nginx企业级优化

一、安全优化

1. 隐藏nginx的版本号，使攻击者不能获取nginx的服务版本号，提高安全性

2. 隐藏版本号操作

a. 修改配置文件的方式隐藏版本号

netstat -anpt | grep nginx

tcp        0      0 0.0.0.0:80                  0.0.0.0:*                  LISTEN      96120/nginx

curl -I http://192.168.33.111  正常情况下会显示nginx的版本号

     

      修改nginx的主配置文件 vim /usr/local/nginx/conf/nginx.conf

      在http {  区域内加入一行：server_tokens off;

/usr/local/nginx/sbin/nginx -t  或者 nginx -t 检查一下语法

重启以下nginx服务，service nginx restart

再次执行 curl -I http://192.168.33.111 结果如下图所示，已经不显示版本号了

  b. 修改nginx源码文件实现隐藏版本号

修改源代码文件的版本信息，vim/usr/src/nginx-1.6.0/src/core/nginx.h

因为修改了源代码文件，所以重新编译安装一下nginx源代码包：

安装完毕后重启一下nginx服务，service nginx restart

再次测试一下，curl -I http://192.168.33.111

这时就会显示你修改的版本号，包括版本名

3. 修改用户和组

a. 在nginx的主配置文件里修改，vim /usr/local/nginx/conf/nginx.conf

b. user nobody 改为 user nginx nginx 或者 user nginx group nginx

二、性能优化

1. 配置网页缓存时间

a. 配置网页缓存时间可以加快客户端访问网页的速度

b. 修改nginx的主配置文件，加入一段新的location字段

c. location ~ \.(gif|jpg|jepg|png|bmp|ico|html)$ {

root html;

expires 1d;

}

d. 重启nginx服务，开启宿主机抓包软件fiddler，打开网页访问虚拟机ip地址http://192.168.33.111，在cache字段出现expires说明已经设置缓存时间成功

2. 日志切割

a. nginx没有类似apache的cronlog日志的分割处理功能，可以通过nginx的信号控制功能脚本进行日志分割

b. 编写日志分割脚本，vim /opt/fenge.sh

#!/bin/bash

#Filename:fenge.sh

d=$(date -d "-1 day" "+%Y%m%d")

logs_path="/var/log/nginx"

pid_path="/usr/local/nginx/logs/nginx.pid"

[ -d $logs_path ] || mkdir -p $logs_path

mv /usr/local/nginx/logs/access.log ${logs_path}/test.com-access.log-$d

kill -USR1 $(cat $pid_path)

find $logs_path -mtime +30 | xargs rm -rf

c. 给脚本执行权限，chmod 755 /opt/fenge.sh

d. 执行该脚本，sh /opt/fenge.sh

[root@localhost logs]# cd /var/log/nginx/

[root@localhost nginx]# ls

test.com-access.log-20181125

e. 到这里日志分割完毕，我们需要把他加入系统计划任务中，定时分割日志文件，crontab -e  ,  30  1  *  *  *  /opt/fenge.sh,这样每天凌晨1：30分都会自动分割日志，方便管理，实现自动化运维

4. 设置连接超时

a. 为了避免同一个客户长时间占用连接，造成资源浪费，需要设置连接超时参数

b. 修改nginx主配置文件，vim /usr/local/nginx/conf/nginx.conf

    keepalive_timeout  65;

    client_header_timeout 80;

    client_body_timeout 80;

这几行添加在http { }区域中添加

c. 打开宿主机fiddler抓包验证

5. 更改进程数

a. 在高并发环境中，需要启动更多的nginx进程以保证快速响应，用以处理用户的请求，避免造成阻塞

b. 修改nginx主配置文件，vim /usr/local/nginx/conf/nginx.conf

worker_processes  2;                  #nginx进程数，一般是cpu核心数的2倍

worker_cpu_affinity 01 10;        #cpu核心分配

6. 配置网页压缩

a. 配置网页压缩可以提高用户访问的速度，节约网站带宽，提升用户体验

b. 修改主配置文件，增加gzip压缩模块vim/usr/local/nginx/conf/nginx.conf

29    gzip  on;

30    gzip_buffers 4 64k; #申请4个单位为64k的内存作为压缩结果流

31    gzip_http_version 1.1;

32    gzip_comp_level 2;      #指定压缩比，一般数值为2，最高为9

33    gzip_min_length 1k; #允许压缩的页面最小字节数

34    gzip_vary on;

35    gzip_types text/plain text/javascript application/x-javascript tex    t/css text/xml application/xml application/xml+rss;

c. 开启宿主机fiddler抓包测试，transport标题下出现gzip字样，便是成功了

7. 配置FPM参数优化

a. 为了提高PHP动态模块的处理速度需要优化php-fpm参数

b.  vim /usr/local/php5/etc/php-fpm.conf

i. pm = dynamic        #动态模块设置，如果设置为static便是静态方式

ii. pm.max_children = 50    #指定启动的进程答最大数量

iii. pm.start_servers = 20      #动态方式下的初始fpm进程数量

iv. pm.min_spare_servers = 5    #动态方式下最小的fpm空闲进程数

v. pm.max_spare_servers = 20  #动态方式下fpm最大空闲进程数