Linux系统架构----Nginx的服务优化

一.隐藏版本号

• 在生产环境中，需要隐藏Nginx的版本号，以免泄露Nginx的版本，使得攻击者不能针对特定版本进行攻击

查看Nginx的版本有两种方法

• 使用fiddler工具抓取数据包，查看Nginx版本

• 在Centos7上使用使用命令 curl -I 查看

隐藏Nginx版本号也有两种方法

• 修改Nginx的源码文件，指定不显示版本号

• 修改Nginx的主配置文件

隐藏版本号操作

• 修改源码文件

[root@server1 ~]# curl -I 10.1.1.172
HTTP/1.1 200 OK
Server: nginx/1.14.1    ##版本号
Date: Sat, 09 Mar 2024 11:27:40 GMT
Content-Type: text/html
Content-Length: 4057
Last-Modified: Mon, 07 Oct 2019 21:16:24 GMT
Connection: keep-alive
ETag: "5d9bab28-fd9"
Accept-Ranges: bytes##修改配置
[root@server2 ~]# vim /etc/nginx/nginx.conf
...
http {include       mime.types;default_type  application/octet-stream;server_tokens off;
...
[root@server2 ~]# systemctl restart nginx.service 

• 验证是否隐藏版本号

[root@server1 ~]# curl -I 10.1.1.172
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 09 Mar 2024 11:31:19 GMT
Content-Type: text/html
Content-Length: 4057
Last-Modified: Mon, 07 Oct 2019 21:16:24 GMT
Connection: keep-alive
ETag: "5d9bab28-fd9"
Accept-Ranges: bytes

二.修改用户和组

• Nginx在运行时进程需要有用户和组的支持，用于实现对网站读取时的进行访问控制
• 主进程由root创建，子进程有指定的用户与组创建
• Nginx默认使用nobody用户账户和组账号

修改Nginx用户和组有两种方法

• 在编译安装时指定的用户与组

• 修改配置文件

修改用户和组操作

• 编译时指定用户和组

#创建用户，不建立宿主文件，且不能再shell上登录
useradd -M -s /sbin/nologin nginx
#配置，安装且编译
cd /opt/nginx-1.12.2/
./configure \
--prefix=/usr/local/nginx \
--user=nginx \                       //指定用户名为nginx
--group=nginx \                      //指定组名为nginx
--with-http_stub_status_module

• 修改Nginx的配置文件nginx.conf指定用户和组

[root@server2 ~]# vim /etc/nginx/nginx.conf
...
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
...

• 查看Nginx进程运行情况

[root@server2 ~]# ps aux |grep nginx
root       25282  0.0  0.0 119160  2176 ?        Ss   19:30   0:00 nginx: master process /usr/sbin/nginx
nginx      25283  0.0  0.2 151852  8140 ?        S    19:30   0:00 nginx: worker process
nginx      25284  0.0  0.2 151852  8140 ?        S    19:30   0:00 nginx: worker process
nginx      25285  0.0  0.2 151852  8140 ?        S    19:30   0:00 nginx: worker process
nginx      25286  0.0  0.2 151852  8140 ?        S    19:30   0:00 nginx: worker process
root       25291  0.0  0.0  12348  1036 pts/2    S+   19:35   0:00 grep --color=auto nginx

三.配置网页缓存时间

• 当Nginx将网页数据返回给给客户端之后，可以设置缓存的时间，方便下次再浏览相同的内容时直接返回，避免重复请求，加快访问速度，一般只针对静态资源设置，对于动态网页不用设置缓存时间

• 在Nginx服务中，expires参数指定缓存时间

• 当没有设置expires参数时，使用Fiddler进行抓包

[root@server2 ~]# vim /etc/nginx/nginx.conflocation ~ \.php$ {proxy_pass http://10.1.1.171;expires 1d;  ##添加此处代码}

四.日志分割

• Nginx没有类似于Apache的cronlog日志分割处理功能，但是可以通过Nginx的信号控制功能脚本来实现日志的自动分割，并且将脚本加入到Linux的计划任务中去，让脚本在每天固定的时间执行，便可以实现切割功能
• 编写脚本进行日志切割的思路
• 设置时间变量
• 设置保存日志路径将目前的日志文件进行重命名
• 删除时间过长的日志文件
• 设置cron任务，定期执行脚本自动进行日志分割

[root@server2 ~]# vim /opt/fenge.sh 
#!/bin/bash
d=$(date -d "-1 day" "+%Y%m%d")
logs_path="/var/log/nginx"
pid_path="/run/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path   //创建日志文件目录
mv /var/log/nginx/access.log ${logs_path}/test.com-access.log-$d  ##移动且重命名日志文件
kill -USR1 $(cat $pid_path)     ##重建新的日志文件 
find $logs_path -mtime +30 |xargs rm -rf    ##删除30天之前的日志文件

执行分割脚本

[root@server2 opt]# bash fenge.sh 
[root@server2 opt]# ls /var/log/nginx/  ##查看日志文件
access.log  error.log  test.com-access.log-20240308
##修改日期
[root@server2 opt]# date
2024年 03月 09日 星期六 20:10:00 CST
[root@server2 opt]# date -s 2024-03-12
2024年 03月 12日 星期二 00:00:00 CST
[root@server2 opt]# ls /var/log/nginx/
access.log  error.log  test.com-access.log-20240308  test.com-access.log-20240311
###设置crontab任务，每天零点执行脚本
[root@server2 ~]# crontab -e
no crontab for root - using an empty one
crontab: installing new crontab
[root@server2 ~]# crontab -l
0 0 * * * /opt/fenge.sh

五.设置连接超时

• 在企业网站中为了避免同一个客户长时间占用连接，造成资源浪费，可以设置相应的连接超时参数，实现对连接访问时间的控制，可以修改配置文件nginx.conf,设置keepalive_timeout超时时间

• 具体操作如下

keepalive_timeout 65 180;
//第一个参数指定了与客户端的keep-alive连接超时时间，服务器将会在这个时间后关闭连接
//第二个参数指定了在响应头Keep-Alive_timeout中的time值，这个头能够让一些浏览器主动关闭连接，这样服务器就不必关闭连接。如果没有这个参数，Nginx将不会发送Keep_Alive响应头
client_header_timeout 80;
//指定等待客户端发送请求头的超时时间
client_body_timeout 80;
//指定请求体读的超时时间