Nginx的性能优化、安全以及防盗链配置

目录

一、nginx的日志分割

二、nginx性能优化之启用epoll模型

三、nginx性能优化之设置worker进程数并与cpu进行绑核

四、nginx性能优化之调整worker的最大打开文件数和最大处理连接请求数量

五、nginx性能优化之启用gzip压缩,提高传输,减少带宽

六、nginx性能优化之设置keepalive超时时间以及最大请求连接数

七、nginx性能优化之设置页面缓存时间

八、nginx安全之隐藏版本号

九、nginx安全之修改进程运行的属主和属组

十、nginx安全之防盗链设置,避免资源盗用以及节省带宽

十一、fpm参数优化

一、nginx的日志分割

nginx的日志是生成在安装目录下/usr/local/nginx/logs中,大量的日志如果不做良好的管理,长此以往会造成日志文件过大且日志分析困难

 

编写日志分割的脚本
#!/bin/bash
#this is used for cutting nginx logs 
##定义日志收集的目录
newlogpath=/var/log/nginx
##定义区分日志的标识,采用时间标记,计划每天一次日志分割
lastday=`date -d "-1 day" +%Y%m%d`
##找到应用程序生成日志的源路径
oldlogpath=/usr/local/nginx/logs
##定义应用程序的pid号 也就是nginx的master进程号
pid=`cat ${oldlogpath}/nginx.pid`##先判断收集日志的目录是否存在,没有则创建,有则进行下一步
[ -d $newlogpath ]||mkdir $newlogpath##使用mv命令进行日志分割,将生成的访问日志和错误日志都移动到收集日志的目录下,并添加时间标记
mv $oldlogpath/access.log $newlogpath/access.log.$lastday
mv $oldlogpath/error.log $newlogpath/error.log.$lastday##重新生成新的日志,便于nginx记录后续访问事务
kill -USR1 $pid##删除大于30天的日志,释放磁盘空间
find $newlogpath -mtime +30 -exec rm -rf {} \;chmod +x ~/nginx_log.sh
crontab -e
0 0 * * * ~/nginx_log.sh

二、nginx性能优化之启用epoll模型

epoll模型使用的是IO多路复用技术,这是一种基于事件处理的模型,可以实现很高的并发量,而且内存占用小。处理请求灵活效率高。

在event模块添加
user epoll;
底层采用epoll模型,多路复用,可以实现很高的并发量,而且内存占用小。

三、nginx性能优化之设置worker进程数并与cpu进行绑核

为什么要绑核?

##默认情况,Nginx的多个进程可能跑在一个CPU上,如果进行绑核可以分配不同的进程给不同的CPU处理,充分利用硬件多核多CPU。

worker_processes auto;
worker_cpu_affinity 0001 0010 0100 1000;
##默认情况,Nginx的多个进程可能跑在一个CPU上,如果进行绑核可以分配不同的进程给不同的CPU处理,充分利用硬件多核多CPU

 #将每个worker子进程与特定CPU物理核心绑定,提升cpu利用率,进而提升性能。避免同一个worker子进程在不同的CPU核心上切换或者多个进程跑在一个CPU上,缓存失效,降低性能。

四、nginx性能优化之调整worker的最大打开文件数和最大处理连接请求数量

 除了调整应用程序  还需要调整系统内核的限制

在全局模块在配置
worker_rlimit_nofile 20480;
在event模块配置最大连接数量
worker_connections  20480;##记得同时修改内核参数,数量是根据需求自定义的
[root@localhost ~]#vim /etc/security/limits.conf 
*   soft   nofile   81920
*   hard   nofile   81920

五、nginx性能优化之启用gzip压缩,提高传输,减少带宽

Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装,可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

修改/usr/local/nginx/conf/nginx.conf配置文件

http {
...... gzip on;							#取消注释,开启gzip压缩功能gzip_min_length 1k;      		#最小压缩文件大小gzip_buffers 4 64k;      		#压缩缓冲区,大小为4个64k缓冲区gzip_http_version 1.1;   		#压缩版本(默认1.1,前端如果是squid2.5请使用1.0)gzip_comp_level 6;       		#压缩比率gzip_vary on;					#支持前端缓存服务器存储压缩页面gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;		#压缩类型,表示哪些网页文档启用压缩功能
...... 
}

 favicon.ico表示的是网站的小图标,这里是没有的,与nginx的配置没有关系

六、nginx性能优化之设置keepalive超时时间以及最大请求连接数

HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。

keepalive_timeout
指定KeepAlive的超时时间(timeout)。
指定一个长连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 
Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。
若将它设置为0,就禁止了keepalive 连接。第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。
这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。
没有这个参数,Nginx 不会发送 Keep-Alive 响应头。client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。
如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。
如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。
##ip数据包在传输的时候会进行分片,会让数据包分开传输 等到接收端接收后,会重新组合数据包,也就是说数据分片以后到达的时间是不一样的。这里就是限制整个数据包完整传输的最大时间限制

 测试一下:

 一般客户端小于等于服务端时间,因为大量的timewait会占用tcp连接资源,想要timewait在客户端产生,这样可以避免浪费服务端的tcp连接请求资源

##解决方式

服务器不要主动关闭,让客户端去主动关闭,那么timewait状态就在客户端
另一种是修改内核参数,去收回timewait资源,以及允许timeout的socket可以重用

七、nginx性能优化之设置页面缓存时间

设置缓存的时间,以方便客户在后面访问相同的数据请求,避免重复的请求,加快数据访问,可以减少服务器的带宽请求,一般只对静态资源做缓存时间设置,动态页面不设置缓存,静态页面会在nginx服务器中定时更新,但是动态页面是数据库实时更新;

##设置静态资源在客户端的缓存时间        location ~ \.(jpg|gif|mp3|mp4)$ {root   html/static;expires 1h;  #expires的意思是到期}缓存时间也是可以在三个地方设置,分别是http server location
Expires就是用于设置缓存时间,支持天d 小时h 分钟m 秒s

 缓存时间也是可以在三个地方设置,分别是http server location

八、nginx安全之隐藏版本号

第一种:直接使用server_tokens off关闭版本号

##在server模块中添加  server_tokens off;

方法二:修改nginx的源代码的nginx.h文件,这些文件一般都是函数等等

 

 然后重新编译安装后测试

##修改nginx的源代码  进行重新编译安装
vim /opt/nginx-1.24.0/src/core/nginx.h12 #define nginx_version      102400013 #define NGINX_VERSION      "2.36.7"14 #define NGINX_VER          "Apache/" NGINX_VERSION修改完以后 重新编译安装
nginx -V./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
nake -j4
make install 
cd /usr/local/nginx/conf/
vim nginx.conf
#server_tokens off;##注释这个模块,让其默认开启
nginx -t
systemctl restart nginx

方法三:使用模块插件,实现响应请求头直接自定义删除

 需要下载模块插件 然后进行重新配置编译安装,再去修改配置文件

./configure --add-module='模块路径' 

下载一个模块插件 可以自定义请求头的内容
headers-more-nginx-module-0.34.tar.gz 插件包,解压到一个目录,编译安装 nginx, ./configure --add-module='模块路径' && make && make install
##如./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --add-module='/opt/headers-more-nginx-module-0.34' && make && make install修改 nginx.conf 文件,在 http 配置块加   more_clear_headers '响应头字段'; 
##在http模块下添加more_clear_headers "Server"; ##注意大小写
表示完全隐藏该响应的请求头即可去除 nginx 响应头任何想去除的字段  

九、nginx安全之修改进程运行的属主和属组

主进程由root创建,子进程由nginx创建

这个一般在配置模块的时候就已经设置了
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module还有一种就是修改配置文件中的user

 

十、nginx安全之防盗链设置,避免资源盗用以及节省带宽

先准备测试环境

主服务器192.168.20.30,这是域名解析为www.accp.com
关于accp的测试文件
[root@localhost html]#cat accp.html 
<head></head>
<body>
<h1>I am accp</h1>
<img src="test.jpg">  ##引用自己站点的图片
</body>

 另一台nginx服务器作为想要盗用的web服务器,先部署环境

这台服务器的ip是192.168.20.8,对应域名是www.benet.com
[root@localhost html]#cat daotu.html 
<head></head>
<body>
<h1>this is a daotu</h1>
<img src="http://www.accp.com/test.jpg">   ##盗图   
</body>

现在想要实现不允许盗图

使用rewrite模块 重写url 来实现防盗链

主服务器accp的配置,设置防盗链:location ~ \.(jpg|gif|mp3|mp4)$ {root   html/static;valid_referers none blocked www.accp.com *.accp.com;if ($invalid_referer) {rewrite ^/ http://www.accp.com/static/error.png;}}
同时需要准备一张error.png图片放在html/static中
同时,该图片的格式png 不能出现在location的匹配中,否则会死循环,浪费资源

~* \.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;
valid_referers :设置信任的网站,可以正常使用图片;
none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的)
blocked:允许不是http://开头的,不带协议的请求访问资源; 
*.kgc.com:只允许来自指定域名的请求访问资源,如 http://www.kgc.comif语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。

关于valid_referer 

如果是
http://www.accp.com/zip.html www.accp.com/zip.html ---> www.accp.com/test.jpg
那么:$valid_referer 就是www.accp.com/zip.html
如果是
http://www.accp.com/test.jpg --->直接访问
那么:$valid_referer 就是none 空
如果是
http://www.benet.com/daotu.html www.benet.com/daotu.html ---> www.accp.com/test.jpg
那么:$valid_referer 就是www.benet.com/daotu.html
 

进行结果验证

 

关于电脑真机中如何设置ip与域名的映射关系 

文件修改的时候进入属性——安全——编辑(指定当前用户)有写入的权限,及时修改 及时撤回!!!

十一、fpm参数优化

Nginx的PHP解析功能实现如果是交由FPM处理的,为了提高PHP的处理速度,可对FPM模块进行参数的调整。根据服务器的内存与服务负载,调整FPM模块参数

vim /usr/local/php/etc/php-fpm.conf 
pid = run/php-fpm.pidvim /usr/local/php/etc/php-fpm.d/www.conf
--96行--
pm = dynamic				#fpm进程启动方式,动态的
--107行--
pm.max_children=20			#fpm进程启动的最大进程数
--112行--
pm.start_servers = 5		#动态方式下启动时默认开启的进程数,在最小和最大之间
--117行--
pm.min_spare_servers = 2	#动态方式下最小空闲进程数
--122行--
pm.max_spare_servers = 8	#动态方式下最大空闲进程数kill -USR2 `cat /usr/local/php/var/run/php-fpm.pid`			#重启php-fpm
netstat -anpt | grep 9000

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/213747.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

从零到一学习RocketMQ

RocketMQ 是一款功能强大的分布式消息系统&#xff0c;广泛应用于多个领域&#xff0c;包括异步通信解耦、企业解决方案、金融支付、电信、电子商务、快递物流、广告营销、社交、即时通信、移动应用、手游、视频、物联网、车联网等。 RocketMQ 源码地址&#xff1a;https://gi…

leetcode系列:反转链表的形象表示

反转链表是一道比较简单的题&#xff0c;主要考察的是对链表数据结构的理解和双指针应用&#xff0c;比较容易出错的地方是指针的移动顺序。在练习的过程中想到了一个比较形象的表示方法&#xff0c;于是记录下来。 # Definition for singly-linked list. # class ListNode: #…

Vue Computed

小满&#xff0c;我的神&#xff01; 视频链接 // 只读 const plusOne computed(() > count.value 1) // 可读可写 const plusOne computed({get: () > count.value 1,set: (val) > {count.value val - 1} }, { // 用于调试onTrack(e) {debugger},onTrigger(e) …

阿里云生态离线数仓

1. 大数据开发治理平台 DataWorks 功能齐全&#xff1a;10多年大数据建设沉淀完整的平台&#xff0c;覆盖数据开发治理的全生命周期 简单易用&#xff1a;全图形化界面&#xff0c;SQL为主的数据开发方式 安全稳定&#xff1a;双11日千万级任务稳定调度&#x…

SystemVerilog学习(0)——目录与传送门

一、验证导论 SystemVerilog学习&#xff08;1&#xff09;——验证导论-CSDN博客文章浏览阅读403次。SystemVerilog自学&#xff0c;验证系统概述&#xff0c;什么是SVhttps://blog.csdn.net/apple_53311083/article/details/133953016 二、数据类型 SystemVerilog学习&…

C语言-字符串操作函数-附加使用方式

文章目录 前言字符串复制-strcpy字符串复制&#xff08;按照位数&#xff09;-strncpy字符串比较-strcmp字符串比较(按照位数)-strncmp不区分大小写的字符串比较-strcasecmp不区分大小写的比较(前n位)-strncasecmp字符串按照格式写入-sprintf字符串按照格式和个数写入-snprintf…

1-3、Java反编译

语雀原文链接 文章目录 1、JD-GUI反编译下载1-1、打开class文件无反应 1、JD-GUI反编译下载 http://java-decompiler.github.io jd-gui-windows-1.6.6.zip 1-1、打开class文件无反应 目前是可以正常打jar包文件&#xff0c;但是在直接打开.class文件时软件会卡住。首先将要…

python数据分析总结(pandas)

目录 前言 df导入数据 df基本增删改查 数据清洗 ​编辑 索引操作 数据统计 行列操作 ​编辑 df->types 数据格式化 ​编辑 日期数据处理 前言 此篇文章为个人python数据分析学习总结&#xff0c;总结内容大都为表格和结构图方式&#xff0c;仅供参考。 df导入数…

数据库管理-第123期 Oracle相关两个参数(202301205)

数据库管理-第123期 Oracle相关两个参数&#xff08;202301205&#xff09; 最近在群聊中看到俩和Oracle数据库相关的俩参数&#xff0c;一个是Oracle数据库本身的&#xff0c;一个是来自于Weblogic的&#xff0c;挺有趣的&#xff0c;本期研究一下。&#xff08;本期涉及参数…

BearPi Std 板从入门到放弃 - 先天篇(1)(阶段 : 智慧城市 - 智慧路灯)

简介 对前面几篇整合, 做个小小汇总试验, 使用BearPi E53_SC1扩展板主芯片: STM32L431RCT6串口: Usart1扩展板与主板连接: I2C : I2C1 (光照强度传感器&#xff1a;BH1750)LED: PB9步骤 创建项目 参考 BearPi Std 板从入门到放弃 - 引气入体篇&#xff08;1&#xff09;(由零创…

案例063:基于微信小程序的传染病防控宣传系统

文末获取源码 开发语言&#xff1a;Java 框架&#xff1a;springboot JDK版本&#xff1a;JDK1.8 数据库&#xff1a;mysql 5.7 开发软件&#xff1a;eclipse/myeclipse/idea Maven包&#xff1a;Maven3.5.4 小程序框架&#xff1a;uniapp 小程序开发软件&#xff1a;HBuilder …

利用法线贴图渲染逼真的3D老虎模型

在线工具推荐&#xff1a; 3D数字孪生场景编辑器 - GLTF/GLB材质纹理编辑器 - 3D模型在线转换 - Three.js AI自动纹理开发包 - YOLO 虚幻合成数据生成器 - 三维模型预览图生成器 - 3D模型语义搜索引擎 当谈到游戏角色的3D模型风格时&#xff0c;有几种不同的风格&#xf…

etcd 与 Consul 的一致性读对比

本文分享和对比了 etcd 和 Consul 这两个存储的一致性读的实现。 作者&#xff1a;戴岳兵&#xff0c;爱可生研发中心工程师&#xff0c;负责项目的需求开发与维护工作。 爱可生开源社区出品&#xff0c;原创内容未经授权不得随意使用&#xff0c;转载请联系小编并注明来源。 本…

一体化污水处理设备材质怎么选

在环保意识日益增强的今天&#xff0c;污水处理设备成为城市建设过程中的重要环节。而选择合适的一体化污水处理设备材质&#xff0c;则成为了一项重要的决策。本文将从专业的角度出发&#xff0c;为您解析一体化污水处理设备材质的选取。 首先&#xff0c;一体化污水处理设备材…

逆向修改Unity的安卓包资源并重新打包

在上一篇文章中,我已经讲过如何逆向获取unity打包出来的源代码和资源了,那么这一节我将介绍如何将解密出来的源代码进行修改并重新压缩到apk中。 其实在很多时候,我们不仅仅想要看Unity的源码,我们还要对他们的客户端源码进行修改和调整,比如替换资源,替换服务器连接地址…

React全站框架Next.js使用入门

Next.js是一个基于React的服务器端渲染框架&#xff0c;它可以帮助我们快速构建React应用程序&#xff0c;并具有以下优势&#xff1a; 1. 支持服务器端渲染&#xff0c;提高页面渲染速度和SEO&#xff1b; 2. 自带webpack开发环境&#xff0c;实现即插即用的特性&#xff1b;…

gitlab高级功能之容器镜像仓库

今天给大家介绍一个gitlab的高级功能 - Container Registry&#xff0c;该功能可以实现docker镜像的仓库功能&#xff0c;将gitlab上的代码仓的代码通过docker构建后并推入到容器仓库中&#xff0c;好处就是无需再额外部署一套docker仓库。 文章目录 1. 参考文档2. Container R…

Swift 如何实现自定义 Tab Bar

前言 每个 UI 设计师都喜欢美丽而有动画效果的 Tab Bar。然而&#xff0c;对于开发人员来说&#xff0c;实现这种设计可能是一场噩梦。当然&#xff0c;使用 Apple 的原生 Tab Bar 组件并专注于更有趣的事情&#xff0c;比如业务逻辑的实现&#xff0c;会更容易。但如果我们必…

解决方案:Mac 安装 pip

python3 --version 通过以下命令来下载pip&#xff1a; curl https://bootstrap.pypa.io/get-pip.py -o get-pip.py curl命令允许您指定一个直接下载链接。使用-o选项来设置下载文件的名称。 通过运行以下命令安装下载的包&#xff1a; python3 get-pip.py

自行编写一个简单的shell!

本文旨在编写一个简单的shell外壳程序&#xff01;功能类似于shell的一些基本操作&#xff01;虽然不能全部实现shell的一些功能&#xff01;但是通过此文章&#xff0c;自己写一个简单的shell程序也是不成问题&#xff01;并且通过此文章&#xff0c;可以让读者对linux中一些环…