Nginx web优化

 

1安全优化

 

     一般来说,网站的漏洞都和版本有关系,我们本身应该去影藏web的版本和信息,做到一个安全的优化

 

要想隐身先了解版本号

spacer.gif

这是我访问的一个错误页面,发现nginx 的网站  版本信息1.6.2

这样网站就会暴露在公网上,怎么去隐藏?

编辑nginx.conf

添加

server_tokens off;

 

spacer.gif

 

 

 

这样咱们的Nginx 版本号隐藏了,那么web信息怎么隐藏

 

更改nginx 源码

[root@localhost ~]# sed -n '13,17p' /usr/src/nginx-1.6.2/src/core/nginx.h

#define NGINX_VERSION      "1.6.2"

#define NGINX_VER          "nginx/" NGINX_VERSION

 

#define NGINX_VAR          "NGINX"

 

[root@localhost ~]# sed -i '#Server: nginx#Server: OWS#g'  /usr/src/nginx-1.6.2/src/http/ngx_http_header_filter_module.c

[root@localhost ~]# sed -n '21,30p' /usr/src/nginx-1.6.2/src/http/ngx_http_special_response.c

static u_char ngx_http_error_full_tail[] =

"<hr><center>" NGINX_VER "</center>" CRLF

"</body>" CRLF

"</html>" CRLF

;

 

 

static u_char ngx_http_error_tail[] =

"<hr><center>nginx</center>" CRLF

"</body>" CRLF

 

修改后需要重新编译

 

 

 

修改nginx默认用户

#user  nobody;

 

  

 

2优化nginx服务性能

 

优化nginx worker进程参数

Nginx worker进程参数有什么作用?

比如一个饭店,只有一个厨师,那么很忙,于是招来了3哥厨师,但是新来的3个厨师没分配,那么还是1个厨师干活,那就得给3哥厨师安排活,分担

 

Cpu也是一样给每个cpu安排不同的工作,这就是worker进程参数的优化

 

 

 

首先看看我的nginx webcpu配置

[root@localhost ~]# cat /proc/cpuinfo| grep processor |   wc -l

1

表示我是1核的cpu

那么我在这里吧work参数改成合数的2

修改nginx.conf

[root@localhost ~]# ps -ef | grep nginx

root     40359     1  0 20:30 ?        00:00:00 nginx: master process /application/nginx/sbin/nginx

nginx    40360 40359  0 20:30 ?        00:00:00 nginx: worker process        

nginx    40361 40359  0 20:30 ?        00:00:00 nginx: worker process        

root     40363  1693  0 20:30 pts/0    00:00:00 grep nginx

 

 

会看到cpu 有两个worker进程在运行

 

 

 

Nginx 事件处理模型的优化

 

Nginx 的连接机制在不同的系统会采用不同的I/O处理模型,在linux 采用epollIO多用复用模型

 

修改如下

events {

    use epoll;

    worker_connections  1024;

}

 

 

调整nginx 单个进程最大连接数

这个连接是指nginx 单个进程最大连接用户的数量,可以根据你的cpu 参数调整

events {

    use epoll;

    worker_connections  1024;

}

 

 

调整worker进程最大打开文件数

 worker_rlimit_nofile  65535;  优化worker进程打开文件的数量

 

 

 

 

Nginx 开启高效文件传输模式

Sendfile参数用来开启nginx 网络高效文件传输模式,可以防止 磁盘IO阻塞和网络阻塞的问题,提高nginx 的效率

 

 

开启nginx 压缩功能

 

Nginx 压缩优点:

1可以提高用户和访问速度,因为压缩的文件比没有压缩的文件整体小,所以访问要快

2 节约网络带宽

3 可以设置不同的压缩对象,比如小于1k的就不需要压缩,还有视频之类的文件也不需要

压缩

 

 

参数

gzip  on; 开启gzip压缩功能

 

 

 

开启expire缓存功能

 

整体来说这个模块就是将用户访问网站的一些信息记录下来,下次来了访问直接按记录访问,提高访问效率,可以给这个内容设置过期时间,定期会自动清理缓存内容

 

 

expires 缓存优点

降低网站访问带宽提高成本

加快用户访问速度。

服务器访问量降低,服务器压力也就降低了

 

 

expires 配置:

    server {

        listen       80;

        server_name  www.xiaohu.com;

        location / {

            root   html;

            index  index.html index.htm;

        }

        location ~ .*\.(gif|jpg|png)$

{

        expires 3650d;

}

 

 

代表将访问网站的gif jpg png 结尾的图片缓存,时间为3650

 

 

缓存可以对单个文件进行缓存,也可以对整体文件进行缓存

 

 

Nginx 日志优化

 

1.切割日志  后续会写

2.不记录不需要的访问日志   如果每个访问日志都记录的话对IO也是一种压力,向对图片之类的日志就不需要记录了。

 配置

 

       location ~ .*\.(gif|jpg|png)$ {

access_log off;

expires 3650d;

}

 

3.访问日志权限的问题

假如日志目录为/app/logs

授权方法

chown -R root.root /app/logs

chmod 700 /app/logs

 

 

Nginx  站点访问目录和文件URL 访问控制

 

web服务上,有些站点的目录对用户的上传文件是有限制的,比如上传文件的大小,上传的格式,对哪些类型的文件拒绝,允许哪些文件上传,这就是访问控制。

 

参数

禁止访问目录下的py php sh的程序

  location ~ ^/images/.*\.(php|py|sh)$ {

        deny all;

}

 

 

禁止访问.txt.doc 的文件

 

 

           location ~* \.(txt|doc)$ {

        root /var/www;

        deny all;

        }

 

 

 

静止访问指定目录下的所有文件

 

       location ~ ^/static/ {

        deny all;

}

 

禁止ip进行访问网站

location \ {

                deny 10.0.0.0/24;

                deny  192.168.1.105;

                allow all;

}

 

测试用105访问