Web服务器群集:Nginx网页及安全优化

news2025/1/17 1:29:34

一、理论

1.Nginx网页优化

2.Nginx安全优化

3.Nginx日志分割

二、实验

1.网页压缩

2.网页缓存

3.连接超时设置

4.并发设置

5.隐藏版本信息

6.脚本实现每月1号进行日志分割

7.防盗链

三、总结

一、理论

1.Nginx网页优化

（1）概述

在企业中，部署Nginx后只采用默认的配置参数，会引发网站很多问题，换言之默认配置是针对以前较低的服务器配置的，以前的配置已不适用当今的互联网时代。

为了适应企业需求，就需要考虑如何提升Nginx的性能与稳定性，这就是Nginx优化的内容。

优化内容：

表1 优化内容

分类	优化内容
网页优化	配置网页压缩功能
	配置网页缓存
	连接超时设置
	并发设置
页面安全	配置隐藏版本号
日志分割	日志分割
防盗链	配置防盗链

（2）网页压缩

① gzip介绍

配置Nginx的网页压缩功能，是使用gzip压缩算法来对网页内容进行压缩后再传输到客户端浏览器。

作用：

降低了网络传输的字节数，加快网页加载的速度；
节省流量，改善用户的浏览体验；
gzip与搜索引擎的抓取工具具有更好的关系。

vim /usr/local/nginx/conf/nginx.conf
http {
...... 
   gzip on;							#取消注释，开启gzip压缩功能
   gzip_min_length 1k;      		#最小压缩文件大小
   gzip_buffers 4 64k;      		#压缩缓冲区，大小为4个64k缓冲区
   gzip_http_version 1.1;   		#压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
   gzip_comp_level 6;       		#压缩比率
   gzip_vary on;					#支持前端缓存服务器存储压缩页面
   gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;		#压缩类型，表示哪些网页文档启用压缩功能
...... 
}

② Nginx的压缩模块

Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化。

（3）网页缓存

当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度。
注：一般针对静态网页设置，对动态网页不设置缓存时间。

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	...... 
		location / {
			root html;
			index index.html index.htm;
		}
		
		location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { 		#加入新的 location，以图片作为缓存对象
			root html;
			expires 1d;									#指定缓存时间，1天
		}
......
	}
}

（4）连接超时设置

HTTP有一个KeepAlive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。
在企业网站中，为了避免同一个客户长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现控制连接访问时间。可以修改配置文件 nginx.conf，设置 keepalive_timeout超时。

vim /usr/local/nginx/conf/nginx.conf
 http {
 ...... 
     keepalive_timeout 65 180;       //设置连接超时时间    
     client_header_timeout 80;
     client_body_timeout 80;
 ...... 
 }

（5）并发设置

在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞。

① 查看cpu的核心数：

查看cpu的核心数，根据核心数来设置工作进程数
cat /proc/cpuinfo |grep processor|wc -l
cat /proc/cpuinfo |grep -c processor
cat /proc/cpuinfo | grep -c "physical id"

② 修改工作进程核心数：

修改工作进程核心数 
vim /usr/local/nginx/conf/nginx.conf
worker_processes  1;        #修改为与CPU核数相同
worker_cpu_affinity 01 10;  #设置每个进程由不同cpu处理，进程数配为4时0001 0010 0100 1000

2.Nginx安全优化

（1）防盗链

防盗链是防止别人的网站代码里面盗用我们自己服务器上的图片，文件，视频等相关资源；

如果别人盗用网站的这些静态资源，明显的是会增大服务器的带宽压力；

作为网站的维护人员，要杜绝服务器的静态资源被其他网站盗用。

Nginx盗链的过程与apache一致，均是通过网页浏览，将网站图片重定向到自己的网站上。

vim /usr/local/nginx/conf/nginx.conf
http {
......
	server {
	......
		location ~* \.(jpg|gif|swf)$ {
			valid_referers none blocked *.david.com jack.com;
			if ( $invalid_referer ) {
				rewrite ^/ http://www.david.com/error.png;
				#return 403;
            }
        }
	......
	}
}

（2）隐藏版本信息

作用：一般情况下，软件的漏洞信息和特定的版本是相关的，因此，软件的版本号对攻击者来说是很有价值的，所以我们隐藏Nginx的版本号，减少受攻击风险，保护服务器安全运行

Nginx隐藏版本号的方法:
① 修改配置文件（隐藏版本号）

vim /usr/local/nginx/conf/nginx.conf
server_tokens off;
##若在http模块中加，为全局设置
##在server模块内加，为当前主机设置

② 修改源码法（修改版本号）

vim /opt/nginx-1.22.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" 					#修改版本号
#define NGINX_VER "IIS" NGINX_VERSION 			#修改服务器类型

cd /opt/nginx-1.22.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
	......
}

3.Nginx日志分割

Nginx与apache的不同之处，就是Nginx本身并为设计日志分割工具，所以需要运维人员进行脚本编写来实现日志分割。

日志分割脚本：

#!/bin/bash
day=$(date +%Y-%m-%d)
dir="/usr/local/nginx/logs/"
logs_file='/usr/local/nginx/logs/access.log'
logs_error='/usr/local/nginx/logs/error.log'
pid_file='/usr/local/nginx/logs/nginx.pid'
if [ ! -d $dir ]
   then mkdir $dir
   fi
mv ${logs_file} ${dir}/access${day}.log
mv ${logs_error} ${dir}/error${day}.log
kill -USR1 $(cat ${pid_file})
find $dir -mtime +30 -exec rm -rf {} \;