Nginx网页与安全优化

Posted 姜姜是美女

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Nginx网页与安全优化相关的知识,希望对你有一定的参考价值。

前言

在企业信息化应用环境中,服务器的安全性和响应速度需要根据实际情况进行响应参数配置,以达到最优的用户体验,默认的 nginx 安装参数只能提供最基本的服务,还需要调和如网页缓存时间、连接超时、网页压缩等响应参数,才能发挥出服务器的最大作用

一、隐藏版本号

  • 在生产环境中,需要隐藏 Nginx 的版本号,以避免泄露 Nginx 的版本,使攻击者不能针对特定版本进行攻击
  • 可以使用 Fiddler 工具抓取数据包,查看 Nginx版本,也可以在 CentOS 中使用命令 curl -I http://192.168.126.11显示响应报文首部信息
curl -I http://192.168.126.11

方法一:修改配置文件方式

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;								#添加,关闭版本号
    ......
}

systemctl restart nginx
curl -I http://192.168.126.11

systemctl restart nginx  

方法二:修改源码文件,重新编译安装

vim /opt/nginx-1.12.2/src/core/nginx.h
#define NGINX_VERSION "1.1.1" 					#修改版本号
#define NGINX_VER "IIS" NGINX_VERSION 			#修改服务器类型

cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

编译并安装

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
	......
}

systemctl restart nginx
curl -I http://192.168.126.11

二、修改用户和组

vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; 								#取消注释,修改用户为 nginx ,组为 nginx

systemctl restart nginx

ps aux | grep nginx
主进程由root创建,子进程由nginx创建

三、缓存时间

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		
		location ~ \\.(gif|jpg|jepg|png)$ { 		#加入新的 location,以图片作为缓存对象
			root html;
			expires 1d;									#指定缓存时间,1天
		}
......
	}
}
  • 将上面4行命令模式下4yy进行复制然后修改,~区分大小写,以.gif、jpg等格式结尾的

  • 把照片拖进去

在Linux系统中,打开火狐浏览器,右击点查看元素
选择 网络 —> 选择 HTML、WS、其他
访问 http://192.168.126.11 ,双击200响应消息查看响应头中包含 Cahce-Control:max-age=86400 表示缓存时间是 86400 秒。也就是缓存一天的时间,一天之内浏览器访问这个页面,都是用缓存中的数据,而不需要向 Nginx 服务器重新发出请求,减少了服务器的使用带宽

四、日志分割

vim fenge.sh
#!/bin/bash

day=$(date -d "-1 day" "+%Y%m%d")  				 #显示前一天的时间   
logs_path="/var/log/nginx"
pid_path=`cat /usr/local/nginx/logs/nginx.pid`

[ -d $logs_path ] || mkdir -p $logs_path      	  #创建日志文件目录

#移动并重命名日志文件
mv /usr/local/nginx/logs/access.log ${logs_path}/xjjj.com-access.log-{$d}

#重建日志文件
kill -USR1 $pid_path
#删除30天前的日志文件                   
find $logs_path -mtime +30 -exec rm -rf {} \\;
#find $logs_path -mtime +30 | xargs rm -rf

source fenge.sh
ls /var/log/nginx
ls /usr/local/nginx/logs/access.log 

crontab -e
0 1 * * * /root/fenge.sh

五、连接超时

  • 在企业网站中,为了避免同一个客户长时间占用连接,造成资源浪费,可以设置相应的超时参数,实现对连接访问时间的控制
  • HTTP 有一个 KeepAlive 模式,它告诉 web 服务器在处理完一个请求后保持这个 TCP 连接的打开状态
  • 若接收到来自客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接
  • KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源,而占用过多就会影响性能
vim /usr/local/nginx/conf/nginx.conf
http {
...... 
    keepalive_timeout 65 180;
    client_header_timeout 80;
    client_body_timeout 80;
...... 
}

systemctl restart nginx

keepalive_timeout
指定KeepAlive的超时时间(timeout),指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。
第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头。

client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。

client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)

六、更改进程数

  • 在高并发环境中,需要启动更多的 Nginx 进程以保证快速响应,用以处理用户的请求,避免造成阻塞
cat /proc/cpuinfo | grep -c "physical id"	  #查看cpu核数
ps aux | grep nginx							#查看nginx主进程中包含几个子进程
  • 使用以下命令可以查看 Nginx 运行进程的个数

  • 其中,master 是 Nginx 的主进程,开启了 1 个,work 是子进程,也只开启了 1 个
  • 修改 Nginx 配置文件中的 worker_processer 参数,一般设为 CPU的个数或核数,在高并发的情况下可以设置为 CPU的个数或者核数的 2 倍,可以先查看 CPU 的核数以确定参数

vim /usr/local/nginx/conf/nginx.conf
worker_processes  2;				#修改为核数相同或者2倍,运行进程数多一些,响应客户端访问请求时,Nginx就会临时启动新的进程提供服务,减少了系统的开销,提升了服务速度
worker_cpu_affinity 01 10;			#设置每个进程由不同cpu处理,进程数配2 4 6 8分别为0001 0010 0100 1000 

systemctl restart nginx

worker_processes最多开启8个,8个以上性能就不会再提升了,而且稳定性会变的更低,因此8个进程够用了

2核2进程:
worker_processes 2;
worker_cpu_affinity 01 10;

4核4进程:
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000

8核8进程:
worker_processes 8;
worker_cpu_affinity 0001 0010 0100 1000 10000 100000 1000000 10000000

七、配置网页压缩

  • Nginx 的 ngx_http_gzip_module 压缩模块提供了对文件内容压缩的功能,允许 Nginx 服务器将输出内容发送到客户端之前进行压缩,以节约网站的带宽,提升用户的访问体验
  • 默认 Nginx 已经安装该模块,只需在配置文件中加入相应的压缩功能参数即可对压缩性能进行优化
vim /usr/local/nginx/conf/nginx.conf
http {
...... 
    gzip  on;				   #取消注释,开启gzip压缩功能
    gzip_min_length 1k;			#用于设置允许压缩的页面最小字数
    gzip_buffers 4 16k;			#压缩缓冲区,大小为4个16k缓冲区
    gzip_http_version 1.1;		#压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
    gzip_comp_level 6;			#压缩比率
    gzip_vary on;			    #该选项可以让前端的缓存服务器缓存经过gzip压缩的页面
    gzip_types text/plain application/x-javascript text/css image/jpg image/jpeg image/png image/gif application/xml text/javascript application/x-httpd-php application/javascript application/json;	 #压缩类型,指对哪些网页文档启用压缩功能
    }

cd /usr/local/nginx/html
先将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
...... 
<img src="xiaochai.jpg"/>				#网页中插入图片
</body>
</html>

systemctl restart nginx

在Linux系统中,打开火狐浏览器,右击点查看元素
选择 网络 —> 选择 HTML、WS、其他
访问 http://192.168.126.11

八、配置防盗链

  • 在企业网站中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失,也避免不必要的带宽浪费

1.配置盗链主机

  • 盗链网站主机(192.168.126.13)

新开一台盗链主机进行配置,以“白嫖”目标网页的图片内容

#安装httpd服务
yum -y install httpd
systemctl start httpd

#配置临时dns映射
echo "192.168.126.11 www.xjj.com" >>/etc/hosts
echo "192.168.126.13 www.xcf.com" >>/etc/hosts


vim /var/www/html/index.html

<html><body><h1>hello world~ </h1>
<img src= "http://www.xjj.com/xiaochai.jpg"/>
</body></html>


systemctl restart httpd.service

盗链成功

2.配置防盗链

  • Web源主机(192.168.126.11)

  • 在源主机的配置文件中加入以下代码

[root@www html]# rz -E
[root@www html]# ls
50x.html  bug.jpg  index.html  xiaochai.jpg  yaling.jpg
location ~* \\.(gif|jpg|jepg)$ {
        #这段正则表达式表示匹配不区分大小写,以.jpg或.gif或.jepg结尾的文件
                valid_referers *.xjj.com xjj.com;
                #设置信任的网站,可以正常使用图片
                #后面的网址或域名:referer中包含相关字符串的网页
                if ( $invalid_referer ) {
                rewrite ^/ http://www.xjj.com/bug.jpg;
                #return 403;
                #if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为1,则执行后面的操作,即进行重写或返回403页面
        }
}

systemctl restart httpd.service
  • 盗链网站主机(192.168.126.13)
cd /usr/local/nginx/html
vim index.html
...... 
<img src="http://www.xjj.com/xiaochai.jpg"/>
</body>
</html>

echo "192.168.126.11 www.xjj.com" >> /etc/hosts 
echo "192.168.126.13 www.xcf.com" >> /etc/hosts 

九、FPM参数优化

  • Nginx 的 PHP 解析功能实现如果是交由 FPM 处理的,为了提高 PHP 的响应速度,可以对 FPM 模块进行参数的调整

  • 首先,安装带 FPM 模块的 PHP 环境,保证 PHP 可以正常运行

  • FPM 进程有两种启动方式,由 pm 参数指定,分别是 static 和 dynamic,前者将产生固定数据的 fpm 进程,后者将以动态的方式产生 fpm 进程

static 方式可以使用 pm.max_children 指定启动的进程数量,dynamic 方式的参数则要根据服务器的内存与服务负载进行调整,参数如下表所示

pm.max_children指定启动的进程的最大的数量
pm.start_servers动态方式下初始的 ftpm 进程数量
pm.min_spare_servers动态方式下最小的 fpm 空闲进程数
pm.max_spare_servers动态方式下最大的 fpm 空闲进程数

下面假设有云服务器上,运行了个人论坛,内存为 1.5GB,fpm 进程数为 20,内存消耗近 1GB,处理比较慢,需要对参数进行优化处理:

vim /usr/local/php/etc/php-fpm.conf 
pid = run/php-fpm.pid


vim /usr/local/php/etc/php-fpm.d/www.conf
–96行–
pm = dynamic
#以动态方式产生 fpm 进程
–107行–
pm.max_children=20
#启动的进程最大数量为20
–112行–
pm.start_servers = 5
#动态方式下初始的 ftpm 进程数为5
–117行–
pm.min_spare_servers = 2
#动态方式下最小的 fpm 空闲进程数为2
–122行–
pm.max_spare_servers = 8
#动态方式下最大的 fpm 空闲进程数为8


kill -USR2 `cat /usr/local/php/var/run/php-fpm.pid`
#重启php-fpm

netstat -anpt | grep 9000
  • FPM 启动时有 8 个进程,最小空闲 2 个进程,最大空闲 8 个进程 ,最多可以有 20 个进程

总结

Nginx:处理静态请求的服务(擅长的功能)

特性:3-5万的理论值并发,受CPU与最大文件打开数影响

轻量级:
功能丰富(开源+收费)
缺陷:默认是不支持集群的

①配置文件组成:

global 全局模块配置
http { } 模块配置
server 模块
location 匹配URL 和 路径

②Nginx有哪些模块

status
rewrite
FPM
virtual_ host虚拟主机
gzip
tokens off

③NG优化

  • 防盗链
  • 隐藏版本——>①配置文件 ②源码-——>需要重新编译安装
  • 修改用户和组
  • 缓存时间
  • 日志分割
  • 网页压缩——>gzip——>管理压缩比、最小压缩对象的大小、压缩保存的缓冲区个数和大小、前端缓存是否保存——>临时缓存文件/目录的权限调整
  • 连接超时
  • FPM
  • work工作进程资源分配
  • 虚拟主机基于: IP/端口/域名

以上是关于Nginx网页与安全优化的主要内容,如果未能解决你的问题,请参考以下文章

Nginx优化与防盗链

Nginx优化---隐藏版本号与网页缓存时间

Nginx服务优化及优化深入

linux学习:Nginx--常见功能配置片段与优化-06

Nginx的优化与防盗链

nginx网页优化 上