linux高级运维之nginx
Nginx -one:
基本了解
Nginx搭建
用户认证
基于域名的虚拟主机
安全的ssl虚拟主机
基本了解
常见的web服务器比较:
Unix和Linux平台:Apache Nginx tengine Tomcat Lighttpd
Windows:IIs(Internet information server)
Tengine 淘宝引擎 优化了Nginx
server:"tarena" 请求头文件中显示的版本 改过的
不要暴露自己的服务器软件及版本容易被×××。
网页类型:
php python: apache nginx tengine lighttpd
java : tomcat IBM WebSphere Jboss
Nginx搭建: 1、安装:
yum -y install gcc pcre-devel openssl-devel
pcre-devel redhat中以-devel结束的包通常是代表依赖包 这个是支持兼容Perl语言的正则
redhat中@anaconda/7.4通常是代表这个已经装上了没有这个的代表是在Yum中而没有装。
useradd -s /sbin/nologin nginx
tar -xf nginx-1.10.3.tar.gz
cd nginx-1.10.3
./configure:
--prefix=/usr/local/nginx \ //指定安装路径
> --user=nginx \ //指定用户
> --group=nginx \ //指定组
以普通用户来启动服务!更安全 被×××以后也只会获得普通用户权限而且是/sbin/nologin 不能登陆的用户。
> --with-http_ssl_module //开启SSL加密功能
模块话设计:尽可能多的人的需求
100个功能 相互独立 可以选择需求功能安装 设计为100个模块。
不知道模块就可以安默认
/.configure时就相当于windows下装软件时选择功能后下一步下一步。可以选路径模块 功能
第一次装的时候可以直接confiure 它会告诉你有哪些依赖包你没装。gcc 没有就装gcc
什么没有装什么。
make && make install
make 把src的c语言的转为二进制的格式 生成一个程序 但是在家目录下
make install 把make生成的程序拷贝到可执行路径下 等等操作。
nginx -V 能看到别人安装软件时是怎么confgiure的了可以照着安装。
nginx version: nginx/1.10.3
configure arguments: --prefix=/usr/local/nginx
--user=nginx --group=nginx --with-http_ssl_module
ln -s /usr/local/nginx/sbin/nginx /sbin/
做了个快捷方式到可执行程序路径下,可以直接nginx后Tab了方便管理服务
ll /sbin/nginx 可以看到软链接情况。
nginx 启动服务
/usr/local/nginx/sbin/nginx -s reload //重新加载配置文件
必须在服务开启时才能用。不关服务时重读配置文件!!! 不会影响别人的服务访问。
setenforce 0
firewall-cmd --set-default-zone=trusted
curl http://127.0.0.1 访问测试
2、平滑升级:
cd nginx-1.12.2
./configure
> --prefix=/usr/local/nginx \
> --user=nginx \
> --group=nginx \
> --with-http_ssl_module
make 千万不要make install 这样就覆盖安装了,不是平滑升级了。
conf html logs 都希望保留
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginxold
sbin 把这个下面的程序升级。升级有风险最好备份一下老的程序nginxold 想用老的就用nginxold。
cp objs/nginx /usr/local/nginx/sbin/
objs里放的是make出来的新的可执行绿色程序。
make upgrade 杀死老程序 重新启动升级后的新程序。
make upgrade 失败了就
netstat -natulp | egrep nginx 看进程号 7035
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 7035/nginx
kill 7035 或者killall nginx 再启动服务即可
nginx
nginx -V
nginx version: nginx/1.12.2
程序、进程、线程:
程序program (下载到硬盘的) 很多是多进程的程序 可以同时访问多个页面(并发高些,占内存高)
进程process(内存里启动的程序,进程之间是独立的不会相互影响)
线程thread (进程下面再启动的加线程 更省内存一些 进程挂了下面的8个线程全挂了 进程线程结合着用
pstree
├─polkitd───5*[{polkitd}] 这个进程中启动了5个线程。
worker_processes 1; 双击时启动1个进程。
用户认证:
vim /usr/local/nginx/conf/nginx.conf (配置文件框架)
<VirtualHost *:80>
ServerName www0.example.com
DocumentRoot /var/www/nsd01
</VirtualHost> nginx的虚拟主机和Apache的虚拟主机类似
全局配置
(进程所有者;启动进程数量;日志文件;pid文件;单进程最大并发量;...)
http{ 配置容器
server{ 虚拟主机
listen 80;
server_name localhost;
root html; 发布目录(位置)
location / {
root html;
index index.html index.htm;
}
}
server{
listen 80;
server_name www.xyz.com;
root www;
}
}
server中添加:
auth_basic "Input Password:"; //认证提示符
auth_basic_user_file "/usr/local/nginx/pass"; //认证密码文件 怎么敲都没有!要在这个路径下建一样的文件 写上密码和用户名。
install httpd-tools
htpasswd -c /usr/local/nginx/pass tom 第一个用户要-c
cat /usr/local/nginx/pass
tom:$apr1$0fBOo/ZS$lIw/0axG5oQ7kELEb5D1K1
htpasswd /usr/local/nginx/pass lisi 第二个用户不要c
删除用户就直接vim进去删除。
nginx -s reload
firefox http://192.168.4.5
基于域名的virtualhost
理论概述:
用户没用域名直接用IP的话出来的页面为配置文件中的第一个server的页面
容器配置中 域名 IP 端口 总有一个不一样,哪个不一样就是基于哪个的虚拟主机。
ctrl + v 选了以后再x就可以批量去注释了。
nginx 的配置文件 /usr/local/nginx/conf/nginx.conf
nginx 的(root)默认网页根目录 /usr/local/nginx/html
改配置:
第一个sever
server_name www.a.com;
location:root html;
第二个sever
server_name www.b.com;
location:root www;
mkdir /usr/local/nginx/www
echo "www" > /usr/local/nginx/www/index.html
nginx -s reload
vim /etc/hosts
192.168.4.5 www.a.com www.b.com
firefox http://www.a.com
firefox http://www.b.com
安全的ssl虚拟主机
理论概述:
ssl 加密网站部署
http协议是明文协议
https协议是加密协议
对称加密
加123 解123 同一把钥匙
非对称
加123 解dkfgjhdlk (随机) 无任何规律 不是同一把钥匙。
md5: 网上的所有妙传都是基于这个原理 压根都没传 核对md5 一样的就不用传了。
鉴黄师 删除的是md5 相关的所有文件 就把这个视频都在网上删除了。
校验文件内容是否有变化 网站上东西时会提供md5码 用于检验下载文件是否完整。
不安全 被破解了。 山东大学 王小东
码是用内容来决定的 内容不变码不变 只于文件内容有关。
非对称加密:
浏览器自动下载了公钥 浏览器自动用公钥加密了数据 网站自动用私钥来解密
openssl req -new -x509 -key cert.key > cert.pem //生成证书
请求生成 一个新的证书 格式为509 钥匙是刚刚生成的私钥匙。
第一个必须两个字母其他的随便。
实验:
生成私钥与证书
cd /usr/local/nginx/conf
openssl genrsa > cert.key
openssl req -new -x509 -key cert.key > cert.pem
改Nginx配置
vim /usr/local/nginx/conf/nginx.conf
server里location外:
listen 443 ssl;
server_name www.c.com;
ssl_certificate cert.pem; #这里是证书文件
ssl_certificate_key cert.key; #这里是私钥文件
nginx -s reload
vim /etc/hosts
192.168.4.5 www.c.com www.a.com www.b.com
firefox https://www.c.com
nginx-two:
LNMP平台搭建及地址重写:
主流端企业网站平台之一:LNMP(LAMP)
lnmp:linux nginx (mariadb | mysql) (php | python | perl )新项目多数是这个
lamp:linux apache(mariadb | mysql) (php | python | perl )老项目用的这个能不动就不动
动态页面:java php python perl ruby
静态页面:html
一、lnmp平台搭建:
安装步骤:按照lnmp这几个字母的顺序进行安装避免出错。
1安装源码包的依赖包
yum -y install gcc openssl-devel pcre-devel(地址重写要这个包) zlib-devel
2安装完成nginx并启服务
cd nginx-1.12.2/ 进入解压后的位置
useradd -s /sbin/nolgin/ nginx 创建一个不能登录端用户
./configure --help 模块不记得了就help
./configure --prefix=/usr/local/nginx/ --user=nginx --group=nginx
--with-http_ssl_module --with-stream --with-http_stub_status_module
--without-http_autoindex_module --without-http_ssi_module
--with-http_ssl_module 加密模块
--with-stream 代理模块
--with-http_stub_status_module 查看nginx状态模块
--without-http_autoindex_module 禁用文件索引模块
--without-http_ssi_module
以上是常用模块可以根据需要自行选择
make && make install
ln -s /usr/local/nginx/sbin/nginx /sbin/
nginx
ss -natulp |grep 80
3安装mariadb(客户端 启动服务) mariadb-server(服务端 提供mysql命名) mariadb-devel(依赖包)
如果是mysql就安装mysql
yum -y install mariadb mariadb-server mariadb-devel
安装nosql数据库
yum -y install memcached
4安装php(解释器) php-mysql(调用mariadb数据库的模块)
php-fpm php-pecl-memcache (调用memcache数据库的模块)
cd php_scripts/
yum -y install php php-mysql
yum -y install php-pecl-memcache
yum -y install php-fpm-5.4.16-42.el7.x86_64.rpm
5启服务和关防火墙
服务:nginx mariadb php-fpm memcached
nginx
systemctl restart mariadb
systemctl enable mariadb
systemctl restart php-fpm
systemctl enable php-fpm
systemctl restart memcached.service
systemctl enable memcached
setenforce 0
firewall-cmd --set-default-zone=trusted
6修改配置文件使能够访问php动态网站(动静分离)
vim /usr/local/nginx/conf/nginx.conf //nginx配置文件
#location 位置nginx 让用户进入
#nginx 做判断静态或动态 静态直接给 动态要交给php解释器
#location匹配用户地址栏
#同个server下可以多个location
#匹配及停止,类似if elif else的判断
location / { #/的优先级最低什么都找不着就匹配根
root html;
index index.php index.html index.htm;
#设置默认首页为index.php(只写域名或IP时)
}
location ~ \.php$ { #nginx支持正则 ~匹配。类似awk的~号匹配 (帮用户找php)
root html;
fastcgi_pass 127.0.0.1:9000; //找到php交给9000端口解释
fastcgi_index index.php;
#fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi.conf; //fastcgi.conf 一堆环境变量
}
#改错了可以cp nginx.conf.default nginx.conf 还原配置文件
vim /etc/php-fpm.d/www.conf //php配置文件 默认不用修改
[www]
listen = 127.0.0.1:9000 //PHP端口号
pm.max_children = 32 //php是多进程的;最大进程数量
pm.start_servers = 15 //最小进程数量
pm.min_spare_servers = 5 //最少需要几个空闲着的进程
随时待命一旦小于5个就自动再开启了
pm.max_spare_servers = 32 //最多允许几个进程处于空闲状态
7验证结果:
cp mem.php /usr/local/nginx/html
curl 192.168.2.111/mem.php (结果为test)
几种常见排错:
三个常用日志:
/usr/local/nginx/logs/access.log Nginx的默认访问日志文件
/usr/local/nginx/logs/error.log Nginx的默认错误日志文件
/var/log/php-fpm/www-error.log PHP默认错误日志文件
空白(页面写错了 但是第一个日志没有报错 证明nginx没有错,
页面给你了,但是页面是空。直接看php-fpm服务的报错!!
下载 (没做动态分离)
an Error (php没启动)
配置文件改错 最容易发现,因为服务都启不来。
tailf /usr/local/nginx/logs/error.log 弄到空白处 再访问test.php 最后几行一定时相关日志。
二、地址重写:(需要依赖包pcre-devel)
语法格式:
rewrite 旧地址 新地址 [选项]
所有访问a.html的请求,重定向到b.html;
location下加:
rewrite /a.html /b.html; (地址栏没变)
rewrite /a.html /b.html redirect; (跳转地址栏)
所有访问192.168.4.5的80端口就把请求重定向至www.baidu.com;
server_name下加: (注意空格)
rewrite ^/(空格)http://www.baidu.com/; 在打开自己网站之前就跳转
正则是匹配包含就算 访问4.5不管是啥都跳到tmooc。
所有访问192.168.4.5/下面子页面,重定向至www.baidu.com/下相同的页面;
server_name下加: (注意空格)
rewrite ^/(.*)$(空格)http://www.baidu.com/$1; 第一个$可有可无
$1 与正则中的\1等效 就是把根目录下的.* 粘贴到tmooc的/下。
实现firefox与curl访问相同页面文件,返回不同的内容。
理论基础:
不同浏览器访问相同页面,返回的页面的结果不同。 (手机浏览器和电脑浏览器页面不同)
电脑:sina.com
手机:sina.com 结果不同 按钮和功能不同。
首先服务器要知道客户端的浏览器是什么。
关于变量$http_user_agent :
Nginx的默认访问日志文件为/usr/local/nginx/logs/access.log 这里能知道客户端的浏览器
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
#'$status $body_bytes_sent "$http_referer" '
#'"$http_user_agent" "$http_x_forwarded_for"';
这些变量都是nginx的内置变量。
"$http_user_agent"可识别客户端的信息。
192.168.4.254 - - [26/May/2018:16:36:46 +0800] "GET /xixi HTTP/1.1" 302 161 "-" "Mozilla/5.0
(X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"
通常企业会设计两套页面 手机和PC
/usr/local/nginx/html/宽{a b c }html 默认是访问这个
如果你是uc 手机 。。。就跳转
rewrite /(.*)
/usr/local/nginx/html/andriod/窄{a b c} html 做个跳转
最终结果:
server里,location外面加:
if ($http_user_agent ~* firefox) {rewrite ^(.*)$ /firefox/$1;}
#if ($http_user_agent ~* firefox)等价于grep firefox "$http_user_agent"
地址重写格式【总结】:
rewrite a c last(不再读其他rewrite) | break (不再读其他语句,结束请求 )
匹配到了才会a跳到c才会执行last 或者break 不然相当于没写
有点if的意思 if a 再跳c elif b 跳d。。。
rewrite b d redirect 临时重定向
rewrite e f permament 永久重定向
redirect permament 给蜘蛛看的 蜘蛛 :百度 搜狗 360.。。等搜索引擎。
卖鞋子的:
url: www.jd.com/a 临时的就不动 如果是永久 就直接改数据库为www.jd.com/c让用户直接访问c
逗蜘蛛完可能被直接除名影响生意。
nginx-three: nginx调度 web高可用 tcp/udp服务代理 nginx调优
nginx调度
web高可用: 负载均衡上面挂了直接转下面(类似备份功能) 带健康检查后面机子坏了转到另外一台。
普通的情况下,nginx代理没有压力的因为它只负责转发 不负责页面请求!
——————web1
a |
user————》proxy———— |
b |
——————-web2
nginx调度器算法:
轮询算法:默认算法
ip_hash算法:相同客户端访问相同服务器。
nginx实现web反向代理: 定义集群和调用集群
部署实施后端Web服务器
vim /usr/local/nginx/conf/nginx.conf
定义集群: (后期调用)一个配置文件可以写n多个upsteam。web服务器有多少加多少。
upstream webserver {
server 192.168.2.111:80 weight=1 max_fails=1 fail_timeout=20;
//设置权重 :性能好的多承担。没改过默认都是1 各承担一次轮询一次。
3的话就是接收3次请求再交给别人。
//max_fails=1 连一次不通觉得连不上了就认为这个web服务器挂了。
//fail_timeout=30 挂了之后30秒之内不找你了。 每隔30秒就又去连一次,好了就继续轮询。
server 192.168.2.222:80;
server 192.168.2.101 down;
//人为判断标记为关机要很久才能修好 先使它不参与集群调度不去试它好没有,节省资源。
}
location / {
proxy_pass http://webserver; //调用集群,将请求转给后端web服务器
root html; #这个要改掉,不改的话自己就是web服务器了不是代理服务器,到自己根下去给客户机找页面了。
index index.html index.htm;
#rewrite /a.html /b.html redirect;
}
nginx -s reload
curl 192.168.4.5
web1
curl 192.168.4.5
web1
加上ip_hash算法:只需要在集群服务器前加上ip_hash;
解决你输了账号密码登上服务器了,只是轮询算法的话,一刷新就会到另外一台服务器上去
另外服务器没有你的账号密码信息的话就会让你重新登陆!
upstream webserver {
#通过ip_hash设置调度规则为:相同客户端访问相同服务器
ip_hash;
server 192.168.2.100 weight=1 max_fails=2 fail_timeout=10;
server 192.168.2.200 weight=2 max_fails=2 fail_timeout=10;
}
tips://最终的nginx反向代理web结果:ip哈希加轮询都要有!
tcp/udp服务代理: 需要--with-stream
四层调度,所有服务的代理,都是走tcp/ip协议 只是端口号不一样。
代理不同的服务只需要服务的端口号不一样就可以了。
可以实现只要能ping通的情况下家里就能连公司的服务器或数据库或web,不用管ip地址。
代理就是能访问平时访问不了的网站啊 所以不管是什么网段的能ping通代理服务器的ip就可以了。
新技术出来找不到资料就找官网
——————tcp/udp服务(ssh)
a |
user————》proxy———— |
b |
——————tcp/udp服务(ssh)
使用nginx代理可以用192.168.4.100 ssh 192.168.2.222 就是可以连不同网段。
源码安装Nginx软件--with-stream
启用Nginx服务,修改/usr/local/nginx/conf/nginx.conf配置文件
stream {
upstream backend {
server 192.168.2.100:22; //后端SSH服务器的IP和端口
server 192.168.2.200:22;
}
server {
listen 12345; //Nginx监听的端口
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass backend;
}
}
nginx -s reload
[root@client ~]# ssh 192.168.4.5 -p 12345 //多次访问查看效果
nginx调优: 如果客户端访问服务器提示“Too many open files”如何解决 如何解决客户端访问头部信息过长的问题 如何让客户端浏览器缓存数据 如何自定义返回给客户端的404错误页面 如何查看服务器状态信息 开启gzip压缩功能,提高数据传输效率
环境准备:
构建Nginx服务器并启动服务
解决客户端访问服务器提示“Too many open files” 储备知识:cat /proc/cpuinfo | grep process
lscpu :双核双进程 假四核。 //查看cpu核心数
ps aux | grep nginx #两个进程在干活,work的数量。
root 7404 0.0 0.1 45964 1136 ? Ss 14:13 0:00 nginx: master process nginx
nginx 7405 0.0 0.2 48500 2520 ? S 14:13 0:00 nginx: worker process
root 7535 0.0 0.0 112676 984 pts/0 R+ 14:25 0:00 grep --color=auto nginx
1、优化Nginx并发量
http_load,webbeach,siege也是压力测试软件可以测试服务器压力,根据情况自行选择
ab -n 2000 -c 2000 http://192.168.4.5/
socket: Too many open files (24) //提示打开文件数量过多
vim /usr/local/nginx/conf/nginx.conf
worker_processes 2; //启动nginx时打开的进程默认为1;调成与CPU核心数量一致
error_log /var/log/nginx.error_log info; //定义日志文件级别为信息
events {
worker_connections 65535; //每个worker最大并发连接数默认为1024
小了就被限制死了,大点可以达到它的最大值
//最大并发量为两个相乘法 2*65535
use epoll;
}
nginx -s reload
2、调整系统本身限制:
selinux 对最大打开文件数量有限制默认1024个。
2000个人访问就要同时打开2000个页面给客户端很容易突破1024个。
ulimit -a
open files (-n) 1024
软限制和硬限制之间普通用户可以自调 软限制(预设值)可以超硬限制不能超
ulimit -Hn 100000 //设置硬限制(临时规则)
ulimit -Sn 100000 //设置软限制(临时规则)
vim /etc/security/limits.conf #security安全性
#用户或组 硬限制或软限制 需要限制的项目 限制的值
* soft nofile 100000
* hard nofile 100000
ab -n 2000 -c 2000 http://192.168.4.5/
解决客户端访问头部信息过长的问题
414 Request-URI Too Large 缓存太小存不下发送过来的请求。
优化前:
vim lnmp_soft/buffer.sh //写个测试头文件脚本
#!/bin/bash
URL=http://192.168.4.5/index.html
for i in {1..500}
do
URL=${URL}/v$i=$i
//第一次循环在初值后面加v1=1,二次加v2=2 类推;“=”无特殊意义!!
done
curl $URL //经过500次循环后,生成一个长的URL地址栏
./buffer.sh
<center>414 Request-URI Too Large</center> //提示头部信息过大
步骤:
修改vim /usr/local/nginx/conf/nginx.conf
http {
client_header_buffer_size 1k; //默认请求包头信息的缓存
large_client_header_buffers 4 4k; //大请求包头部信息的缓存个数与容量(16k)
.. .. //先根据默认的分配,不够再根据large值分配 上班推荐值
}
nginx -s reload
./buffer.sh 5000次好像还是不够-_-.
如何让客户端浏览器缓存数据 以Firefox浏览器为例,在Firefox地址栏内输入about:cache将显示Firefox浏览器的缓存信息 点击List Cache Entries可以查看详细信息。
浏览器缓存(只适合静态数据图片视频音频)
清空firefox本地缓存数据
vim /usr/local/nginx/conf/nginx.conf
#在虚拟主机server中加入
location ~* \.(jpg|jpeg|gif|png|css|js|ico|xml)$ {
expires 30d; //定义客户端缓存时间为30天
} //如果匹配到地址栏为以上这些静态数据信息则浏览器过期时间为30天
cp /usr/share/backgrounds/day.jpg /usr/local/nginx/html
nginx -s reload
firefox http://192.168.4.5/day.jpg
在Firefox地址栏内输入about:cache,查看本地缓存数据,查看是否有图片以及过期时间是否正确。
自定义报错页面
常见http状态码
200 为新加载 一切正常
300 重定向类
301 永久重定向
302 临时重定向
304 为已缓存
400 用户方面的错误
401 用户名或密码错误
403 禁止访问(ip被禁)
403 资源不可用,服务器上目录或文件权限设置导致
404 页面不存在
414 请求头部信息过长
500 服务器内部错误
502 bad getaway:一定是作了代理两个后台web都挂了就会报这个
firefox http://192.168.4.5/xxxxx //访问一个不存在的页面
vim /usr/local/nginx/conf/nginx.conf
server中location外 有默认模板 改改就行
server {
error_page 404 /40x.html; //去掉注释改个页面
error_page 403 /403x.html;
error_page 414 /414x.html; //想自定义的都可以
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
vim /usr/local/nginx/html/40x.html //生成错误页面
nginx -s reload
firefox http://192.168.4.5/xxxxx //访问一个不存在的页面
查看服务器状态信息 --with-http_stub_status_module 编译安装时使用--with-http_stub_status_module开启状态页面模块 vim /usr/local/nginx/conf/nginx.conf
location /status {
stub_status on;
allow ip; ip 写自己的ip地址 自己能看服务器的状态
deny all;
}
curl http://192.168.4.5/status
Active connections:当前活动的连接数量。
//server Accepts:已经接受客户端的连接总数量(握手的数量)连接就是通道。
一次握手(连接)多次请求。建立连接之后不会立刻断开,可以多次请求。
长时间(timeout)没有请求连接自动断开。
Accepts:已经接受客户端的连接总数量。
Handled:已经处理客户端的连接总数量(一般与accepts一致,除非服务器限制了连接数量)。
Requests:客户端发送的请求数量。
Reading:当前服务器正在读取客户端请求头的数量。
Writing:当前服务器正在写响应信息的数量。
Waiting: 开启keep-alive的情况下,这个值等于 active – (reading + writing)
意思就是Nginx已经处理完成,正在等候下一次请求指令的驻留连接.
所以,在访问效率高,请求很快被处理完毕的情况下,Waiting数比较多是正常的
.如果reading +writing数较多,则说明并发访问量非常大,正在处理过程中.
对页面进行压缩处理
目前所有浏览器支持解压动作 但是不支持rar
网页压缩通常为gzip
小文件不要压缩,会压缩得更大,最少1000字节。
linux下1-9选择数字月大效果越好压得越慢。
jpg,mp3,mp4,gif,等多媒体文件不要压缩,已经是压缩格式了。
压缩最适合文档,ape无损音乐。
cat /usr/local/nginx/conf/mime.types
对什么类型压缩参考这个文件 有扩展名对应的类型码。
vim /usr/local/nginx/conf/nginx.conf
http {
.. ..
gzip on; //开启压缩
gzip_min_length 1000; //小文件不压缩
gzip_comp_level 4; //压缩比率
gzip_types text/plain text/css application/json
application/x-javascript text/xml application/xml application/xml+rss application/javascript;
//对特定文件压缩,类型参考mime.types
.. ..
}
服务器内存缓存: 如果需要处理大量静态文件,可以将文件缓存在内存,下次访问会更快。 vim /usr/local/nginx/conf/nginx.conf http { open_file_cache max=2000 inactive=20s; //设置服务器最大缓存2000个文件句柄关掉20s之内没有请求的文件。 open_file_cache_valid 60s; //有效缓存时间为60s 60秒后过期 open_file_cache_min_uses 5; // 最少被访问5次才会被认为是热点数据 才会缓存。 open_file_cache_errors off; }
优化Nginx服务的安全配置
without-http_autoindex_module \ //禁用自动索引文件目录模块
没有index.html 就列出该目录所有文件的列表 这就是我们之前搭的http为什么能够直接访问rhel7 和cla***oom的原因???
without-http_ssi_module 禁用支持服务器端的include。
修改版本信息,并隐藏具体的版本号
vim /usr/local/nginx/conf/nginx.conf
server_tokens off; //在http下面手动添加这么一行
nginx -s reload
curl -I http://192.168.4.5
Server: nginx
服务器还是显示了使用的软件为不显示为nginx
[root@proxy nginx-1.12]# vim +48 src/http/ngx_http_header_filter_module.c
static u_char ngx_http_server_string[] = "Server: Jacob" CRLF;
static u_char ngx_http_server_full_string[] = "Server: Jacob" CRLF;
static u_char ngx_http_server_build_string[] = "Server: Jacob" CRLF;
//修改完成后,再去编译安装Nignx,版本信息将不再显示为Nginx,而是Jacob
./configure
make && make install
killall nginx
/usr/local/nginx/sbin/nginx //启动服务
curl -I http://192.168.4.5 //查看版本信息验证
Server: haha
总结:实际上生产环境就直接改掉这src下的文件再安装再在http下加server_tokens off;两个都改
限制并发量
内置默认ngx_http_limit_req_module模块 需要有人拿小本子记领礼物了没有 不然人家走一圈又来领一次 用内存记录
//降低DDOS×××的风险
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; //这个是写在http里
limit_req_zone zone=one:10m //限制请求内存空间 内存的区域取名叫one大小:10m
$binary_remote_addr //内存里放的是远程的ip地址
rate=1r/s; //速度为每秒只接受1个请求
limit_req zone=one burst=5; 调用上面的内存 最多充满5个 漏斗中最多放5个 //这个写在server端口下面
//最多处理6个请求
ab -c 1000 -n 10000 http://192.168.2.111/
Failed requests: 9994
//发现丢了9994个包只成功了前6个 是因为同时只能请求6个。
拒绝非法的请求
默认为get方法
常用的就只有get 和post (提交上传文件或表单)
curl -i -X GET http://192.168.4.5
//-i选项:访问服务器页面时,显示HTTP的头部信息 只有这个就既头部又要页面
//-X选项:指定请求服务器的方法
curl -i -X HEAD 192.168.2.111 只要头部信息不要其他
在server的listen 80; 后面加上这段
(监听到80端口就判断如果请求方法不是get或者post就返回444报错)
if 空($request_method空 !~ 空^(GET|POST)$空 ) 空{
return 444; 一定要注意这几个空格啊!!!!
curl -i -X HEAD 192.168.2.111
curl: (52) Empty reply from server 报错了。
防止buffer溢出: 给缓存内存定义一个最大值 一定要定义一个具体的值。
http{
client_body_buffer_size 1K; 身体内容
client_header_buffer_size 1k; 头部信息
client_max_body_size 1k;
large_client_header_buffers 2 1k;
… …
} 之前写过一个一直循环访问地址的脚本也就是这个!www.a.com/d/a/b/b/d/d/d/d/无限加下去
这个不好验证 但是必须要有!!!
