隐藏版别号

检查版别号的办法

办法一：curl指令

办法二：在网页中检查

隐藏版别信息

办法一：修正装备文件，封闭版别号

#修正装备文件
vim /usr/local/nginx/conf/nginx.conf
http {
   include    mime.types;
   default_type  application/octet-stream;
   server_tokens off;      #增加这一行，封闭版别号
   ......
}
​
#重启服务
systemctl restart nginx
#拜访测验
curl -I http://www.tt.com 

办法二：修正源码文件中的版别号，从头编译装置

此办法能够将原本的版别号修正成其他的，例如将”nginx/1.12.2″修正成 “nginx/1.1.1″。

#1、修正源码文件
vim /opt/nginx-1.12.2/src/core/nginx.h
#define NGINX_VERSION "1.1.1"               #修正版别号
#define NGINX_VER "IIS" NGINX_VERSION       #修正服务器类型
​
#从头编译装置
cd /opt/nginx-1.12.2/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install
​
#将装备文件中的版别号启用
vim /usr/local/nginx/conf/nginx.conf
http {
   include    mime.types;
   default_type  application/octet-stream;
   server_tokens on;
    ......
}
​
systemctl restart nginx
curl -I http://192.168.88.3

二、修正nginx的运转用户和组

办法一：在编译装置时，指定运转用户和组

[root@root opt]# cd nginx-1.12.2/
[root@root nginx-1.12.2]# ./configure \
--prefix=/usr/local/nginx \    #指定nginx的装置路径
--user=nginx \          #指定用户名（运转用户）
--group=nginx \          #指定组名
--with-http_stub_status_module  #启用http_stub_status_module模块以支撑状态计算
​

办法二：修正装备文件nginx.conf

#修正装备文件文件
vim /usr/local/nginx/conf/nginx.conf
user nginx nginx;       #撤销注释，修正用户为nginx，组为nginx
​
#重启服务
systemctl restart nginx
​
#检查是否修正成功。能够看到主进程由root创立，子进程由nginx创立
ps aux | grep nginx

三、修正缓存时刻

当Nginx将网页数据回来给客户端后，可设置缓存的时刻，以方便在日后进行相同内容的恳求时直接回来，防止重复恳求，加快了拜访速度。

一般针对静态网页设置，对动态网页不设置缓存时刻。

#修正nginx的装备文件
vim /usr/local/nginx/conf/nginx.conf
http {
......
    server {
    ...... 
        location / {
            root html;
            index index.html index.htm;
        }
        
        #参加新的 location，以图片作为缓存对象
        location ~* .(gif|jpg|jepg|bmp|ico)$ {
            root html;
            expires 1d;             #指定缓存时刻，1天
        }
......
    }
}
​
#重启nginx服务
systemctl restart nginx
​

四、日志切开

随着Nginx运转时刻的增加，发生的日志也会逐步增加，为了方便把握Nginx的运转状态，需求时刻关注Nginx日志文件。太大的日志文件对监控是一个大灾难，不便于剖析排查，需求定时的进行日志文件的切开。

操作过程：

1、创立旧日志存放目录

2、经过mv指令将原有日志移动到日志目录中

3、kill -USR1 < PID> 从头生成日志文件

4、删去30天之前的日志文件

经过脚本完成：

1. #写脚本
[root@yuji ~]# vim /opt/fenge.sh
#!/bin/bash
# Filename: fenge.sh
# nginx日志分割，按时刻分割
​
#显示前一天的时刻
day=$(date -d "-1 day" "+%Y%m%d")
#旧日志文件目录
logs_path="/var/log/nginx"
#nginx进程的PID
pid_path="/usr/local/nginx/logs/nginx.pid"
​
#假如旧日志目录不存在，则创立日志文件目录
[ -d $logs_path ] || mkdir -p $logs_path
#将日志移动到旧日志目录，偏重命名日志文件
mv /usr/local/nginx/logs/access.log ${logs_path}/tt.com-access.log-$day
#重建新日志文件
kill -USR1 $(cat $pid_path) 
#删去30天之前的日志文件
find $logs_path -mtime +30 -exec rm -rf {} ;           
​
2. #赋予履行权限，履行脚本。检查日志文件目录。
[root@yuji ~]# chmod +x /usr/local/nginx/nginx_log.sh 
[root@yuji ~]# /opt/fenge.sh
[root@yuji ~]# ls /var/log/nginx/       //旧日志文件已被移动到设置好的目录
tt.com-access.log-20220516
[root@yuji ~]# ls /usr/local/nginx/logs/   //已重建新日志文件
access.log  error.log  nginx.pid
​
3. #编写计划任务，每天定点履行
[root@localhost nginx]#crontab -e
0 1 * * * /opt/fenge.sh

五、设置衔接超时时刻

• HTTP有一个KeepAlive模式，它告知web服务器在处理完一个恳求后坚持这个TCP衔接的翻开状态。若接收到来自同一客户端的其它恳求，服务端会利用这个未被封闭的衔接，而不需求再树立一个衔接。
• KeepAlive 在一段时刻内坚持翻开状态，它们会在这段时刻内占用资源。占用过多就会影响性能。

• 在企业网站中，为了防止同一个客户长时刻占用衔接，形成资源糟蹋，可设置相应的衔接超时参数，完成操控衔接拜访时刻。能够修正装备文件 nginx.conf，设置 keepalive_timeout超时。

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
   keepalive_timeout 65 180;    //设置衔接超时时刻  
   client_header_timeout 80;
   client_body_timeout 80;
...... 
}
​
systemctl restart nginx
​
​
######### 超时时刻注释 ############################
keepalive_timeout
指定KeepAlive的超时时刻（timeout）。指定每个TCP衔接最多能够坚持多长时刻，服务器将会在这个时刻后封闭衔接。
Nginx的默许值是65秒，有些浏览器最多只坚持 60 秒，所以能够设定为 60 秒。若将它设置为0，就禁止了keepalive 衔接。
第二个参数（可选的）指定了在呼应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动封闭衔接，这样服务器就不必去封闭衔接了。没有这个参数，Nginx 不会发送 Keep-Alive 呼应头。
​
client_header_timeout
客户端向服务端发送一个完好的 request header 的超时时刻。假如客户端在指定时刻内没有发送一个完好的 request header，Nginx 回来 HTTP 408（Request Timed Out）。
​
client_body_timeout
指定客户端与服务端树立衔接后发送 request body 的超时时刻。假如客户端在指定时刻内没有发送任何内容，Nginx 回来 HTTP 408（Request Timed Out）。

六、更改作业进程数

在高并发场景，需求启动更多的Nginx进程以确保快速呼应，以处理用户的恳求，防止形成堵塞。

#1、检查cpu核数
cat /proc/cpuinfo |grep processor|wc -l
或
cat /proc/cpuinfo |grep -c processor
或
cat /proc/cpuinfo | grep -c "physical id"
​
#2、检查ginx主进程中包含几个作业进程
ps aux | grep nginx
​
#3、修改装备文件，修正作业进程数
vim /usr/local/nginx/conf/nginx.conf
worker_processes 2;        #修正为与CPU核数相同
worker_cpu_affinity 01 10;  #设置每个进程由不同cpu处理，进程数配为4时0001 0010 0100 1000
​
#4、重启服务，检查修正后的作业进程
systemctl restart nginx
ps aux | grep nginx

七、装备网页紧缩

Nginx的ngx_http_gzip_module紧缩模块供给对文件内容紧缩的功用。

答应Nginx服务器将输出内容在发送客户端之前进行紧缩，以节约网站带宽，提高用户的拜访体会，默许现已装置。

可在装备文件中参加相应的紧缩功用参数对紧缩性能进行优化。

#1、修正装备文件
vim /usr/local/nginx/conf/nginx.conf
http {
...... 
  gzip on;               #撤销注释，开启gzip紧缩功用
  gzip_min_length 1k;   #最小紧缩文件巨细
  gzip_buffers 4 64k;   #紧缩缓冲区，巨细为4个64k缓冲区
  gzip_http_version 1.1;  #紧缩版别（默许1.1，前端假如是squid2.5请运用1.0）
  gzip_comp_level 6;    #紧缩比率
  gzip_vary on;            #支撑前端缓存服务器存储紧缩页面
  
  #紧缩类型，表明哪些网页文档启用紧缩功用
  gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;
...... 
}
​
#2、重启服务
systemctl restart nginx

八、装备防盗链

• 在企业网站服务中，一般都要装备防盗链功用，以防止网站内容被非法盗用，形成经济损失，也防止了不必要的带宽糟蹋。
• Nginx 的防盗链功用也十分强大，在默许情况下，只需求进行很简单的装备，即可完成防盗链处理。

8.1 网页准备

Web源主机装备：

#1、将work.jpg、error.png文件传到/usr/local/nginx/html目录下
cd /usr/local/nginx/html
​
#2、装备主页文件
vim index.html
<html>
<body>
<h1>Spring is here~</h1>
<img src="work.jpg"/>
</body>
</html>
​
#3、增加IP和域名的映射联系
echo "172.16.10.101 www.tt.com" >> /etc/hosts 
echo "172.16.10.1 www.yuji.com" >> /etc/hosts 

盗链网站主机装备：

#1、切换到站点目录
cd /usr/local/nginx/html
​
#2、装备主页文件，图片盗用Web源主机中的图片资源
vim index.html
<html>
<body>
<h1>test</h1>
<img src=""/>
</body>
</html>
​
#3、增加IP和域名的映射联系
echo "172.16.10.101 www.tt.com" >> /etc/hosts 
echo "172.16.10.1 www.yuji.com" >> /etc/hosts 
​
在盗图网站主机上进行浏览器检查
http://www.tt.com    //Web源主机
http://www.yuji.com   //盗链网站

8.2 Web源主机装备防盗链

当不是由web主机的域名恳求图片资源时，统一将图片重写到error.png。

vim /usr/local/nginx/conf/nginx.conf
http {
......
    server {
    ......
 
    location ~* .(jpg|gif|swf)$ {
            root  html;
            expires 1d;
            valid_referers none blocked *.tt.com tt.com;
                if ( $invalid_referer ) {
                  rewrite ^/ http://www.tt.com/error.png;
                }
     }
    ......
    }
}
​
systemctl restart nginx
​
~* .(jpg|gif|swf)$ ：这段正则表达式表明匹配不区别巨细写，以.jpg 或.gif 或.swf 结束的文件；
​
valid_referers ：设置信赖的网站，能够正常运用图片；
​
none：答应没有http_refer的恳求拜访资源（依据Referer的界说，它的作用是指示一个恳求是从哪里链接过来的，假如直接在浏览器的地址栏中输入一个资源的URL地址，那么这种恳求是不会包含 Referer 字段的），如 http://www.tt.com/work.jpg。
咱们运用 http://www.tt.com 拜访显示的图片，能够理解成 http://www.tt.com/work.jpg 这个恳求是从 http://www.tt.com 这个链接过来的。
​
blocked：答应不是http://开头的，不带协议的恳求拜访资源； 
​
*.tt.com：只答应来自指定域名的恳求拜访资源，如 http://www.tt.com
​
if语句：假如链接的来源域名不在valid_referers所列出的列表中，$invalid_referer为true，则履行后边的操作，即进行重写或回来 403 页面。

设置防盗链后，现在拜访倒链网站：

总结

1、修正装备文件后，有必要重启服务才干收效。

2、防盗链试验中：盗链网站，需求将web主机的域名和IP的映射联系，写入/etc/hosts文件中，不然盗链网站无法展现web主机中的图片。

3、浏览器存在缓存时刻，接连拜访不同网址时，建议先清理浏览器的历史记录，不然展现的图片可能是上一个网站的。