机发布**
vim /usr/local/nginx/conf/nginx.conf
进去后如下修改（2.jpg是错误图片，不要与上面小括号的格式相同哦，会近死循环）
![1.png](https://s2.51cto.com/images/20220111/1641898282342684.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

systemctl restart nginx 就行
接着下面把图和错误图放进/usr/local/nginx/html/
下面 vim /usr/local/nginx/html/index.html
<img src="1.PNG"/> 图片放进去
![1.png](https://s2.51cto.com/images/20220111/1641898376654835.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
保存后退出
```html/xml
#域名加入host
echo "192.168.206.5 www.123.com" >> /etc/hosts 
echo "192.168.206.3  www.456.com" >> /etc/hosts 

然后开始准备盗机
```html/xml
#域名加入host
echo "192.168.206.5 www.123.com" >> /etc/hosts
echo "192.168.206.3 www.456.com" >> /etc/hosts

```html/xml
yum install -y httpd ：按照阿帕奇
然后systemctl start httpd
    systemctl stop firewalld
    setenforce 0

完成后我们cd /var/www/html
然后vim index.html
输入以下内容即可
```html/xml
<html>
<body>
test
<img src="http://www.123.com/1.PNG"/>;
</body>
</html>

#备注：http://www.123.com/1.PNG 的来历是你先去用浏览器登录www.123.com。找到图片后右键，复制图片地址即可

![2.png](https://s2.51cto.com/images/20220111/1641898537312878.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
我们保存好退出，重启httpd服务就行!
systemctl restart httpd

验证：首先我们去www.123.com正版验证
![防盗链验证成功 1.png](https://s2.51cto.com/images/20220111/1641898748754258.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
然后我们去盗版www.456.com验证，发下图片变了，称为报错的error图片
![防盗链验证成功.png](https://s2.51cto.com/images/20220111/1641898775986385.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)