Nginx 최적화 및 거머리 방지
버전 번호 숨기기
Fiddler 도구를 사용하여 데이터 패킷을 가져오고 Nginx 버전을 확인
하거나 Centos에서 curl -I http://192.168.80.10 명령을 사용하여 응답 메시지의 헤더 정보를 표시 할 수 있습니다.
curl -I http://192.168.238.20
方法一(隐藏版本):修改配置文件方式
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; 添加,关闭版本号
,.....
systemctl restart nginx.service
curl -I http://192.168.238.20
方法二(伪装版本号):修改源码文件,重新编译安装
vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION #修改服务器类型
cd /opt/nginx-1.12.0/
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module
make && make install
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on; 打开
systemctl restart nginx
curl -I http://192.168.238.20
사용자 및 그룹 수정
vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; #取消注释,修改用户为nginx,组为nginx
systemctl restart nginx
ps aux | grep nginx
主进程由root创建,子进程由nginx创建
캐시 시간
vim /usr/local/nginx/conf/nginx.conf
http {
server {
location / {
root html;
index index.html index.htm;
}
location ~ \.(gif|jpg|jepg|png|bmp|ico)$ {
加入新的location,以图片作为缓存对象
root html;
expires 1d; #指定缓存时间, 1天
}
}
}
systemctl restart nginx
http://192.168.238.20/gou.jpg
在Linux系统中,打开火狐浏览器,右击点查看元素
选择 网络--->选择HTML、ws、其他
访问http://192.168.238.20
双击200响应消息查看响应头中包含'Cahce-Control:max-age=86400'表示缓存时间是86400秒。
也就是缓存一天的时间,一天之内浏览器访问这个页面,都是用缓存中的数据
而不需要向Nginx服务器重新发出请求,减少了服务器的使用带宽。
통나무 절단
vi /opt/fenge.sh
#!/bin/bash
#Filename:fenge.sh
day=$(date -d "-1 day" "+%Y%m%d"或"+%F") #显示前一天的时间
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path #创建日志文件目录
mv /usr/local/nginx/logs/access.log ${logs_path}/xyw.com-access.log_$day #移动并重命名日志文件
kill -USR1 $(cat $pid_path) #重建新日志文件
find $logs_path -mtime +30 -exec rm -rf {
} \; #删除30天之前的日志文件
#find $logs_path -mtime +30 | xargs rm -rf
chmod +x /opt/fenge.sh
/opt/fenge.sh
ls /var/log/nginx
ls /usr/local/nginx/logs/access.log
crontab -e
0 1 * * * /opt/fenge.sh
ctime, atime, mtime
Linux 운영 체제에서 각 파일에는 많은 시간 매개 변수가 있으며,이 중 3 개가 더 중요한, 즉 ctime, atime, mtime
ctime (status time):
当修改文件的权限或者属性的时候,就会更新这个时间,ctime并不是create time,更像是change time,只有当更新文件的属性或者权限的时候才会更新这个时间,但是更改内容的话是不会更新这个时间。
atime (accesstime):
当使用这个文件的时候就会更新这个时间。
mtime (modification time):
当修改文件的内容数据的时候,就会更新这个时间,而更改权限或者属性,mtime不会改变,这就是和ctime的区别。
연결 시간이 초과되었습니다
HTTP에는 요청을 처리 한 후 TCP 연결을 열린 상태로 유지하도록 웹 서버에 지시하는 KeepAlive 모드가 있습니다. 클라이언트로부터 다른 요청을 받으면 서버는 다른 연결을 설정하지 않고이 닫히지 않은 연결을 사용합니다.
KeepAlive는 일정 기간 동안 열려 있으며이 기간 동안 리소스를 차지합니다. 과도한 사용은 성능에 영향을 미칩니다.
vim /usr/local/nginx/conf/nginx.conf
http {
keepalive_timeout 65 180;
client_header_timeout 80;
client_body_timeout 80;
}
systemctl restart nginx
keepalive_timeout
指定KeepAlive的超时时间(timeout) 。指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。
Nginx的默认值是65秒,有些浏览器最多只保持60秒,所以可以设定为60秒。若将它设置为0,就禁止了keepalive连接。
第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx不会发送Keep-Alive响应头。
client_header_timeout
客户端向服务端发送一个完整的request header的超时时间。如果客户端在指定时间内没有发送一个完整的request header,Nginx返回HTTP 408 (Request Timed out)
client_body_timeout
指定客户端与服务端建立连接后发送request body的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx返回HTTP408 (Request Timed Out)。
변경 과정
cat /proc/cpuinfo | grep -c "physical id" #查看cpu核数
ps aux | grep nginx #查看nginx主进程中包含几个子进程
vim /usr/local/nginx/conf/nginx.conf
worker_processes 2; #修改为核数相同或者2倍
worker_cpu_affinity 01 10; #设置每个进程由不同cpu处理,进程数配为4时0001 0010 0100 1000
systemctl restart nginx
웹 페이지 압축 구성
vim /usr/local/nginx/conf/nginx.conf
http {
gzip on; #取消注释,开启gzip压缩功能
gzip_min_length 1k; #最小压缩文件大小
gzip_buffers 4 64k; #压缩缓冲区,大小为4个64k缓冲区
gzip_http_version 1.1; #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
gzip_comp_level 6; #压缩比率
gzip_vary on; #支持前端缓存服务器存储压缩页面
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rssimage/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json; #压缩类型,表示哪些网页文档启用压缩功能
}
cd /usr/local/nginx/html先将gou.jpg文件传到/usr/local/nginx/html目录下
vim index.html
....
<img src="gou.jpg"/> #网页中插入图片
</body></html>
在Linux系统中,打开火狐浏览器,右击点查看元素
选择 网络-->选择HTML、WS、其他
访问http://192.168.238.20,双击200响应消息查看响应头中包含"Content-Encoding: gzip"
거머리 방지 구성
盗链机
yum install -y httpd
vim /var/www/html/index.html
<html><body><h1>IT WORKS!</h1>
<img src="http://192.168.238.20/gou.jpg"/>
</body></html>
echo "192.168.238.20 www.xyw.com" >> /etc/hosts
echo "192.168.238.40 www.abc.com" >> /etc/hosts
systemctl restart httpd.service
源主机
cd /var/www/html/xyw
[root@www xyw]#ls
gou.jpg index.html
vim index.html
</body></html>
<html><body>
<h1>www.xyw.com<h1>
<img src="gou.jpg"/>
</body></html>
systemctl restart nginx.service
可以访问www.xyw.com查看图片
也可访问http://192.168.238.20进行查看
此时盗链主机已经可以盗链
访问www.abc.com进行盗链
源主机配置防盗链
vim /usr/local/nginx/conf/nginx.conf
http {
server {
location ~* \.(jpg|gif|swf)$ {
valid_referers *.kgc.com kgc.com;
if ($invalid_referer) {
rewrite ^/ http://www.kgc.com/error.png;
#return 403;
}
}
}
}
cd /var/www/html/xyw
[root@www xyw]#ls
gou.jpg index.html
[root@www xyw]#rz -E 将防盗链图片拖进来
rz waiting to receive.
[root@www xyw]#ls
error.jpg gou.jpg index.html
[root@www xyw]#mv error.jpg error.png 因为原图片和盗链图篇格式不能一致,修改盗链图片格式,记得别人忘记文件里面的也要修改
[root@www xyw]#ls
error.png gou.jpg index.html
systemctl restart nginx.service
~ *. (jpg | gif | swf) $ :이 정규식은 .jpg 또는 .gif 또는 .swf로 끝나는 대소 문자를 구분하지 않는 파일과 일치 함을 나타냅니다.
valid_referers : 신뢰할 수있는 웹 사이트 설정, 사진은 정상적으로 사용할 수 있음, URL 또는 도메인 name : Referer에 관련 문자열 URL이 포함되어 있음
if 문 : 링크의 소스 도메인이 valid_referers에 나열된 목록에없고 sinvalid referer가 1이면 다음 작업을 수행합니다. 즉, 403 페이지로 다시 쓰기 또는 반환 .
此时盗链机已经无法盗链
可以访问www.abc.com验证
