一. Nginx基本安全优化
1、调整参数隐藏Nginx软件版本号信息
Nginx配置文件nginx.conf中的http标签段内加入server_tokens off;
2、更改远吗隐藏Nginx软件名及版本号
# 修改:
sed -i s'/#define NGINX_VERSION "1.12.1"/#define NGINX_VERSION ""/'g nginx-1.12.1/src/core/nginx.h
sed -i s'/#define NGINX_VER "nginx/" NGINX_VERSION/#define NGINX_VER "KYE/" NGINX_VERSION/'g nginx-1.12.1/src/core/nginx.h
# 查看修改:
sed -n '13,14p' nginx-1.12.1/src/core/nginx.h
# 效果:
[root@localhost conf]# curl -I http://192.168.182.151
HTTP/1.1 200 OK
Server: KYE
Date: Wed, 31 Jan 2018 04:00:29 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Wed, 31 Jan 2018 03:45:43 GMT
Connection: keep-alive
ETag: "5a713be7-264"
Accept-Ranges: bytes
3、更改Nginx服务的默认用户
user nobody; 更改为 use nginx;
二. 根据参数优化Nginx服务器性能
1、优化Nginx进程配置
由 worker_processes 1; 更改为 worker_processes 1;
或者更改为 worker_processes auto;
2、优化绑定不同的Nginx进程到不通的CPU上
四核:worker_cpu_affinity 0001 0010 0100 1000;
八核:worker_cpu_affinity 0001 0010 0100 1000 0001 0010 0100 1000;
八核:worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;
3、 调整Nginx单个进程允许的客户端最大连接数
worker_connections 20480;
Max client = worker_processes * worker_connections
操作系统:
ulimit -HSn 65535
4、配置Nginx worker进程最大打开文件数
worker_rlimit_nofile 65535;
设置为系统优化后的ulimit -HSn的结果。
5、 开启高效文件传输模式
sendfile on;
同时将tcp_nopush和tcp_nodelay两个指令设置为on,可防止网络及磁盘I/O阻塞,提升Nginx工作效率
tcp_nopush on;
此选项仅仅当开启sendfile时才生效,激活这个tcp_nopush参数可以允许把http response header和文件的开始部分放在一个文件里发布,其积极的作用是减少网络报文段的数量。
6、优化Nginx连接参数,调整连接超时时间
-
设置参数:
keepalive_timeout 60;
用于设置客户端连接保持回话的超时时间为60秒。超过这个时间,服务器会关闭该连接,此数值为参考值。 -
设置参数:
tcp_nodelay on;
用于激活tcp_nodelay功能,提供I/O性能。
参数作用:默认情况下当数据发送时,内核并不会马上发送,可能会等待更多的字节组成一个数据包,这样可以提高I/O性能。但是,在每次只发送很少字节的业务场景中,使用tcp_nodelay功能,等待时间会比较长。 -
设置参数:
client_header_timeout 15;
用于设置读取客户端请求头数据的超时时间。此处的数值15,其单位是秒,为经验参考值。
参数作用:设置读取客户端请求头数据的超时时间。如果超过这个时间,客户端还没有发送完整的header数据,服务器端将返回“Request time out(408)”错误,指定一个超时时间,防止客户端利用http协议进行攻击。 -
设置参数:
client_body_timeout 15;
用于设置读取客户端请求主体的超时时间,默认值是60。
参考作用:设置读取客户端请求主题的超时时间。这个超时仅仅为两次成功的读取操作之间的一个超时,非请求整个主体数据的超时时间,如果在这个超时时间内,客户端没有发送任何数据,Nginx将返回“Request time out(408)”错误,默认值是60。 -
设置参数:
send_timeout 25;
用于指定响应客户端的超时时间。这个超时仅限于两个连接活动之间的时间,如果超过这个时间,客户端没有任何活动,Nginx将会关闭连接,默认值为60秒,可以改为参考值25秒。
参考作用:设置服务器端传送HTTP响应信息到客户端的超时时间,这个超时仅仅为两次成功握手后的一个超时,非请求整个响应数据的超时时间,如在这个超时时间内,客户端没有接收任何数据,连接将被关闭。
7、上传文件大小的限制(动态应用)
调整上传文件的大小(http Request body size)限制。
在Nginx的主配置文件里加入如下参数:
client_max_body_size 8m;
具体大小根据公司的业务做调整,如果不清楚就先设置为8m。
参数作用:设置最大的允许的客户端请求主体大小,在请求头域有“Content-Length”,如果超过了此配置值,客户端会收到413错误,意思是请求的条目过大,有可能浏览器不能正确显示。设置为0表示禁止检查客户端请求主题大小。此参数对提高服务器端的安全性有一定的作用。
8、 配置Nginx gzip压缩实现性能优化
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_comp_level 2;
gzip_types text/plain application/javascript text/css application/xml text/javascript application/json;
gzip_vary off;
- 注意:application/javascript 和application/x-javascript的区别。推荐使用application/javascript支持得浏览器更多。
三. Nginx代理location参数
location /api {
proxy_pass http://IP地址;
proxy_set_header X-B3-TraceId $request_id;
proxy_set_header X-Span-Name $uri;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
- 微服务必须添加这三个参数:
proxy_set_header X-B3-TraceId $request_id;
proxy_set_header X-Span-Name $uri;
proxy_set_header X-Real-IP $remote_addr;
四. Nginx配置示例
user nginx;
worker_processes auto;
worker_cpu_affinity 0001 0010 0100 1000;
worker_rlimit_nofile 65535;
events {
worker_connections 16383;
}
http {
include mime.types;
default_type application/octet-stream;
log_format json '{"@timestamp":"$time_iso8601",'
'"host":"$server_addr",'
'"clientip":"$remote_addr",'
'"size":$body_bytes_sent,'
'"responsetime":$request_time,'
'"upstreamtime":"$upstream_response_time",'
'"upstreamhost":"$upstream_addr",'
'"http_host":"$host",'
'"url":"$uri",'
'"xff":"$http_x_forwarded_for",'
'"referer":"$http_referer",'
'"agent":"$http_user_agent",'
'"status":"$status"}';
access_log logs/access.log json;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
server_tokens off;
keepalive_timeout 65;
client_header_timeout 15;
client_body_timeout 15;
send_timeout 25;
client_max_body_size 8m;
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_comp_level 2;
gzip_types text/plain application/javascript text/css application/xml text/javascript application/json;
gzip_vary off;
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
include /usr/local/nginx/conf/vhost/*.conf;
}
五. 测试命令
ab -kc 20000 -n 20000 http://IP地址/index.html