随笔分类 - nginx
摘要:在长亭科技举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。 在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP-FPM执行任意代码。
阅读全文
摘要:一、漏洞描述 该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞 二、漏洞原理 1、 由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,为此可以构造http://ip/uploadfiles/test.png/.php (url结尾不一
阅读全文
摘要:目录 1、Nginx运行工作进程数量 2、Nginx运行CPU亲和力 3、Nginx最大打开文件数 4、Nginx时间处理模型 6、连接超时时间 7、fastcgi调优 8、gzip调优 9、expires缓存调优 10、防盗链 11、内核参数优化 12、关于系统连接数的优化 1、Nginx运行工作
阅读全文
摘要:[root@xxxxxxxxxxxxxx ~]# cat /usr/local/nginx/conf/nginx.conf user nobody; worker_processes 4; worker_cpu_affinity 0001 0010 0100 1000; error_log logs/error.log; pid logs/nginx.pid; event...
阅读全文
摘要:配置文件示例 说明: 首先,把各种静态文件的请求分离出来,单独由nginx处理。 其他请求直接代理8080端口,即tomcat服务。
阅读全文
摘要:配置如下(在server部分添加): 配置说明: fastcgi_params文件在/usr/local/nginx/conf/下面,其内容为fastcgi相关的变量 fastcgi_pass后面跟的是php-fpm服务监听地址,可以是IP:PORT,也可以是unix socket地址,也支持ups
阅读全文
摘要:Nginx有内置一个状态页,需要在编译的时候指定参数--with-http_stub_status_module参数方可打开。也就是说,该功能是由http_stub_status_module模块提供,默认没有加载。 配置文件示例 配置说明 location /status/这样当访问/status
阅读全文
摘要:作为高性能WEB服务器,只调整Nginx本身的参数是不行的,因为Nginx服务依赖于高性能的操作系统。 以下为常见的几个Linux内核参数优化方法。 net.ipv4.tcp_max_tw_buckets 对于tcp连接,服务端和客户端通信完后状态变为timewait,假如某台服务器非常忙,连接数特
阅读全文
摘要:nginx作为高性能web服务器,即使不特意调整配置参数也可以处理大量的并发请求。以下的配置参数是借鉴网上的一些调优参数,仅作为参考,不见得适于你的线上业务。 worker进程 worker_processes 该参数表示启动几个工作进程,建议和本机CPU核数保持一致,每一核CPU处理一个进程。 w
阅读全文
摘要:如果任由访问日志写下去,日志文件会变得越来越大,甚至是写满磁盘。 所以,我们需要想办法把日志做切割,比如每天生成一个新的日志,旧的日志按规定时间删除即可。 实现日志切割可以通过写shell脚本或者系统的日志切割机制实现。 shell脚本切割Nginx日志 示例: 系统日志切割机制 附: 1.如何测试
阅读全文
摘要:一个网站,会包含很多元素,尤其是有大量的图片、js、css等静态元素。这样的请求其实可以不用记录日志。 配置示例:
阅读全文
摘要:Nginx访问日志可以设置自定义的格式,来满足特定的需求。 示例: 常见变量:
阅读全文
摘要:web服务器的访问日志是非常重要的,我们可以通过访问日志来分析用户的访问情况, 也可以通过访问日志发现一些异常访问,比如cc攻击。 格式: access_log /path/to/logfile format; access_log可以配置到http, server, location配置段中。 配
阅读全文
摘要:Nginx错误日志平时不用太关注,但是一旦出了问题,就需要借助错误日志来判断问题所在。 配置参数格式:error_log /path/to/log level; Nginx错误日志级别 常见的错误日志级别有debug | info | notice | warn | error | crit | a
阅读全文
摘要:单向SSL配置实例: 配置说明: 注意: nginx在源码安装的时候,默认没有开启ssl模块,需要重新编译安装,安装命令如下: 然后重启nginx 双线SSL配置示例 说明: 就是比单向多了加粗的俩行,但是配置了双向后,服务器还要对客户端的证书进行认证,一般情况下,我们单向SSL使用较为普遍。 注:
阅读全文
摘要:安装httpd 使用htpasswd生产密码文件 配置nginx用户认证
阅读全文
摘要:nginx限速可以通过 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块来实现限速的功能。 一、ngx_http_limit_conn_module : 该模块主要限制下载速度。 1、并发连接限制: 2、速度限制: 二、ngx_htt
阅读全文
摘要:在rewrite时,曾经用过该变量,当时实现了防盗链功能。 其实基于该变量,我们也可以做一些特殊的需求。 示例:
阅读全文
摘要:user_agent大家并不陌生,可以简单理解成浏览器标识,包括一些蜘蛛爬虫都可以通过user_agent来辨识。 通过访问日志,可以发现一些搜索引擎的蜘蛛对网站访问特别频繁,它们并不友好。 为了减少服务器的压力,其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉。 另外,一些cc攻击,我们也可以
阅读全文