Nginx web优化
1安全优化
一般来说,网站的漏洞都和版本有关系,我们本身应该去影藏web的版本和信息,做到一个安全的优化
要想隐身先了解版本号
这是我访问的一个错误页面,发现nginx 的网站 版本信息1.6.2
这样网站就会暴露在公网上,怎么去隐藏?
编辑nginx.conf
添加
server_tokens off;
这样咱们的Nginx 版本号隐藏了,那么web信息怎么隐藏
更改nginx 源码
[[email protected] ~]# sed -n ‘13,17p‘ /usr/src/nginx-1.6.2/src/core/nginx.h
#define NGINX_VERSION "1.6.2"
#define NGINX_VER "nginx/" NGINX_VERSION
#define NGINX_VAR "NGINX"
[[email protected] ~]# sed -i ‘#Server: nginx#Server: OWS#g‘ /usr/src/nginx-1.6.2/src/http/ngx_http_header_filter_module.c
[[email protected] ~]# sed -n ‘21,30p‘ /usr/src/nginx-1.6.2/src/http/ngx_http_special_response.c
static u_char ngx_http_error_full_tail[] =
"<hr><center>" NGINX_VER "</center>" CRLF
"</body>" CRLF
"</html>" CRLF
;
static u_char ngx_http_error_tail[] =
"<hr><center>nginx</center>" CRLF
"</body>" CRLF
修改后需要重新编译
修改nginx默认用户
#user nobody;
2优化nginx服务性能
优化nginx worker进程参数
Nginx worker进程参数有什么作用?
比如一个饭店,只有一个厨师,那么很忙,于是招来了3哥厨师,但是新来的3个厨师没分配,那么还是1个厨师干活,那就得给3哥厨师安排活,分担
Cpu也是一样给每个cpu安排不同的工作,这就是worker进程参数的优化
首先看看我的nginx web的cpu配置
[[email protected] ~]# cat /proc/cpuinfo| grep processor | wc -l
1
表示我是1核的cpu
那么我在这里吧work参数改成合数的2倍
修改nginx.conf
[[email protected] ~]# ps -ef | grep nginx
root 40359 1 0 20:30 ? 00:00:00 nginx: master process /application/nginx/sbin/nginx
nginx 40360 40359 0 20:30 ? 00:00:00 nginx: worker process
nginx 40361 40359 0 20:30 ? 00:00:00 nginx: worker process
root 40363 1693 0 20:30 pts/0 00:00:00 grep nginx
会看到cpu 有两个worker进程在运行
Nginx 事件处理模型的优化
Nginx 的连接机制在不同的系统会采用不同的I/O处理模型,在linux 采用epoll的 IO多用复用模型
修改如下
events {
use epoll;
worker_connections 1024;
}
调整nginx 单个进程最大连接数
这个连接是指nginx 单个进程最大连接用户的数量,可以根据你的cpu 参数调整
events {
use epoll;
worker_connections 1024;
}
调整worker进程最大打开文件数
worker_rlimit_nofile 65535; 优化worker进程打开文件的数量
Nginx 开启高效文件传输模式
Sendfile参数用来开启nginx 网络高效文件传输模式,可以防止 磁盘IO阻塞和网络阻塞的问题,提高nginx 的效率
开启nginx 压缩功能
Nginx 压缩优点:
1可以提高用户和访问速度,因为压缩的文件比没有压缩的文件整体小,所以访问要快
2 节约网络带宽
3 可以设置不同的压缩对象,比如小于1k的就不需要压缩,还有视频之类的文件也不需要
压缩
参数
gzip on; 开启gzip压缩功能
开启expire缓存功能
整体来说这个模块就是将用户访问网站的一些信息记录下来,下次来了访问直接按记录访问,提高访问效率,可以给这个内容设置过期时间,定期会自动清理缓存内容
expires 缓存优点
降低网站访问带宽提高成本
加快用户访问速度。
服务器访问量降低,服务器压力也就降低了
expires 配置:
server {
listen 80;
server_name www.xiaohu.com;
location / {
root html;
index index.html index.htm;
}
location ~ .*\.(gif|jpg|png)$
{
expires 3650d;
}
代表将访问网站的gif jpg png 结尾的图片缓存,时间为3650天
缓存可以对单个文件进行缓存,也可以对整体文件进行缓存
Nginx 日志优化
1.切割日志 后续会写
2.不记录不需要的访问日志 如果每个访问日志都记录的话对IO也是一种压力,向对图片之类的日志就不需要记录了。
配置
location ~ .*\.(gif|jpg|png)$ {
access_log off;
expires 3650d;
}
3.访问日志权限的问题
假如日志目录为/app/logs
授权方法
chown -R root.root /app/logs
chmod 700 /app/logs
Nginx 站点访问目录和文件URL 访问控制
在web服务上,有些站点的目录对用户的上传文件是有限制的,比如上传文件的大小,上传的格式,对哪些类型的文件拒绝,允许哪些文件上传,这就是访问控制。
参数
禁止访问目录下的py php sh的程序
location ~ ^/images/.*\.(php|py|sh)$ {
deny all;
}
禁止访问.txt.doc 的文件
location ~* \.(txt|doc)$ {
root /var/www;
deny all;
}
静止访问指定目录下的所有文件
location ~ ^/(static)/ {
deny all;
}
禁止ip进行访问网站
location \ {
deny 10.0.0.0/24;
deny 192.168.1.105;
allow all;
}
测试用105访问