查看nginx的編譯參數

1. 安全開發運維必備的Nginx代理Web伺服器性能優化與安全加固配置

為了更好的指導部署與測試藝術升系統nginx網站伺服器高性能同時下安全穩定運行,需要對nginx服務進行調優與加固;

本次進行Nginx服務調優加固主要從以下幾個部分：

本文檔僅供內部使用，禁止外傳，幫助研發人員，運維人員對系統長期穩定的運行提供技術文檔參考。

Nginx是一個高性能的HTTP和反向代理伺服器，也是一個IMAP/POP3/SMTP伺服器。Nginx作為負載均衡伺服器, Nginx 既可以在內部直接支持 Rails 和 PHP 程序對外進行服務，也可以支持作為 HTTP代理伺服器對外進行服務。

Nginx版本選擇:

項目結構:

Nginx文檔幫助: http://nginx.org/en/docs/
Nginx首頁地址目錄: /usr/share/nginx/html
Nginx配置文件:

localtion 請求匹配的url實是一個正則表達式:

Nginx 匹配判斷表達式:

例如,匹配末尾為如下後綴的靜態並判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數：http://nginx.org/en/docs/configure.html

http_gzip模塊
開啟gzip壓縮輸出(常常是大於1kb的靜態文件)，減少網路傳輸;

http_fastcgi_mole模塊
nginx可以用來請求路由到FastCGI伺服器運行應用程序由各種框架和PHP編程語言等。可以開啟FastCGI的緩存功能以及將靜態資源進行剝離，從而提高性能。

keepalive模塊
長連接對性能有很大的影響，通過減少CPU和網路開銷需要開啟或關閉連接;

http_ssl_mole模塊
Nginx開啟支持Https協議的SSL模塊

linux內核參數部分默認值不適合高並發,Linux內核調優，主要涉及到網路和文件系統、內存等的優化，

下面是我常用的內核調優配置：

文件描述符
文件描述符是操作系統資源，用於表示連接、打開的文件，以及其他信息。NGINX 每個連接可以使用兩個文件描述符。
例如如果NGINX充當代理時，通常一個文件描述符表示客戶端連接，另一個連接到代理伺服器，如果開啟了HTTP 保持連接，這個比例會更低（譯註：為什麼更低呢）。

對於有大量連接服務的系統，下面的設置可能需要調整一下：

精簡模塊:Nginx由於不斷添加新的功能，附帶的模塊也越來越多,建議一般常用的伺服器軟體使用源碼編譯安裝管理;

(1) 減小Nginx編譯後的文件大小

(2) 指定GCC編譯參數
修改GCC編譯參數提高編譯優化級別穩妥起見採用 -O2 這也是大多數軟體編譯推薦的優化級別。

GCC編譯參數優化 [可選項] 總共提供了5級編譯優化級別：

常用編譯參數:

緩存和壓縮與限制可以提高性能
NGINX的一些額外功能可用於提高Web應用的性能，調優的時候web應用不需要關掉但值得一提，因為它們的影響可能很重要。

簡單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉 (永久)

nginx配置文件指令優化一覽表

描述:Nginx因為安全配置不合適導致的安全問題,Nginx的默認配置中存在一些安全問題,例如版本號信息泄露、未配置使用SSL協議等。
對Nginx進行安全配置可以有效的防範一些常見安全問題，按照基線標准做好安全配置能夠減少安全事件的發生,保證採用Nginx伺服器系統應用安全運行;

Nginx安全配置項：

溫馨提示: 在修改相應的源代碼文件後需重新編譯。

設置成功後驗證:

應配置非root低許可權用戶來運行nginx服務,設置如下建立Nginx用戶組和用戶，採用user指令指運行用戶

加固方法:

我們應該為提供的站點配置Secure Sockets Layer Protocol (SSL協議)，配置其是為了數據傳輸的安全，SSL依靠證書來驗證伺服器的身份，並為瀏覽器和伺服器之間的通信加密。

不應使用不安全SSLv2、SSLv3協議即以下和存在脆弱性的加密套件(ciphers), 我們應該使用較新的TLS協議也應該優於舊的,並使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發送者用來提高他們正在嘗試推廣的網站的互聯網搜索引擎排名一種技術，如果他們的垃圾信息鏈接顯示在訪問日誌中，並且這些日誌被搜索引擎掃描，則會對網站排名產生不利影響
加固方法:

當惡意攻擊者採用掃描器進行掃描時候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯誤或者重定向;

Nginx支持webdav，雖然默認情況下不會編譯。如果使用webdav，則應該在Nginx策略中禁用此規則。
加固方法: dav_methods 應設置為off

當訪問一個特製的URL時，如"../nginx.status"，stub_status模塊提供一個簡短的Nginx伺服器狀態摘要,大多數情況下不應啟用此模塊。
加固方法：nginx.conf文件中stub_status不應設置為：on

如果在瀏覽器中出現Nginx自動生成的錯誤消息，默認情況下會包含Nginx的版本號,這些信息可以被攻擊者用來幫助他們發現伺服器的潛在漏洞
加固方法: 關閉"Server"響應頭中輸出的Nginx版本號將server_tokens應設置為：off

client_body_timeout設置請求體（request body）的讀超時時間。僅當在一次readstep中，沒有得到請求體，就會設為超時。超時後Nginx返回HTTP狀態碼408(Request timed out)。
加固方法：nginx.conf文件中client_body_timeout應設置為：10

client_header_timeout設置等待client發送一個請求頭的超時時間（例如：GET / HTTP/1.1）。僅當在一次read中沒有收到請求頭，才會設為超時。超時後Nginx返回HTTP狀態碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應設置為：10

keepalive_timeout設置與client的keep-alive連接超時時間。伺服器將會在這個時間後關閉連接。

加固方法：nginx.conf文件中keepalive_timeout應設置為：55

send_timeout設置客戶端的響應超時時間。這個設置不會用於整個轉發器，而是在兩次客戶端讀取操作之間。如果在這段時間內，客戶端沒有讀取任何數據，Nginx就會關閉連接。

加固方法：nginx.conf文件中send_timeout應設置為：10

GET和POST是Internet上最常用的方法。Web伺服器方法在RFC 2616中定義禁用不需要實現的可用方法。

加固方法:

limit_zone 配置項限制來自客戶端的同時連接數。通過此模塊可以從一個地址限制分配會話的同時連接數量或特殊情況。

加固方法：nginx.conf文件中limit_zone應設置為：slimits $binary_remote_addr 5m

該配置項控制一個會話同時連接的最大數量，即限制來自單個IP地址的連接數量。

加固方法：nginx.conf 文件中 limit_conn 應設置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述後端獲取Proxy後的真實Client的IP獲取需要安裝--with-http_realip_mole，然後後端程序採用JAVA(request.getAttribute("X-Real-IP"))進行獲取;

描述: 如果要使用geoip地區選擇,我們需要再nginx編譯時加入 --with-http_geoip_mole 編譯參數。

描述: 為了防止外部站點引用我們的靜態資源，我們需要設置那些域名可以訪問我們的靜態資源。

描述: 下面收集了Web服務中常規的安全響應頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們伺服器上, 導致伺服器被警告關停，將會對業務或者SEO排名以及企業形象造成影響，我們可以通過如下方式進行防範。

執行結果:

描述: 有時你的網站可能只需要被某一IP或者IP段的地址請求訪問，那麼非白名單中的地址訪問將被阻止訪問, 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實現這個合並文件的功能。

(2) PHP-FPM的優化
如果您高負載網站使用PHP-FPM管理FastCGI對於PHP-FPM的優化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開 resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址: https://blog.weiyigeek.top/2019/9-2-122.html

2. nginx配置文件詳解

一、安裝Nginx
在安裝Nginx之前，需確保系統已經安裝了gcc、 openssl-devel、 pcre-devel和zlib-devel軟體庫。

其中， _with-http_stub_status_mole 可以用來啟用 Nginx 的 NginxStatus 功能，以監控 Nginx 的運行狀態。

二、Nginx的配置文件結構
Nginx的配置文件nginx.conf位於其安裝目錄的conf目錄下。

nginx.conf由多個塊組成，最外面的塊是main，main包含Events和HTTP，HTTP包含upstream和多個Server，Server又包含多個location。

main（全局設置）、server（主機設置）、upstream（負載均衡伺服器設置）和 location（URL匹配特定位置的設置）。

1、main塊設置的指令將影響其他所有設置。

2、server塊的指令主要用喚搜於指定主機和埠。

3、upstream指令主要用於負載均衡，設置一系列的後端伺服器。

4、location塊用於匹配網頁位置。

這四者之間的關系式：server繼承main，location繼承server，upstream既不會繼承其他設置也不會被繼承。

在這四個部分當中，每個部分都包含若干指令，這些指令主要包含Nginx的主模塊指令、事件模塊指令、HTTP核心模塊指令，同時每個部分還可以使用其他HTTP模塊指令，例如Http SSL模塊、HttpGzip Static模塊和Http Addition模塊等。

三、Nginx的全局配置

events事件指令是設定Nginx的工作模式及連接數上限：

use是個事件模塊指令，用來指定Nginx的工作模式。Nginx支持的工作模式有select、poll、kqueue、epoll、rtsig和/dev/poll。

其中select和poll都是標準的工作模式，kqueue和epoll是高效的工作模式，不同的是epoll用在Linux平台上，而kqueue用在BSD系統中。對於Linux系統，epoll工作模式是首選worker_connections也是個事件模塊指令，用於定義Nginx每個進程的最大連接數和塌歷，默認是1024。

最大客戶端連接數由worker_processes和worker_connections決定，即Max_client=worker_processes*worker_connections。

在作為反向代理時，max_clients變為：max_clients = worker_processes * worker_connections/4。

進程的最大連接數受Linux系統進程的最大打開文件數限制，在執行操作系統命令「ulimit -n 65536」後worker_connections的設置才能生效。

四、下面配置Nginx的HttpGzip模塊。這個模塊支持在線實時壓縮輸出數據流。

通過/opt/nginx/sbin/nginx -V命令可以查看安裝Nginx時的編譯選項，由輸出可知，已經安裝了HttpGzip模塊。

五、負載均衡配置

下面設定負載均衡的伺服器列表：

upstream是Nginx的HTTP Upstream模塊，這個模塊通過一個簡單的調度演算法來實現客戶端IP到後端伺服器的負載均衡。

在上面的設定中，通過upstream指令指定了一個負載均衡器的名稱cs.com。這個名稱可以任意指定，在後面需要的地方直接調用即可，Nginx的負載均衡模塊目前支持4種調度演算法。

六、server虛擬主機配置

下面介紹對虛擬主機的配置。

建議將對虛擬主機進行配置的內容寫進另外一個文件，然後通過include指令包含進來，這樣更便於維護和管理。

server標志定義虛擬主機開始，listen用於指定虛擬主機的服務埠，server_name用來指定IP地址或者域名，多個域名之間用空格分 開。index用於設定訪問的默認首頁地址，衫搏root指令用於指定虛擬主機的網頁根目錄，這個目錄可以是相對路徑，也可以是絕對路徑。

Charset用於 設置網頁的默認編碼格式。access_log用來指定此虛擬主機的訪問日誌存放路徑，最後的main用於指定訪問日誌的輸出格式。

七、location URL匹配配置

URL地址匹配是進行Nginx配置中最靈活的部分。 location支持正則表達式匹配，也支持條件判斷匹配，用戶可以通過location指令實現Nginx對動、靜態網頁進行過濾處理。使用location URL匹配配置還可以實現反向代理，用於實現PHP動態解析或者負載負載均衡。

以下這段設置是通過location指令來對網頁URL進行分析處理，所有擴展名以.gif、.jpg、.jpeg、.png、.bmp、.swf結尾的靜態文件都交給nginx處理，而expires用來指定靜態文件的過期時間，這里是30天。

八、StubStatus模塊配置

StubStatus模塊能夠獲取Nginx自上次啟動以來的工作狀態，此模塊非核心模塊，需要在Nginx編譯安裝時手工指定才能使用此功能。

stub_status設置為「on」表示啟用StubStatus的工作狀態統計功能。access_log 用來指定StubStatus模塊的訪問日誌文件。auth_basic是Nginx的一種認證機制。

auth_basic_user_file用來指定認證的密碼文件，由於Nginx的auth_basic認證採用的是與Apache兼容的密碼文件，因此需要用Apache的htpasswd命令來生成密碼文件。

然後輸入兩次密碼後確認之後添加用戶成功。

要查看Nginx的運行狀態，可以輸入http://ip/NginxStatus，輸入創建的用戶名和密碼就可以看到Nginx的運行狀態。

Active connections表示當前活躍的連接數，第三行的三個數字表示 Nginx當前總共處理了34561個連接， 成功創建次握手， 總共處理了354399個請求。

最後一行的Reading表示Nginx讀取到客戶端Header信息數， Writing表示Nginx返回給客戶端的Header信息數，「Waiting」表示Nginx已經處理完，正在等候下一次請求指令時的駐留連接數。

在最後這段設置中，設置了虛擬主機的錯誤信息返回頁面，通過error_page指令可以定製各種錯誤信息的返回頁面。在默認情況下，Nginx會在主目錄的html目錄中查找指定的返回頁面。

特別需要注意的是，這些錯誤信息的返回頁面大小一定要超過512K，否者會被ie瀏覽器替換為ie默認的錯誤頁面。

3. Nginx鐨勫畨瑁呯洰褰曡﹁В

鍦ㄤ笂涓鑺傛垜浠瀹夎呬簡nginx錛屼絾鏄鍏蜂綋瀹夎呬綅緗鍦ㄥ摢鎴戜滑濡備綍鏌ョ湅鍛錛熸瘡涓鏂囦歡鐨勪綔鐢ㄦ槸浠涔堝憿錛熺紪璇戝弬鏁版槸鍝浜涘憿錛熷熀鏈閰嶇疆璇娉曟湁鍝浜涘憿錛熶笅闈錛屾垜浠涓璧峰︿範鍚э紒

涓錛氬畨瑁呯洰褰曡﹁В
棣栧厛鎴戜滑鏌ョ湅涓涓嬪畨瑁卬ginx涔嬪悗鎬誨叡鐢熸垚浜嗗摢浜涙枃浠

鍦ㄤ笂闈㈢殑鏂囦歡涓鍖呮嫭閰嶇疆鏂囦歡鍜屾棩蹇楁枃浠訛紝涓嬮潰鎴戜滑鐪嬬湅涓昏佹枃浠跺惈涔夈

/etc/nginx/nginx.conf 鏄涓婚厤緗鏂囦歡錛屽綋Nginx鍚鍔ㄤ紭鍏堣誨彇錛屽綋娌℃湁鍙樻洿鐨勬椂鍊欙紝浼氳誨彇/etc/nginx/conf.d/default.conf錛堝畨瑁呮槸榛樿ゅ姞杞界殑錛夈

褰揘ginx瑕佸勭悊涓浜涗笉鑳借瘑鍒鐨勬墿灞曞悕鍜屾枃浠剁被鍨嬬殑鏃跺欏氨闇瑕佺紪杈戣ユ枃浠

Nginx澶勭悊鍙浠ュ仛浠ｇ悊錛岃繕鍙浠ュ仛緙撳瓨鏈嶅姟

4. linux怎麼看nginx的版本號

linux中查看nginx版本號的方法：1、打開終端；2、輸入「nginx -V」命令查看nginx版本號即可。