[Linux] nginx防盗链与优化

一、Nginx的页面优化

1.1 Nginx的网页压缩 

在Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能。进行相关的配置修改，就能实现Nginx页面的压缩，达到节约带宽，提升用户访问速度

 vim /usr/local/nginx/conf/nginx.conf
http {
..........
gzip  on;  #取消注释，开启gzip压缩功能
    gzip_min_length 1k;  #最小压缩文件大小
    gzip_buffers 4 64k;  #压缩缓冲区，大小为4个64k缓冲区
    gzip_http_version 1.1;  #压缩版本 (默认1.1，前端如果是squid2.5请使用1.0)
    gzip_comp_level 6;   #压缩比率 (等级为1-9 6是适中等级，也是最常用的等级)
    gzip_vary on;    #支持前端缓存服务器存储压缩页面
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;  #压缩类型，表示哪些网页文档启用压缩功能
}

  重启服务，进行访问测试： 

  1.2  配置Nginx的图片缓存 

Nginx在向客户端返回网页数据时，可以设置缓存时间，以便以后有相同内容的请求时直接返回。 一般来说，它是为静态网页设置的，而没有为动态网页设置缓存时间。

 vim /usr/local/nginx/conf/nginx.conf
http {
.................
 location ~* \.(png|gif|jpg|jepg|bmp|ico|mp3|mp4)$ {  #匹配任意以以下格式为结尾的文件
             root html;
             expires 30m;       #缓存时间设置为30分钟   
         }
}

重启服务，测试访问：  

 1.3  Nginx的连接超时设置 

HTTP有一个keepalive模式，它告诉web服务器在处理请求后保持TCP连接打开。如果收到来自同一客户端的其他请求，则服务器利用未关闭的连接而不建立另一个连接。

Keepalives保持开放一段时间，并在此期间消耗资源。服用太多会影响性能。

在企业网站上，可以通过设置相应的连接超时参数来控制连接访问时间，避免同一客户长时间占用连接造成资源浪费。您可以更改配置文件nginx.conf，设置keepalive_timeout超时。

vim /usr/local/nginx/conf/nginx.conf
 http {
 ...... 
     keepalive_timeout 60 180;       //设置连接超时时间    
     client_header_timeout 80;
     client_body_timeout 80;
 ...... 
 }

 指定KeepAlive的超时（超时）。如果指定每个TCP连接可以持续的最长时间，则服务器在此时间之后关闭连接。

Nginx的默认值是65秒，有些浏览器最多只持有60秒，所以可以设置为60秒。如果设置为0，则保持活动状态连接将被禁用。

第二个参数（可选）指定响应标头中keep-Alive:timeout=t ime的时间值。此标头允许您在某些浏览器中主动关闭连接，以便服务器不必关闭连接。没有这个参数，Nginx不会发送Keep-Alive响应头。

 重启服务，访问测试：

 1.4 Nginx的并发设置

 在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞。

 查看cpu的核心数，根据核心数来设置工作进程数

 #查看cpu核数
 cat /proc/cpuinfo |grep processor|wc -l
 或
 cat /proc/cpuinfo |grep -c processor
 或
 cat /proc/cpuinfo | grep -c "physical id"
 [root@CXK html]#ps aux | grep nginx

 修改工作进程核心数 ：

vim /usr/local/nginx/conf/nginx.conf
 worker_processes  2;        #修改为与CPU核数相同或者auto
 worker_cpu_affinity 01 10;  #设置每个进程由不同cpu处理，进程数配为4时0001 0010 0100 1000
 ​

测试结果： 

二、Nginx安全 

2.1 查看版本号

   方式一：curl模拟访问获取

curl -I 192.168.136.100

   方式二：浏览器访问查看  

2.2 隐藏版本号  

方法一：修改配置文件，关闭版本号 

 vim /usr/local/nginx/conf/nginx.conf
 http {
     include       mime.types;
     default_type  application/octet-stream;
     server_tokens off;      #添加这一行，关闭版本号
     ......
 }
 

 测试结果：

方法二：修改源码文件中的版本号，重新编译安装 

cp nginx.h nginx.h.bak
vim /opt/nginx-1.24.0/src/core/nginx.h
#define NGINX_VERSION "1.2.3.4" 					#修改版本号
#define NGINX_VER "apache/" NGINX_VERSION 			#修改服务器类型

修改完配置后切换到Nginx软件包中，进行重新编译安装 ：

cd /opt/nginx-1.24.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

 再次修改主配置文件，打开版本号显示 ：

vim /usr/local/nginx/conf/nginx.conf
 http {
     include       mime.types;
     default_type  application/octet-stream;
     server_tokens on;
     ......
 }
 

   重启服务，进行测试：

 三、Nginx的日志分割

  1.编写日志分割脚本 

cd /opt
vim cutlogs.sh
 
 
#!/bin/bash
 
#nginx 分割日志脚本
#用变量day获取前天日期的时间记录
day=$(date -d "-1 day" "+%Y%m%d")
#获取日志的目录
logs_path="/var/log/nginx"
#获取运行时nginx的进程号
pid_path="/usr/local/nginx/logs/nginx.pid"
#二元表达式，如果前面不成立则执行后面的式子
#前面判断该目录是否存在，后面则表示不存在则自动创建该目录
[ -d $logs_path ] || mkdir -p $logs_path
#将生成的日志按照date生成的时间格式改名并移动到指定的路径中保存
mv /usr/local/nginx/logs/access.log ${logs_path}/access.log-$day
#重新生成一个新的日志
kill -USR1 $(cat $pid_path)
#日志文件清理，将30天前的日志进行清除
find $logs_path -mtime +30 -delete

 2. 执行脚本进行测试

3. 将日志脚本添加至计划性任务 

crontab -e

四、Nginx防盗链 

4.1 Nginx防盗链的设置 

1.修改主配配置文件，添加防盗链设置

 vim /usr/local/nginx/conf/nginx.conf
http {
...........
server{
...........
location ~* \.(jpg|gif|swf|png)$ {
         root  html;
         expires 1d;                 
         valid_referers none blocked *.cxk.com cxk.com;   #设置信任的网站，可以正常使用图片;#*.test.com:只允许来自指定域名的请求访问资源 ;#blocked: 允许不是http://开头的，不带协议的请求访问资源
                        #none: 允许没有http refer的请求访问资源 (根据Referer的定义，它的作用是指示-请求是从哪里链接过来的，如果直接在浏览器的地址栏中输入一个资源的URL地址，那么这种请求是不会包含 Referer 字段的)
         if ( $invalid_referer ) {   
           rewrite ^/ http://www.cxk.com/error.jpg;
           }
        }
............
}
...............
}

2.在 /var/local/nginx/html 下放置好error.png  

3.进行盗链测试 

  盗链主机html网页设置： 

 4.第三方用户访问盗链主机：

访问前设置：

1.关闭防火墙工具firewalld和selinux

2.将域名对应的IP添加到  /etc/hosts 中 

 五、fpm参数优化

Nginx的PHP解析功能实现如果是交由FPM处理的，为了提高PHP的处理速度，可对FPM模块进行参数的调整。

根据服务器的内存与服务负载，调整FPM模块参数。

 vim /usr/local/php/etc/php-fpm.conf 
 pid = run/php-fpm.pid
 ​
 vim /usr/local/php/etc/php-fpm.d/www.conf
 --96行--
 pm = dynamic                #fpm进程启动方式，动态的
 --107行--
 pm.max_children=20          #fpm进程启动的最大进程数
 --112行--
 pm.start_servers = 5        #动态方式下启动时默认开启的进程数，在最小和最大之间
 --117行--
 pm.min_spare_servers = 2    #动态方式下最小空闲进程数
 --122行--
 pm.max_spare_servers = 8    #动态方式下最大空闲进程数
 ​
 ​
 kill -USR2 `cat /usr/local/php/var/run/php-fpm.pid`         #重启php-fpm
 netstat -anpt | grep 9000