Nginx优化

##############基于LAMP（LNMP）问架构深度优化---配置文文件#################

3、修改配置文件参数实现隐藏版本号

a、nginx隐藏版本号

syntax server_tokens on|off;

在nginx配置文件中加入“server_token off;”

http

{

.........

server_tokens off;

.........

}

b、Apache隐藏版本号

[root@LAMP ~]# egrep "Server|ServerS" /application/apache/conf/extra/httpd-default.conf

# This configuration file reflects default settings for Apache HTTP Server.

# ServerName directive.

# ServerTokens

# This directive configures what you return as the Server HTTP response

ServerTokens Full

# Set to "EMail" to also include a mailto: link to the ServerAdmin.

ServerSignature On

[root@LAMP ~]#

其中黑体部分改分别改为如下：

ServerTokens Prod

ServerSignature Off

4、修改nginx/Apache的默认用户及用户组nobody

a、启动nginx服务，使用的默认用户为nobody：

为了防止黑客猜到这个用户，我们需要更改下特殊的用户名，提供nginx服务用。

b、更改默认用户的方法有两种，第一种为：

user:nginx nginx;

设置Nginx Worker进程运行的用户以及用户组

useradd nginx -s /sbin/nologin -M <==不需要有系统登录权限，应该禁止其登录，相当于Apache里的用户一样

c、更改默认用户的方法有两种，第一种如上面所说，第二种为：

./configure --user=nginx --group=nginx --prefix=/application/nginx1.6.2 --with-http_stub_status_module --with-http_ssl_module

提示：其实在前面编译nginx服务时，我们就这样带着参数编译的。

d、Apache默认用直接修改配置文件内容：

[root@LAMP ~]# egrep "User|Group" /application/apache/conf/httpd.conf

# User/Group: The name (or #number) of the user/group to run httpd as.

User www

Group www

补充知识:

配置nginx worker进程个数

在高并发场景，我们需要事先启动更多的nginx进程以保证快速响应并处理用户的请求。具体的配置参数如下：

worker_processes 8 <===指定了Nginx需要开启的进程数，建议指定和CPU的数量相等或者乘2的进程数

work_processes 参数开始的设置可以等于cpu的个数或者核数(work_cpu_affinity参数中的配置可以指定第一个到最后一个进程分别使用的哪个cpu)，进程多一些，其实提供服务就不会临时启动新进程提供服务，减少了系统开销，提升了服务速度。特殊场合也可以考虑提高至CPU*2 的进程数，具体情况要跟根据实际的业务来选择，因为这个参数，除了CPU核数的影响外，和硬盘存储的数据以及负载也有关。

查看linux服务器的核数的方法：

[root@LNMP application]# grep "physical id" /proc/cpuinfo

physical id : 0

physical id : 1

[root@LNMP application]#

可以按照physical数量设置，或者将目前数量*2

5、事件处理模型优化

nginx的连接处理机制在于不同的操作系统采用不同的IO模型，在linux使用epoll的IO多路复用模型，在FreeBSD使用kqueue的IO多路复用模型，在Solaris使用/dev/poll方式的IO多路复用模型，在Windows中使用的是icop等等。

具体参数配置如下:

events <====envents指令是设定nginx的工作模式及连接数上限

{

use epoll;

}

6、调整单个进程允许客户端最大连接数

这个值根据根据具体服务器性能和程序的内存使用量来制定（一个进程启动使用的内存根据程序确定）

events <====指令设定Nginx的工作模式及连接数上限

{

worker_connections 20480;

}

worker_connections也是个模块指令，用于定义Nginx每个进程的最大连接数，默认是1024，客户端最大连接数由worker_processes和worker_connections决定，即Max_client=worker_processes * worker_connections,进程的最大连接数受linux系统进程的最大打开文件数限制，在执行操作系统命令“umilited -HSn 65535”或者配置相应的文件后，worker_connections的设置才生效

7、配置每个进程最大文件打开数

worker_rlimit_nofile 65536;

该参数的意思为每个进程打开的最大文件数，可以设置为系统优化受的ulimit -HSn的结果，在第一章系统安装时调整文件描述符和这个处理的一个问题。

详细查阅:http://nginx.org/en/docs/ngx_core_module.html

8、优化服务器名字的hash表大小

确切名字和通配符名字存储在哈希表中。哈希表和监听端口关联，每个端口都最多关联三张表:确切的名字的哈希表，以星号（*）起始的通配符名字的哈希表和以星号结束的通配符名字的哈希表。哈希表的尺寸在配置阶段进行了优化，可以以最小的CPU缓存命中失败来找到名字。nginx首先搜索切确名字的的哈希表，如果没有找到，则搜索以星号（*）其实的通配符名字的哈希表，如果还是没有找到，继续搜索以星号结束的通配符名字的哈希表。因为名字是按照域名的节点来搜索的。所以搜索通配符名字的哈希表比搜索确切名字的哈希表慢。注意:nginx.org存储在通配符名字的哈希表中，而不在确切名字的哈希表中。正则表达式是一个一个串行的测试，所以是最慢的，而且不可扩展。由于上述原因，我们一般尽可能的使用确切的名字。比如如果使用nginx.org和www.nignx.org来访问服务器是最频繁的，那么我们明确的定义出来对访问搜索域名的速度效率来说更有效:

如果定义了大量名字，或者定义了非常长的名字，那就需要在php配置模块中调整server_names_hash_max_size和server_names_hash_bucket_size的值。

server_names_hash_bucket_size的默认值可能是32，或者是64，或者是其他值，取决于CPU的缓存行的长度。如果这个值是32，那么定义“too.long.server.name.nginx.org”作为虚拟机主机名就会失败，显示如下错误信息：

could not build the server_names_hash,

you should increase server_names_hash_bucket_size;32

出现这种情况，那就需要设置值扩大一倍：

http{

server_names_hash_bucket_size 64;

}

9、开启高效的文件传输模式

sendfile on; <====sendfile参数用户开启文件高效传输模式，同时将tcp_nopush和tcp_nodelay两个指令设置为on用于防止网络阻塞。

10、设置连接的超时时间

php服务，建议希望短连接；java建议长连接

keepalive_timeout 60;

<==设置客户端保持会话的超时时间，超过这个时间，服务器会关闭连接。

tcp_nodelay on;

<==打开tcp_nodelay,包含了keepalive参数才有效

client_header_timeout 15;

<==设置客户端请求读取超时时间，如果超过这个时间，客户端还没发送任何数据，Nginx将返回“Rquest timeout （408）”错误.

client_body_timeout 15;

<==设置客户端请求主体读取超时时间，如果超过这个时间，客户端还没发送任何数据，Nginx将返回“Request time out（408）”错误，默认值是60.

send_timeout 15;

<==指定响应客户端的超时时间，这个超时时间仅限于两个连接活动之间的时间，如果超过这个时间，客户端没有任何活动，Nginx将会关闭连接。

11、上传文件大小限制（动态应用）

主配置文件里加入如下参数，具体大小根据你自己的业务做调整。

client_max_body_size 10m;

12、fastcgi调优（配合PHP引擎动态服务）

fastcgi_connect_timeout 300;

<==指定连接到后端FastCGI的超时时间

fastcgi_send_timeout 300;

<==向Fastcgi传送请求的超时时间，这个值是指已经完成两次握手后向FastCGI传送请求的超时时间。

fastcgi_read_timeout 300;

<==指定接收FastCGI应答的超时时间，这个值是指已经完成两次握手后接收FastCGI应答的超时时间

fastcgi_buffer_size 64k;

<==指定读取FastCGI应答第一部分需要用多大的缓冲区，这个值表示将使用1个64k的缓冲区读取应答的第一部分（应答头），可以设置为fastcgi_buffers 选项指定的缓冲区大小。

fastcgi_buffers 4 64k;

<==指定本地需要用多少和多大的缓冲区来缓冲FastCGI的应答请求，如果一个PHP脚本产生的页面大小为256K，那么会为其分配4个64KB的缓冲区来缓存；如果页面大小大于256KB,那么大于256KB的部分会缓存到Fastcgi_temp指定的路径中，但是这并不是好方法；因为内存中的数据处理速度要快于硬盘，一般这个值应该为站点中PHP脚本所产生的页面大小的中间值，如果站点大部分脚本产生的页面大小为256KB，那么可以把这个值设置为“16 16K”、“4 64K”等。

fastcgi_busy_buffers_size 128k;

<==建议为fastcgi_buffers 的两倍

fastcgi_temp_file_write_size 128k;

<==在写入fastcgi_temp_path时将用多大的数据块，默认值是fastcgi_buffers的两倍，设置上述数值设置太小时若负载上来时能报 502 Bad Gateway

fastcgi_cache ucode_nginx;

<==表示开启FastCGI缓存并为其指定一个名称，开启缓存非常有用，可以有效降低CPU的负载，并且防止502错误的发生，但是开启缓存也可能会引起其他问题，要根据具体情况选择。

fastcgi_cache_valid 200 302 1h;

<==用来指定应答代码的缓存时间，实例中的值表示将200和302应答缓存一个小时。

fastcgi_cache_valid 301 1d;

<==将301应答缓存1天

fastcgi_cache_valid any 1m;

<==将其他应答缓存为1分钟

fastcgi_cache_min_uses 1;

<==缓存在fastcgi_cache_path指令inactive参数时间内的最少使用次数

13、修改nginx源码文件进行优化：具体优化避免显示header为nginx和错误提示显示nginx关键字和版本号

a、隐藏nginx作为header头

修改nginx源码文件中的vim src/http/ngx_http_header_filter_module.c

光标分别移动到以下两行（49、50）修改红色部分关键字为其他内容:

这里改为Web SERVER和Web Server test

即修改如下字段:

"Server: nginx" CRLF;

"Server: NGINX_VER"

修改为:

"Server: Web Server" CRLF;

"Server: Web Server test"

重新编译安装nginx，然后启动，通过curl -I 10.0.0.10 查看结果:

b、隐藏错误信息避免爆出关键字nginx及其版本号

修改错误页面信息修改文件路径为:

vim nginx-1.7.10/src/http/ngx_http_special_response.c

修改为:

然后重新编译、安装、启动nginx

提示：目前测试nginx版本是nginx-1.7.10，对于nginx其他版本可以根据需要修改对应参数，一般修改参数为:

static u_char ngx_http_error_full_tail[] =

"<hr><center>"NGINX_VER"</center>" CRLF

"</body>" CRLF

"</html>" CRLF

;

和

static u_char ngx_http_error_tail[] =

"<hr><center>nginx</center>" CRLF

"</body>" CRLF

"</html>" CRLF

;

对应nginx-1.6版本只需要修改<center>nginx</center>即可

14、配置nginx gzip压缩功能

nginx gzip 压缩模块提供了对文件内容压缩的功能，允许nginx服务器将输出内容在发送之到客户端之前根据具体的策略进行压缩，以节约网站带宽，同时提升用户体验。

此功能同Apache的mod_deflate压缩功能，依赖ngx_http_gzip_module模块，默认已安装，我们已经详细介绍过压缩功能。

常见要压缩的的内容，如所有程序文件（js，css，html）；而图片、视频、flash文件等文件不进行压缩。

1、对应的压缩参数说明如下：

gzip on;

<==开启gzip压缩功能。

gzip_min_length 1k;

<==设置允许压缩的页面最小字节数，页面字节数从header头的Content-Length中获取，默认值是0，不管页面多大都进行压缩，建议设置成大于1K，如果小于1K可能会越压缩越大。(即：大于1k才压缩，小于1k不压缩)

gzip_buffers 4 16k;

<==压缩缓冲区大小。表示申请4个单位为16k的内存作为压缩结果流缓存，默认值是与原始数据大小相同的内存空间来存储gzip压缩结果。

gzip_http_version 1.0;

<==压缩版本（默认1.1，前端squid2.5时使用1.0）用户设置识别http协议版本，默认是1.1，默认大部分浏览器已经支持GZIP

解压，使用默认即可

gzip_comp_level 2;

<==压缩比率。用来指定GZIP压缩比，1压缩比最小，处理速度最快；9压缩比例最大，传输速度最快，但处理最慢，也比较消耗cpu资源。

gzip_types text/plain application/x-javascript text/css application/xml;

<==用来指定压缩类型，“text/hmtl”类型总是会被压缩。

gzip_vary on;

<==veray header 支持。该选项可以让前端的缓存服务器缓存经过GZIP压缩的页面，例如使用squid缓存经过nginx压缩的数据。

2、完整的配置

gzip on;

gzip_min_length 1;

gzip_buffers 4 32k;

gzip_http_version 1.1;

gzip_comp_level 9;

#gzip_types text/plain application/x-javascript text/css application/xml;

gzip_types text/html text/css text/xml application/javascript;

gzip_vary on;

更多官方资料http://nginx.org/en/docs/http/ngx_http_gzip_module.html

提示：gzip_types类型不同的版本可能会不同，对应的版本类型到文件mimes.types中查找：

在该路径下查看当前nginx的安装目录下的mimes.types中查找匹配的类型：

[root@LNMP conf]# cat mime.types

types {

text/html html htm shtml;

text/css css;

text/xml xml;

image/gif gif;

image/jpeg jpeg jpg;

application/javascript js;

application/atom+xml atom;

application/rss+xml rss;

text/mathml mml;

text/plain txt;

text/vnd.sun.j2me.app-descriptor jad;

text/vnd.wap.wml wml;

text/x-component htc;

image/png png;

image/tiff tif tiff;

image/vnd.wap.wbmp wbmp;

image/x-icon ico;

image/x-jng jng;

image/x-ms-bmp bmp;

image/svg+xml svg svgz;

image/webp webp;

application/font-woff woff;

application/java-archive jar war ear;

application/json json;

application/mac-binhex40 hqx;

application/msword doc;

application/pdf pdf;

application/postscript ps eps ai;

application/rtf rtf;

application/vnd.apple.mpegurl m3u8;

application/vnd.ms-excel xls;

application/vnd.ms-fontobject eot;

application/vnd.ms-powerpoint ppt;

application/vnd.wap.wmlc wmlc;

application/vnd.google-earth.kml+xml kml;

application/vnd.google-earth.kmz kmz;

application/x-7z-compressed 7z;

application/x-cocoa cco;

application/x-java-archive-diff jardiff;

application/x-java-jnlp-file jnlp;

application/x-makeself run;

application/x-perl pl pm;

application/x-pilot prc pdb;

application/x-rar-compressed rar;

application/x-redhat-package-manager rpm;

application/x-sea sea;

application/x-shockwave-flash swf;

application/x-stuffit sit;

application/x-tcl tcl tk;

application/x-x509-ca-cert der pem crt;

application/x-xpinstall xpi;

application/xhtml+xml xhtml;

application/xspf+xml xspf;

application/zip zip;

application/octet-stream bin exe dll;

application/octet-stream deb;

application/octet-stream dmg;

application/octet-stream iso img;

application/octet-stream msi msp msm;

application/vnd.openxmlformats-officedocument.wordprocessingml.document docx;

application/vnd.openxmlformats-officedocument.spreadsheetml.sheet xlsx;

application/vnd.openxmlformats-officedocument.presentationml.presentation pptx;

audio/midi mid midi kar;

audio/mpeg mp3;

audio/ogg ogg;

audio/x-m4a m4a;

audio/x-realaudio ra;

video/3gpp 3gpp 3gp;

video/mp2t ts;

video/mp4 mp4;

video/mpeg mpeg mpg;

video/quicktime mov;

video/webm webm;

video/x-flv flv;

video/x-m4v m4v;

video/x-mng mng;

video/x-ms-asf asx asf;

video/x-ms-wmv wmv;

video/x-msvideo avi;

}

15、nginx expire缓存功能

在网站开发和运营中，对于图片，CSS,JS等元素更改机会较少，特别是图片，这时可以将图片设置在浏览器本地缓存365天或者更长，CSS，JS，hmtl等代码缓存10天，这样用户第一次打开页面后，会在本地的浏览器缓存相应的上述内容，这样缓存可以提高下次用户打开类似页面的加速度，并节省服务器端大量的带宽。此功能同Apache的expire，这里通过location的功能，将需要缓存的扩展名列出来，然后指定缓存时间。

1、根据文件扩展名进行判断，添加expire功能范例

企业网站缓存日期案例：

1、51cto 1周

2、sina 15天

3、京东 25年

4、淘宝 10年

一般不希望被缓存的内容：

1）广告图片

2）网站流量统计工具

3）更新频繁的文件（google的logo）

配置示例:

location ~.*.(gif|jpg|jpeg|png|bpm|swf)$

{

expires 365d;

}

location ~.*.(js|css)?$

{

expires 30d;

}

location标签要配到server标签里

{

expire 360d;

}

Nginx防蜘蛛爬虫处理

假定一个场景：某个网站它可能不希望被网络爬虫抓取，例如测试环境不希望被抓取，以免对用户造成误导，那么需要在该网站中申明，本站不希望被抓取。有如下方法：

方法一：修改nginx.conf，禁止网络爬虫的ua，返回403。

server {

listen 80;

server_name 127.0.0.1;

#添加如下内容即可防止爬虫

{

return 403;

}

方法2：网站更目录下增加Robots.txt，放在站点根目录下。

在http://tool.chinaz.com/robots/站点可以针对现在的搜索引擎按照想要的规则生成robots.txt文件。

知识扩展：

robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。

当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。百度官方建议，仅当您的网站包含不希望被搜索引擎收录的内容时，才需要使用robots.txt文件。如果您希望搜索引擎收录网站上所有内容，请勿建立robots.txt文件。

Robots协议是国际互联网界通行的道德规范，基于以下原则建立：

1、搜索技术应服务于人类，同时尊重信息提供者的意愿，并维护其隐私权；

2、网站有义务保护其使用者的个人信息和隐私不被侵犯。

当然，如果搜索引擎不遵守约定的Robots协议，那么通过在网站下增加robots.txt也是不起作用的。（在正式环境中，可以适当允许搜索引擎抓取收录）

爬虫文件robots.txt

16、nginx日志相关优化与安全

nginx没有类似Apache的cronolog日志分割处理的功能，但是，可以通过nginxNginx的信号控制功能或者reload重载，然后利用脚本来实现日志的自动切割。

1、配置日志切割脚本:

[root@masterserver conf]# cd

[root@masterserver]# mkdir -p /server/scripts/

[root@masterserver]# cd /server/scripts/

[root@masterserver scripts]# cat cut_nginx_log.sh

cd /application/nginx/logs &&

/bin/mv www_access.log www_access_$(date +%F -d -1day).log

/application/nginx/sbin/nginx -s reload

[root@masterserver scripts]#

提示：实际上脚本的功能很简单，就是更名日志，然后重新加载nginx，重新生成文件记录日志

2、将这段脚本保存后加入到Linux的crontab守护进程，让此脚本在每天凌晨0点执行，就可以实现日志的每天分割功能了，操作结果如下：

[root@masterserverscripts]# crontab -l |tail -2

#cut nginx log on 00:00 everynight

00 00 * * * /bin/sh /server/scripts/cut_nginx_log.sh >/dev/null 2>&1

[root@masterserver scripts]#

[root@masterserver logs]# ll

total 40

-rw-r--r-- 1 root root 1119 Mar 14 11:59 access.log

-rw-r--r-- 1 root root 1000 Mar 14 11:59 error.log

-rw-r--r-- 1 root root 6 Mar 14 11:57 nginx.pid

-rw-r--r-- 1 root root 1119 Mar 14 12:58 www_access_2016-03-07.log

-rw-r--r-- 1 root root 1119 Mar 14 12:58 www_access_2016-03-08.log

-rw-r--r-- 1 root root 1119 Mar 14 12:58 www_access_2016-03-09.log

-rw-r--r-- 1 root root 1119 Mar 14 12:58 www_access_2016-03-10.log

-rw-r--r-- 1 root root 1119 Mar 14 12:58 www_access_2016-03-11.log

-rw-r--r-- 1 root root 1119 Mar 14 12:58 www_access_2016-03-12.log

-rw-r--r-- 1 root root 1119 Mar 14 12:58 www_access_2016-03-13.log

[root@masterserver logs]#

17、不记录不需要访问的日志

对于健康检查的某些（图片，js，css）的日志，一般不需要记录，因为在统计PV时时按照页面计算，而且日志写入频繁会消耗IO，降低服务性能。具体语法如下：

location ~ .*.(js|jpg|JPG|jpeg|JPEG|css|bmp|gif|GIF)${

access_log off;

}

Apache的处理配置方法：

1、需要根据访问日志统计pv时

因为统计pv时，一个页面才算一个PV图片，JS,CSS等只是图片的元素，如果记录了，日志计算PV就不准确了。

配置方法：

SetEnv IMAG 1

</FilesMatch>

日志配置:

CustomeLog "|/usr/local/sbin/cronolog /app/logs/%Y%/%m/access_%Y%m%d.log" combined env=!IMAG

CustomeLog "|/usr/local/sbin/cronolog /app/logs/%Y%/%m/%d/%Haccess_%Y%m%d.log" combined env=!IMAG

18、访问日志的权限设置

假如日志目录为/app/logs，则授权方法

chown -R root.root /app/logs

chown -R 700 /app/logs

nginx、Apache主进程都是用root用户启动，所以不给权限也可以写入，即700程序可以往里面写入数据

19、根据扩展名限制程序和文件的访问题（同样适用于nginx）

为了保证Apache的网站不遭受木马入侵上传及修改文件。

安全的权限：

1、所有站点目录的用户和组都应该为root，

2、所有目录默认权限是755；

3、所有文件默认权限为644；

注意：网站服务的用户不能用root，

以上权限的设置可以做到防止黑客上传木马，以及修改站点文件，但是，合理的用户上传内容也被拒之门外了，那么如何解决可以让合法的用户上传文件又不至于被黑客利用攻击呢？

这就是对业务进行分离，在比较好的网站业务架构中，应该把资源文件，包括用户上传的图片，附件等的服务和程序

大多数公司的不安全的授权如下：

1）chmod -R 777 /sitedir（最不安全）

2) chmod -R apache.apache /sitedir（最不安全）

如果大多数公司授权一般的授权，会给网站带来最大的安全隐患。

20、nginx站点目录及文件URL访问控制

nginx下禁止访问资源目录下的php程序文件，配置方法如下：

范例1：nginx配置限制指定目录下的php程序被解析

location ~ ^/images/.*.(php|php5)$

{

|deny all;

}

location ~ ^/static/.*.(php|php5)$

{

deny all;

}

location ~* ^/data/(attachment|avatar)/.*.(php|php5)$

{

deny all;

}

这些目录的限制必须写在以下配置的前面：

location ~ .*.(php|php5)?$

{

fastcgi_pass 127.0.0.1:9000

fastcgi_index index.php

include fcgi.conf

}

范例2：nginx下配置禁止访问*.txt文件

location ~* .(txt|doc)${

if (-f $request_filename){

root /data/www/www;

#rewrite ...可以重定向到某个URL

break

}

location ~*.(txt|doc){

root /data/www/www;

deny all;

}

21、禁止访问指定目录下的所有的文件和目录

范例1：配置禁止访问指定的单个或多个目录

单个目录：

location ~ ^/(static)/{

deny all;

}

location ~ ^/static {

deny all;

}

多个目录：

location ~ ^ /(static|js){

deny all;

}

22、限制来源IP访问

使用ngx_http_acces_module限制ip访问

范例1：禁止某目录让外界访问，但允许某IP访问该目录，且支持PHP解析

location ~ ^ /oldboy/{

allow 202.111.12.121;

deny all;

}

location ~ .*.(php|php5)?${

}

范例2限制及指定IP或者ip段访问

location / {

deny 192.168.1.1;

allow 192.168.1.0/24;

allow 10.1.1.0/16;

deny all;

}

参考:http://nginx.org/en/docs/http/ngx_http_access_module.html

23、禁止资源目录解析PHP程序

方法1:提示下载不解析（针对APACHE的设置）

Options FollowSymLinks

AllowOverride None

Order allow,deny

Allow from all

php_flag engine off #注意这行

</Directory>