Nginx优化
一、静态资源优化
1.静态资源
2.静态资源缓存
1.Etag:服务器上的文件唯一标示
2.Last-Modified:服务器上的文件最后修改时间
3.Expires:文件缓存过期时间
4.Cache-Control:文件多久过期
5.If-None-Match:浏览器上的文件唯一标示
6.If-Modified-Since:浏览器上的文件最后修改时间
1)配置缓存过期时间
Syntax: expires [modified] time;
expires epoch | max | off;
Default: expires off;
Context: http, server, location, if in location
[root@web01 conf.d]
server {
listen 80;
server_name linux.cache.com;
location ~* \.(png|jpg|gif)$ {
root /code/cache;
expires 7d;
}
}
[root@web01 conf.d]
[root@web01 code]
[root@web01 code]
[root@web01 cache]
[root@web01 cache]
total 1868
-rw-r--r-- 1 root root 156617 Dec 7 08:54 1.jpg
-rw-r--r-- 1 root root 47542 Dec 7 08:54 2.jpg
[root@web01 cache]
2)配置不走缓存
1.使用无痕模式
2.开启浏览器上面的 Disable cache
3.配置nginx关闭缓存
[root@web01 conf.d]
server {
listen 80;
server_name linux.cache.com;
location ~* \.(png|jpg|gif)$ {
root /code/cache;
etag off;
add_header Cache-Control no-cache;
if_modified_since off;
}
}
3.静态资源读取优化
1.`文件高效读取
#高效传输,上nginx访问数据,就只需要在用户空间(应用程序)内进行,不需要通过内核空间传回给用户空间(CPU,硬件等).
'配置在'`/etc/nginx/nginx.conf`'的主配置文件里'
'在http层配置,默认为关闭,'`sendfile on;`'为开启 '
Syntax: sendfile on | off;
Default: sendfile off;
Context: http, server, location, if in location
2.`文件高效传输
'配置在'`/etc/nginx/nginx.conf`'的主配置文件里'
'在http层配置,默认为关闭状态,'`tcp_nopush on;`'不过停老师说会变慢。。。'
Syntax: tcp_nopush on | off;
Default: tcp_nopush off;
Context: http, server, location
3.`长连接
#开启长链接,这里的长链接是客户通过浏览器,访问服务器的网页。一次请求,可以有多次连接,在规定的时间内,可以不用建立TCP链接。
'配置在'`/etc/nginx/nginx.conf`'的主配置文件里'
'在http层配置,默认为开启状态'
Syntax: keepalive_timeout timeout [header_timeout];
Default: keepalive_timeout 75s;
Context: http, server, location
4.`长连接传输
'配置在'`/etc/nginx/nginx.conf`'的主配置文件里'
'在http层配置,默认为关闭状态,需要开启'`keepalive`',一般配这个'
Syntax: tcp_nodelay on | off;
Default: tcp_nodelay on;
Context: http, server, location
5.`静态资源压缩
'静态资源压缩配置语法
#开启压缩
'配置在'`/etc/nginx/nginx.conf`'的主配置文件里'
'默认为关闭状态, '`gzip on;`'为开启静态资源压缩,需要和他嵌套的语法配合才有用。
Syntax: gzip on | off;
Default: gzip off;
Context: http, server, location, if in location
#指定压缩静态文件的类型,可指定多个
'最好配置在'`/etc/nginx/nginx.conf`'的主配置文件里。与'`gzip on; gzip_http_version 1.1;`'配合。
'表示需要进行压缩的文件类型。'`gzip_types image/jpeg image/gif image/png;`',表示对此服务的,jpg,gif,png,进行压缩。'
Syntax: gzip_types mime-type ...;
Default: gzip_types text/html;
Context: http, server, location
#指定压缩的级别,压缩比例
'最好配置在'`/etc/nginx/nginx.conf`'的主配置文件里。
''`gzip_comp_level 5;`',开启的压缩的恩济为5.
Syntax: gzip_comp_level level;
Default: gzip_comp_level 1; #共1-9个级别,一般我们设置3-5
Context: http, server, location
#压缩后传输使用的协议
'最好配置在'`/etc/nginx/nginx.conf`'的主配置文件里。
'gzip_http_version 1.1;'
Syntax: gzip_http_version 1.0 | 1.1;
Default:
Context: http, server, location
## 珍贵的例子 --- r压缩配置
[root@web01 cache]# vim /etc/nginx/conf.d/linux.gzip.com.conf
server {
listen 80;
server_name linux.gzip.com;
location ~* \.(png|jpg|gif)$ {
root /code/cache;
gzip on; #开启压缩
gzip_types image/jpeg image/gif image/png; #指定压缩文件的类型
gzip_comp_level 9; #指定压缩的级别,压缩比例
gzip_http_version 1.1; #压缩后传输使用的协议
}
location ~* \.txt$ {
root /code/cache;
gzip on;
gzip_types text/plain;
gzip_comp_level 5;
gzip_http_version 1.1;
}
}
```最后自己上传文件测试
二、防资源盗链
1.配置被盗连的网站
[root@web01 conf.d]
server {
listen 80;
server_name linux.beidaolian.com;
location ~* \.(png|jpg|gif)$ {
root /code;
index index.html;
}
}
[root@web01 ~]
[root@web01 conf.d]
[root@web01 code]
-rw-r--r-- 1 www www 31962 Dec 14 09:37 404.jpg
-rw-r--r-- 1 www www 25 Dec 15 10:18 index.html
2.配置盗链的网站
[root@lb01 ~]
server {
listen 80;
server_name linux.daolian.com;
location ~* / {
root /code;
index index.html;
}
}
[root@lb01 ~]
[root@lb01 ~]
<html>
<body>
<img src="http://linux.beidaolian.com/404.jpg">
</body>
</html>
3.配置hosts访问测试
10.0.0.4 linux.daolian.com
10.0.0.7 linux.beidaolian.com
http://linux.daolian.com/
4.配置防盗链
Syntax: valid_referers none | blocked | server_names | string ...;
Default: —
Context: server, location
none
blocked
server_names
string
` 珍贵的例子
[root@web01 conf.d]
server {
listen 80;
server_name linux.beidaolian.com;
location / {
root /code;
index index.html;
}
location ~* \.jpg$ {
root /code;
valid_referers none blocked server_names;
if ($invalid_referer) {
return 500;
}
}
}
6.伪造请求头
[root@lb01 ~]
HTTP/1.1 500 Internal Server Error
Server: nginx/1.18.0
Date: Tue, 15 Dec 2020 02:51:41 GMT
Content-Type: text/html; charset=utf8
Content-Length: 177
Connection: close
[root@lb01 ~]
HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Tue, 15 Dec 2020 02:52:24 GMT
Content-Type: image/jpeg
Content-Length: 31962
Last-Modified: Mon, 14 Dec 2020 01:37:29 GMT
Connection: keep-alive
ETag: "5fd6c1d9-7cda"
Accept-Ranges: bytes
7.允许多个域名盗链
[root@web01 conf.d]
server {
listen 80;
server_name linux.beidaolian.com;
location / {
root /code;
index index.html;
}
location ~* \.jpg$ {
root /code;
valid_referers none blocked server_names *.baidu.com;
if ($invalid_referer) {
return 500;
}
}
}
[root@lb01 ~]
HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Tue, 15 Dec 2020 02:58:27 GMT
Content-Type: image/jpeg
Content-Length: 31962
Last-Modified: Mon, 14 Dec 2020 01:37:29 GMT
Connection: keep-alive
ETag: "5fd6c1d9-7cda"
Accept-Ranges: bytes
三、跨域访问
1.盗链和跨域的区别
盗链是由盗链的网站向被盗链的网站发起get请求获取内容
跨域是由跨域的网站向被跨域的网站发起一个完整http请求,甚至是完全跳转
2.配置被跨域的网站
[root@web01 conf.d]
server {
listen 80;
server_name linux.beikuayu.com;
location / {
root /code;
index index.html;
}
}
[root@web01 conf.d]
3.配置跨域网站
[root@lb01 conf.d]
server {
listen 80;
server_name linux.kuayu.com;
location ~* / {
root /code;
index index.html;
}
}
[root@lb01 conf.d]
<html lang="en">
<head>
<meta charset="UTF-8" />
<title>测试ajax和跨域访问</title>
<script src="http://libs.baidu.com/jquery/2.1.4/jquery.min.js"></script>
</head>
<script type="text/javascript">
$(document).ready(function(){
$.ajax({
type: "GET",
url: "http://linux.beikuayu.com",
success: function(data) {
alert("sucess 卧槽 卧槽 卧槽 成功了!!!");
},
error: function() {
alert("fail!!,跨不过去啊,不让进去啊,只能蹭蹭!");
}
});
});
</script>
<body>
<h1>测试跨域访问</h1>
</body>
</html>
4.配置hosts测试
10.0.0.4 linux.kuayu.com
10.0.0.7 linux.beikuayu.com
[root@web01 conf.d]
10.0.0.4 linux.kuayu.com
10.0.0.7 linux.beikuayu.com
[root@lb01 conf.d]
10.0.0.4 linux.kuayu.com
10.0.0.7 linux.beikuayu.com
5.测试跨域访问
6.配置允许被跨域
[root@web01 conf.d]
server {
listen 80;
server_name linux.beikuayu.com;
location / {
root /code;
index index.html;
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods 'GET,POST,PUT,DELETE,OPTIONS';
}
}
四、nginx的CPU亲和
1.查看cpu状态
[root@web01 ~]
CPU(s): 4
On-line CPU(s) list: 0-3
Thread(s) per core: 1
Core(s) per socket: 4
NUMA node0 CPU(s): 0-3
2.修改nginx配置
[root@web01 ~]
worker_processes 4;
[root@web01 ~]
3.没有配置亲和的情况
[root@web01 ~]
7549 nginx: master process /usr/ 3
7550 nginx: worker process 2
7551 nginx: worker process 0
7552 nginx: worker process 1
7553 nginx: worker process 1
4.配置cpu亲和
1)方式1
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000;
worker_processes 16;
worker_cpu_affinity 0000000000000001 0000000000000010 0000000000000100 0000000000001000 ...;
2)方式2
worker_processes 2;
worker_cpu_affinity 0101 1010;
3)方式3
'表示'`nginx`'里的每个'`worker`'自动平均分配CPU。
worker_processes auto;
worker_cpu_affinity auto;
[root@web01 ~]
---------------------------- `核心模块` ---------------------------
user www;
worker_processes auto;
worker_cpu_affinity auto;
5.配置CPU亲和后
[root@web01 ~]
7629 nginx: master process /usr/ 3
7630 nginx: worker process 0
7631 nginx: worker process 1
7632 nginx: worker process 2
7633 nginx: worker process 3
五、nginx通用优化文件
1.通用优化配置
[root@nginx ~]
user www;
worker_processes auto;
worker_cpu_affinity auto;
error_log /var/log/nginx/error.log warn;
pid /run/nginx.pid;
worker_rlimit_nofile 35535;
events {
use epoll;
worker_connections 10240;
}
http {
include mime.types;
default_type application/octet-stream;
charset utf-8;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main
server_tokens off;
client_max_body_size 200m;
sendfile on;
tcp_nopush on;
keepalive_timeout 65;
gzip on;
gzip_disable "MSIE [1-6]\.";
gzip_http_version 1.1;
gzip_comp_level 4;
gzip_buffers 16 8k;
gzip_min_length 1024;
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript image/jpeg;
include /etc/nginx/conf.d/*.conf;
}
2.nginx优化总结
1、CPU亲和、worker进程数、调整nginx进程打开的文件句柄数
2、使用Epool网络模型、调整每个worker进程的最大连接数
3、文件的高效读取sendfile、nopush
4、文件的传输实时性、nodealy
5、开启tcp长连接,以及长连接超时时间keepalive_timeout
6、开启文件传输压缩gzip
7、开启静态文件expires缓存
8、隐藏nginx版本号
9、禁止通过ip地址访问,禁止恶意域名解析,只允许域名访问
10、配置防盗链、以及跨域访问
11、防DDOS、cc攻击,限制单IP并发连接,以及http请求
12、优雅显示nginx错误页面
13、nginx加密传输https优化
14、nginx proxy_cache、fastcgi_cache、uwsgi_cache 代理缓存,第三方工具(squid、varnish)
六、PHP优化
1.配置PHP页面
[root@web01 ~]
server {
listen 80;
server_name linux.phpserver.com;
root /code/phpserver;
index index.php;
location ~* \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
[root@web01 ~]
[root@web01 ~]
<?php
phpinfo();
2.php.ini配置文件优化
` 可以用 grep ^[a-z] 查看的PHP的配置。
[root@web01 ~]
user = mabaoguo
group = mabaoguo
listen = 127.0.0.1:9000
listen.allowed_clients = 127.0.0.1
pm = dynamic
pm.max_children = 50
pm.start_servers = 5
pm.min_spare_servers = 5
pm.max_spare_servers = 35
slowlog = /var/log/php-fpm/www-slow.log
php_admin_value[error_log] = /var/log/php-fpm/www-error.log
php_admin_flag[log_errors] = on
php_value[session.save_handler] = files
php_value[session.save_path] = /var/lib/php/session
php_value[soap.wsdl_cache_dir] = /var/lib/php/wsdlcache
expose_php = Off
display_error = Off
error_reporting = E_ALL
log_errors = On
error_log = /var/log/php_error.log
date.timezone = Asia/Shanghai
file_uploads = On
upload_max_filesize = 300M
post_max_size = 300M
max_file_uploads = 20
memory_limit = 128M
3.PHP危险函数
有时候为了安全我们需要禁掉一些PHP危险函数,整理如下需要的朋友可以参考下
phpinfo()
功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。
危险等级:中
passthru()
功能描述:允许执行一个外部程序并回显输出,类似于 exec()。
危险等级:高
exec()
功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。
危险等级:高
system()
功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。
危险等级:高
chroot()
功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式
PHP 时才能工作,且该函数不适用于 Windows 系统。
危险等级:高
scandir()
功能描述:列出指定路径中的文件和目录。
危险等级:中
chgrp()
功能描述:改变文件或目录所属的用户组。
危险等级:高
chown()
功能描述:改变文件或目录的所有者。
危险等级:高
shell_exec()
功能描述:通过 Shell 执行命令,并将执行结果作为字符串返回。
危险等级:高
proc_open()
功能描述:执行一个命令并打开文件指针用于读取以及写入。
危险等级:高
proc_get_status()
功能描述:获取使用 proc_open() 所打开进程的信息。
危险等级:高
error_log()
功能描述:将错误信息发送到指定位置(文件)。
安全备注:在某些版本的 PHP 中,可使用 error_log() 绕过 PHP safe mode,
执行任意命令。
危险等级:低
ini_alter()
功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。
具体参见 ini_set()。
危险等级:高
ini_set()
功能描述:可用于修改、设置 PHP 环境配置参数。
危险等级:高
ini_restore()
功能描述:可用于恢复 PHP 环境配置参数到其初始值。
危险等级:高
dl()
功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。
危险等级:高
pfsockopen()
功能描述:建立一个 Internet 或 UNIX 域的 socket 持久连接。
危险等级:高
syslog()
功能描述:可调用 UNIX 系统的系统层 syslog() 函数。
危险等级:中
readlink()
功能描述:返回符号连接指向的目标文件内容。
危险等级:中
symlink()
功能描述:在 UNIX 系统中建立一个符号链接。
危险等级:高
popen()
功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。
危险等级:高
stream_socket_server()
功能描述:建立一个 Internet 或 UNIX 服务器连接。
危险等级:中
putenv()
功能描述:用于在 PHP 运行时改变系统字符集环境。在低于 5.2.6 版本的 PHP 中,可利用该函数
修改系统字符集环境后,利用 sendmail 指令发送特殊参数执行系统 SHELL 命令。
危险等级:高
打开/etc/php.ini文件,
查找到 disable_functions ,添加需禁用的函数名,如下:
phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,p
4.php-fpm服务配置
1)php-fpm.conf配置优化
[root@web02 ~]
[global]
;pid = /var/log/php-fpm/php-fpm.pid
;error_log = /var/log/php-fpm/php-fpm.log
;log_level = error
rlimit_files = 65535
;events.mechanism = epoll
include=/etc/php-fpm.d/*.conf
2)包含配置文件优化 /etc/php-fpm.d/*.conf
[root@web02 ~]
[www]
user = www
group = www
;listen = /dev/shm/php-fpm.sock
listen = 127.0.0.1:9000
;listen.allowed_clients = 127.0.0.1
pm = dynamic
pm.max_children = 512
pm.start_servers = 32
pm.min_spare_servers = 32
pm.max_spare_servers = 64
pm.max_requests = 1500
pm.process_idle_timeout = 15s;
pm.status_path = /php_status
php_flag[display_errors] = off
php_admin_value[error_log] = /var/log/phpfpm_error.log
php_admin_flag[log_errors] = on
request_slowlog_timeout = 5s
slowlog = /var/log/php_slow.log
5.php状态页
1)配置php
[root@web02 ~]
pm.status_path = /php_status
[root@web02 ~]
2)配置nginx
[root@web02 ~]
server {
listen 80;
server_name linux.php.com;
root /code/php;
index index.php;
location ~* \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
location /status {
stub_status;
}
location /php_status {
fastcgi_pass 127.0.0.1:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
3)访问页面
pool: www
process manager: dynamic
start time: 14/Sep/2020:18:52:12 +0800
start since: 14
accepted conn: 1
listen queue: 0
max listen queue: 0
listen queue len: 511
idle processes: 4
active processes: 1
total processes: 5
max active processes: 1
max children reached: 0
slow requests: 0
浙公网安备 33010602011771号