Nginx优化与防盗链相关配置

最新推荐文章于 2025-05-03 21:48:48 发布
最新推荐文章于 2025-05-03 21:48:48 发布
阅读量171 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63761361/article/details/123337982
本文详细介绍了如何隐藏Nginx版本号以增强安全性,调整连接超时时间以优化性能,以及配置防盗链保护网站资源。还提到了修改进程数、网页压缩和fpm参数优化等关键优化措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、隐藏 Nginx版本号

(一)、如何隐藏Nginx版本号

1、在生产环境中,需要隐藏Ngnx的版本号,以避免安全漏洞的泄漏

2、查看方法

  • 使用fiddler工具在 Windows客户端查看 Nginx版本号

  • 在 Centos系统中使用“curl -I 网址”命令查看Nginx版本号

    3、nginx隐藏版本号的方法

  • 修改配置文件法

  • 修改源码法

    (二)、隐藏 Nginx版本号配置命令

    方法一:
    Nginx的配置文件中的 server_tokens选项的值设置为off

    vim /usr/local/nginx/conf/nginx.conf 

http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;	##添加,关闭版本号
}

systemctl restart nginx
curl -I http://192.168.200.50/  ##查看版本号

    或者

     

     方法二:
    修改源码文件,重新编译安装

    vim /opt/nginx-1.12.0/src/core/nginx.h
#define nginx_version      1012000
#define NGINX_VERSION      "1.0.0"    #将原始的1.12.0修改为1.0.0
#define NGINX_VER          "IIS" NGINX_VERSION    #将原始的Nginx修改为IIS

#重新编译安装
cd /opt/nginx-1.12.0
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module

make && make install

#将方法一中关闭的版本号重新打开
vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;   #打开

#重启服务
systemctl restart nginx.service 

#查看版本号是否隐藏
curl -I http://192.168.200.50/

     二、修改用户与组

    vim /usr/local/nginx/conf/nginx.conf
user  nginx nginx;        #将前面的#注释掉,然后修改用户与组为nginx
worker_processes  1;

systemctl restart nginx.service
ps aux | grep nginx     #查看用户与组是否修改成功

    在这里插入图片描述

     三、配置缓存时间

    
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
    ......
    location / {
        root   html;
        index  index.html index.htm;
    }

     location ~ \.(gif|jpg|jepg|bmp|ico)$ {    #复制上面4行并修改
         root   html;
         expires 1d;       #设置缓存时间为1天
     }

cd /usr/local/nginx/html/    #需要添加张图片在nginx首页中
[root@localhost html]#ls
50x.html   error.png.0  game.jpg.0
error.png  game.jpg     index.html

使用浏览器直接访问game.jpg图片
http://192.168.200.50/game.jpg

    四、日志切割

    需要自己写脚本进行日志的切割

    vim /opt/fengge.sh
#!/bin/bash
#rizhi fengge
day=$(date -d "-1 day" "+%Y%m%d")    #显示前一天时间
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path   #创建日志文件目录
mv /usr/local/nginx/logs/access.log ${logs_path}/gcc.com-access.log-$day   #移动并重命名日志文件
kill -USR1 $(cat $pid_path)      #重建新日志文件
find $logs_path -mtime +30 | xargs rm -rf   #删除30天之前的日志文件

chmod +x /opt/fengge.sh 
/opt/fengge.sh 
ls /var/log/nginx/
ls /usr/local/nginx/logs/access.log

crontab -e      #设置定时任务进行日志的分割收集
0 1 * * * /opt/fengge.sh

    或者脚本也可以写成在这里插入图片描述

    补充:

    在linux操作系统中,每个文件都有很多的时间参数,其中有三个比较主要,分别是ctime, atime,mtime

  • ctime (status time):
    当修改文件的权限或者属性的时候,就会更新这个时间, ctime并不是create time,更像是change time,只有当更新文件的属性或者权限的时候才会更新这个时间,但是更改内容的话是不会更新这个时间。

  • atime (accesstime):
    当使用这个文件的时候就会更新这个时间。
     

  • mtime (modification time):
    当修改文件的内容数据的时候,就会更新这个时间,而更改权限或者属性,mtime不会改变,这就是和ctime的区别。

五、连接超时

HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。
KeepAlive在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。
 

vim /usr/local/nginx/conf/nginx.conf
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens on;
    ......
    keepalive_timeout  65 180;
    client_header_timeout 80;
    client_body_timeout 80;

systemctl restart nginx.service

keepalive timeout:
指定KeepAlive的超时时间(timeout) 。指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。
Nginx的默认值是65秒,有些浏览器最多只保持60秒,所以可以设定为60秒。若将它设置为0,就禁止了keepalive连接。

第二个参数(可选的)指定了在响应头Keep-Alive: timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数, Nginx不会发送Keep-Alive响应头。

client_header_timeout:
客户端向服务端发送一个完整的request header的超时时间。如果客户端在指定时间内没有发送一个完整的request header,Nginx返回HTTP 408 (Request Timed out)。
 

六、更改进程数 

六、更改进程数
cat /proc/cpuinfo | grep -c "physical id"    #查看CPU核数
ps aux | grep nginx  #查看nginx主进程中包含几个子进程

vim /usr/local/nginx/conf/nginx.conf
user  nginx nginx;
worker_processes  2;    #修改为核数相同或者2倍
worker_cpu_affinity 01 10;   #设置每个进程由不同cpu处理,进程数配为2时为0001、0010、0100、1000

systemctl restart nginx.service

七、配置网页压缩

vim /usr/local/nginx/conf/nginx.conf
    gzip  on;       #将改行注释取消掉开启gzip压缩功能,并添加下面内容
    gzip_min_length 1k;    #最小压缩文件大小
    gzip_buffers 4 64k;    #压缩缓冲区,大小为4个64k缓冲区
    gzip_http_version 1.1;   #压缩版本(默认为1.1,前端如果是squid2.5请使用1.0)
    gzip_comp_level 6;    #压缩比率
    gzip_types text/plain application/x-javascript text/css image/jpg image/jpeg image/png image/gif application/xml text/javascript application/x-httpd-php application/javascript application/json;   #压缩类型,表示哪些网页文档启用压缩功能
    gzip_vary on;   #支持前端缓存服务器存储压缩页面

cd /usr/local/nginx/html/     #提前将game.jpg图片上传到该目录下
vim index.html
<p><em>Thank you for using nginx.</em></p>
<img src="game.jpg">     #添加此行
</body>

systemctl restart nginx.service

在这里插入图片描述八、防盗链

配置盗链机

yum install -y httpd

vim /var/www/html/index.html
<html><body><h1>IT WORKS!</h1>
<img src="http://www.gcc.com/game.jpg"/>
</body></html>

echo "192.168.200.40 www.accp.com" >> /etc/hosts
echo "192.168.200.50 www.gcc.com" >> /etc/hosts

systemctl restart httpd

配置源主机(防盗链)

vim /usr/local/nginx/conf/nginx.conf
location ~* \.(gif|jpg|jepg|bmp|ico)$ {
            valid_referers *.gcc.com gcc.com;
            if ( $invalid_referer ) {
            rewrite ^/ http://www.gcc.com/error.png;
            }
        }

systemctl restart nginx

~* \. (jpglgiflswf)s :这段正则表达式表示匹配不区分大小写,以.jpg或.gif或.swf结尾的文件;
valid referers :设置信任的网站,可以正常使用图片;后面的网址或者域名: referer中包含相关字符串的网址;
语句:如果链接的来源域名不在valid referers所列出的列表中, sinvalid referer为1,则执行后面的操作,即进行重写或返回403页面。

此时在盗链机上就不可以盗链源主机上的图片了å¨è¿éæå¥å¾çæè¿°

 九、fpm参数优化

vim /usr/local/php/etc/php-fpm.conf
pid = run/php-fpm.pid

vim /usr/local/php/etc/php-fpm.d/www.conf
-----96行------
pm = dynamic  #fpm进程启动方式,动态的
-----107行-----
pm.max children = 20  #fpm进程启动的最大进程数-
------112-------
pm.start_servers = 5   #动态方式下启动时默认开启的进程数,在最小和最大之间
------117行-------
pm.min_spare_servers = 2  #动态方式下最小空闲进程数
------122行-------
pm.max_spare_servers = 8   #动态方式下最大空闲进程数

kill -USR2 `cat /usr/local/php/var/run/php-fpm.pid`      #重启php-fpm
netstat -anpt | grep 9000

m0_63761361
关注
nginx 配置防盗链
congge
06-10 8060
nginx 防盗链配置
Nginx优化防盗链
m0_61187759的博客
06-02 1033
#董明珠称打工人想要休闲可以辞职# 踩着时代红利上来的人,因为自己是绝对幸存者,所以特别信奉社会达尔文主义。他们不会去管宏观失业率,普遍的加班现象,他们认为就应该淘汰掉不是最勤奋努力的。然而他们即使出过国,也不能体会那种用不透支自己的能量工作,就能获得过上体面生活的世界。
那些你不得不用到的Nginx优化防盗链相关配置(隐藏Nginx版本号、修改用户组、配置缓存时间、日志切割、连接超时、更改进程数、防盗链、fpm参数优化
Gengchenchen的博客
01-13 451
文章目录一、隐藏 Nginx版本号(一)、如何隐藏Nginx版本号(二)、隐藏 Nginx版本号配置命令二、修改用户组三、配置缓存时间四、日志切割补充:五、连接超时六、更改进程数七、防盗链八、fpm参数优化 一、隐藏 Nginx版本号 (一)、如何隐藏Nginx版本号 1、在生产环境中,需要隐藏Ngnx的版本号,以避免安全漏洞的泄漏 2、查看方法 使用fdde工具在 Windows客户端查看 Nginx版本号 在 Centos系统中使用“curl -l 网址”命令查看N 3、nginx隐藏版本
Nginx防盗链配置
weixin_51705943的博客
10-30 2435
盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。盗链在如今的互联网世界无处不在,盗图,盗视频、盗文章等等,都是通过获取正规网站的图片、视频、文章等的 url 地址,直接放到自己网站上使用而未经授权。盗资源是黑产界以最小成本获取最高利益的一个常用手段。比如笔者最近考虑买房,在贝壳网上有房源的真是户型图以及VR。
Nginx 防盗链配置
倔强的踩坑小白
05-21 726
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求。 ## 防盗链 ##(1) 定义合规的引用 valid_referers none | blocked | server_names | string ...;(2) 拒绝不合规的引用 if ($invalid_referer) { rewrite ^/.*$ http://www.b.org/403.html } none 意思是不存在的Referer头(表示空的,也就是直接访问,比如直接在浏览器打开...
Nginx防盗链配置
Zh_amy的博客
05-07 171
防盗链的含义是网站内容本身不在自己公司的服务器上,而通过技术手段,直接调用其公司的服务器网站数据,而向最终用户提供此内容。一些小网站盗用高访问量网站的音乐、图片、软件的链接,然后放置在自己的网站中,通过这种方法盗取高访问量网站的空间和流量 网站每天访问量很大,而且占用了很多不必要的带宽,浪费资源,所以必须采取一些限制措施。 防盜链其实就是采用服务器端编程技术,通过URL过滤、主机名等实现的防止盗链...
nginx优化防盗链☆☆☆
06-10
【标题】:“Nginx优化防盗链”涵盖了Nginx服务器在性能调优和防止非法访问方面的核心知识点。Nginx作为一个高性能的HTTP和反向代理服务器,其高效的处理能力、轻量级的特性以及丰富的模块化设计,使其成为众多...
Nginx第二章:Nginx优化配置防盗链
EsDeath_99的博客
06-28 1227
隐藏版本号:避免安全漏洞泄漏,通过http段内添加server_tokens off或修改源码查看版本号:可以使用Fidder工具抓取数据包,查看Nginx版本,也可以在centOS中使用命令curl -I http://192.168.7.10显示响应报文首部信息#查看信息(版本号等)隐藏版本号1#查看nginx语法,查看配置文件路径#修改配置文件#检查语法问题nginx -t#重启服务#查看版本号是否被隐藏。
怎样在 Nginx配置防盗链
技术笔记
07-21 2096
盗链,用通俗易懂的话来说,就是别人未经您的允许,在他们的网站上直接链接到您网站的资源,让访问他们网站的用户可以直接获取您的资源。比如,您的网站上有一张精美的图片,另一个网站通过这样的方式把您的图片展示在他们的页面上,这就是盗链。盗链的危害可不小,它就像一个吸血鬼,会吸干您的服务器资源和带宽。如果盗链的流量过大,可能会导致您的网站变得缓慢甚至无法访问,就像一辆超载的卡车,再也跑不动了。而且,这也侵犯了您的权益,毕竟这些资源是您花费时间和精力准备的。
nginx配置防盗链
光头强的博客
05-05 1249
一、什么是盗链 盗链概念:盗链是指在自己的页面上展示一些并不在自己服务器上的内容。 例如: 我将CSDN的logo地址放到了我的线上服务器上: 这样,通过盗链的方法可以减轻自己服务器的负担,因为真实的空间和流量均是来自别人的服务器。受益的是自己,别人反而得到了损失 下面的动图应该很形象的说明了吧,哈哈: 二、什么是防盗链 通过Referer或者签名,网站可以检测目标网页访问的来源页,如果是指...
Nginx服务优化防盗链
赵忠强
12-06 462
1.隐藏nginx版本号 1.1 查看版本号 1.curl命令 可以在centos中使用命令curl -I http://192.168.52.101显示响应报文首部信息 2.在网页中查看 1. #切换至html目录,拖一个图片进去 cd /usr/local/nginx/html ​ 2. #在网页中查看 http://192.168.52.101/game.png 1.2 隐藏版本信息 1.修改配置文件 1.#修改配置文件 vim /usr/local/nginx/conf/ngin
nginx 防盗链配置
背包客—的博客
03-23 240
添加以下的配置,在nginx.conf配文件中: none “Referer” 来源头部为空的情况 blocked “Referer”来源头部不为空,但是里面的值被代理或者防火墙删除了,这些值都不以http://或者https://开头. location ~* .*\.(gif|jpg|ico|png|css|svg|js)$ { root /usr/local/nginx/static; valid_referers none blocked *.jjj.com ; // 有.
Nginx防盗链配置
波波烤鸭的博客
06-19 4126
Nginx防盗链配置   通常站点,都会想让自己网站的视频和图片,免被盗用,毕竟视频流量,花的都是白花花银子   首先我们没有配置防盗链的情况下,放开静态资源你的访问。我们来看看效果 location ~* .*\.(gif|jpg|ico|png|css|svg|js)$ { root /usr/local/nginx/static; } 浏览器正常访问 通过curl来模拟其他访问源访问 curl --referer http://baidu.com -I http://192.168.12.
Nginx 配置防盗链
日有寸进
10-22 425
Nginx 配置防盗链问题来源解决思路 问题来源 我的服务器里可能有很多好图片,那么别人可能会在自己的 html 里用 img 引用我的图片,这样就会给我的服务器带来压力。 解决思路 ...
Nginx防盗链配置
最新发布
dghfttgv的博客
05-03 1160
通过目录访问限制的方法可以将不同的资源放到对应的目录下这样可以实现对资源的控制统一控制。三、第三方模块ngx_http_accesskey_module 补充?
nginx 防盗链配置
qq_33240556的博客
11-03 2646
location ~ \.(gif|jpg|jpeg|png|ico)$ { valid_referers none blocked fanlychqie.com www.fanlychie.com; if ($invalid_referer) { return 403; } expires 7d; } 来路是 fanlychie.com 或 www.fanlychqie.com 的请求图片正常显示 如一个 http
nginx防盗链配置
yang725614的博客
12-15 296
nginx防盗链配置
Nginx优化实战:高效配置防盗链策略
Nginx优化防盗链实践教程是一篇详尽的指南,介绍如何利用Nginx这一高性能的HTTP和反向代理服务器进行优化以及实现防盗链功能。Nginx由俄罗斯开发者Igor Sysoev为Rambler.ru创建,其设计注重轻量级、高效性和稳定性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值