web服务器nginx的基本使用与配置

IT不难

发布于 2022-05-14 16:22:07

1.4K0

发布于 2022-05-14 16:22:07

文章被收录于专栏：IT不难技术家园IT不难技术家园

前言

Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器。其特点是占有内存少，并发能力强，事实上nginx的并发能力确实在同类型的网页服务器中表现较好，使用方面。

安装配置

安装

yum -y install nginx

创建目录

## 日志目录
mkdir /data/log/nginx/ && chown -R nginx:nginx /data/log/nginx/

## 缓存目录
mkdir -p /var/cache/nginx/ && chown -R nginx:nginx /var/cache/nginx/

配置文件nginx.conf

user nobody;
worker_processes auto;  #nginx对外提供web服务时的worker进程数
error_log /data/log/nginx/error.log;
pid /run/nginx.pid;

# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;

events {
    worker_connections 1024;  #设置可由一个worker进程同时打开的最大连接数
}

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /data/log/nginx/access.log  main buffer=32k flush=30s;

    server_tokens       off; #关闭在错误页面中的nginx版本数字
    
    client_max_body_size 100m;

    sendfile            on;  #可以让sendfile函数发挥作用。sendfile函数可以在磁盘和TCP socket之间互相拷贝数据(或任意两个文件描述符)
    tcp_nopush          on;  #告诉nginx在一个数据包里发送所有头文件，而不一个接一个的发送
    tcp_nodelay         on;  #不缓存数据
    
    keepalive_timeout   65;
    types_hash_max_size 2048;

    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;

    #ssl 配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
    ssl_ecdh_curve secp384r1;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_session_tickets off;
    ssl_stapling on; 
    ssl_stapling_verify on;
    add_header Strict-Transport-Security "max-age=63072000; preload";
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";

    #nginx缓存
    fastcgi_cache_path /var/cache/nginx/  levels=1:2 keys_zone=wordpress:10m inactive=30m use_temp_path=off;
    fastcgi_cache_key $request_method$scheme$host$request_uri;
    fastcgi_cache_use_stale error timeout invalid_header updating http_500;
    fastcgi_cache_valid 200 301 302 10h;
    fastcgi_cache_valid 404 10m;
    fastcgi_ignore_headers Expires Set-Cookie Vary;

    #启动gzip
    gzip on;
    gzip_min_length  1k;
    gzip_buffers     4 16k;
    gzip_comp_level 7;
    gzip_types
        text/css
        text/plain
        text/javascript
        application/javascript
        application/json
        application/x-javascript
        application/xml
        application/xml+rss
        application/xhtml+xml
        application/x-font-ttf
        application/x-font-opentype
        application/vnd.ms-fontobject
        image/svg+xml
        image/x-icon
        application/rss+xml
        application/atom_xml
        image/jpeg
        image/gif
        image/png
        image/icon
        image/bmp
        image/jpg;
    gzip_vary on;

    # for more information.
    include /etc/nginx/conf.d/*.conf;
}

启动

systemctl enable --now nginx

高级用法

泛域名强制跳转

server {
    listen 80;
    server_name *.chreagent.com;
    return 301 https://$http_host$request_uri;
}

基于客户端IP做并发访问控制

在主配置文件内添加

        # 针对原始用户 IP 地址做限制
        ## 用户的 IP 地址 $binary_remote_addr 作为 Key，每个 IP 地址最多有 50 个并发连接
        ## 你想开 几千个连接 刷死我？ 超过 50 个连接，直接返回 503 错误给你，根本不处理你的请求了
        limit_conn_zone $binary_remote_addr  zone=TotalConnLimitZone:20m ;
        limit_conn  TotalConnLimitZone  50;
        limit_conn_log_level notice;


        ## 针对原始用户 IP 地址做限制
        ## 用户的 IP 地址 $binary_remote_addr 作为 Key，每个 IP 地址每秒处理 10 个请求
        ## 你想用程序每秒几百次的刷我，没戏，再快了就不处理了，直接返回 503 错误给你
        limit_req_zone $binary_remote_addr  zone=ConnLimitZone:20m  rate=10r/s;
        #limit_req zone=ConnLimitZone burst=10 nodelay; #如果开启此条规则，burst=10的限制将会在nginx全局生效
        limit_req_log_level notice;

配置需要限制访问频率的server

## 具体服务器配置

server {

listen 80;

location ~ \.php$ {

## 最多 5 个排队， 由于每秒处理 10 个请求 + 5个排队，你一秒最多发送 15 个请求过来，再多就直接返回 503 错误给你了

limit_req zone=ConnLimitZone burst=5 nodelay;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

include fastcgi_params;

}

利用计划任务自动更新

#每小时58分更新一次
58 * * * *  /usr/bin/sh  /opt/scripts/add_blackip_for_ddos.sh > /dev/null 2>&1

#没3分钟更新一次
*/3  * * * *  /usr/bin/sh  /opt/scripts/add_blackip_for_ddos_per_min.sh > /dev/null 2>&1

#!/bin/bash
h_time=`env LC_ALL=en_US.en date '+%e/%b/%G:%H'`
zjlog='/data/log/nginx/itbunan_access.log'
conf='/www/server/panel/vhost/nginx/blackip.conf'


#筛选攻击IP
tail -n  5000000 $zjlog  | grep "$h_time" |awk '{print  $1}'| sort -k 1 | uniq -c | sort -rnk 1 | grep -v '::' > /tmp/zj_blackip.txt
cat /tmp/zj_blackip.txt | awk '{if($1>400)print "deny "$2";"}' > $conf

#!/bin/bash
h_time=`env LC_ALL=en_US.en date '+%e/%b/%G:%H'`
zjlog='/data/log/nginx/itbunan_access.log'
conf='/www/server/panel/vhost/nginx/blackip.conf'


#筛选攻击IP
tail -n  5000000 $zjlog  | grep "$h_time" |awk '{print  $1}'| sort -k 1 | uniq -c | sort -rnk 1 | grep -v '::' > /tmp/zj_blackip.txt
cat /tmp/zj_blackip.txt | awk '{if($1>400)print "deny "$2";"}' > $conf

配置加载

nginx  -s reload

FAQ

清除缓存

rm -rf /var/cache/nginx/*

本文共 472 个字数,平均阅读时长 ≈ 2分钟

本文参与腾讯云自媒体分享计划，分享自作者个人站点/博客。

如有侵权请联系 cloudcommunity@tencent.com 删除

nginx

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体分享计划，欢迎热爱写作的你一起参与！

nginx

登录后参与评论

0 条评论

热度

web服务器nginx的基本使用与配置

web服务器nginx的基本使用与配置

前言

安装配置

高级用法

泛域名强制跳转

基于客户端IP做并发访问控制

FAQ

清除缓存

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐