百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

nginx安装与调优部署文档(Linux)(nginx安装配置 linux)

nanshan 2024-10-19 06:35 44 浏览 0 评论

1. 安装环境准备

1.1 主机环境准备

1.1.1. 关闭selinux

sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
setenforce 0

1.1.2. 部署规划

软件安装路径 /usr/local/nginx/
软件日志路径 /usr/local/nginx/logs/
软件二进制路径 /usr/local/nginx/sbin/
软件缓存代理等路径 /var/tmp/nginx/{client_body,proxy,fastcgi,uwsgi,scgi}
软件主配置文件路径 /usr/local/nginx/conf
软件配置文件路径 /usr/local/nginx/conf/conf.d/
端口规划 80

1.1.3. 系统主机时间、时区、系统语言

? 本节视实际情况需要操作
? 修改时区

ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

? 修改系统语言环境

echo 'LANG="en_US.UTF-8"' >> /etc/profile && source /etc/profile

? 配置主机NTP时间同步

yum -y install ntp
systemctl enable ntpd && systemctl start ntpd
echo 'server ntp1.aliyun.com' >> /etc/ntp.conf
echo 'server ntp2.aliyun.com' >> /etc/ntp.conf

2. Nginx安装部署

备注:2.2章节、2.3章节与2.4章节的依赖包可使用yum直接安装,安装指令如下:

yum install -y pcre-devel zlib-devel openssl-devel

也可按本文档使用源码安装。如何使用yum安装,要注意nginx的安装参数要删除如下三行

--with-pcre=../pcre-8.44 \
--with-zlib=../zlib-1.2.11 \
--with-openssl=../openssl-1.1.1f \

2.1 Nginx依赖安装与环境准备

? 添加用户与用户组(用户名请自行定义)

groupadd -r nginx && useradd -s /sbin/nologin -r -g nginx nginx

? CentOS平台安装依赖

yum -y install gcc gcc-c++ automake autoconf libtool make wget net-tools
yum install -y libxslt* libxml2* gd-devel perl-devel perl-ExtUtils-Embed GeoIP GeoIP-devel GeoIP-data
12

? 下载nginx-1.19.1.tar.gz安装包,并解压

cd /opt
wget http://nginx.org/download/nginx-1.19.1.tar.gz
tar -zxvf nginx-1.19.1.tar.gz
123

? 从根源上隐藏nginx版本号
(1)修改nginx.h文件如下三行配置信息变更,举例如下

vi /opt/nginx-1.19.1/src/core/nginx.h

修改前

#define nginx_version      1019001
#define NGINX_VERSION      "1.19.1"
#define NGINX_VER          "nginx/" NGINX_VERSION

修改后

#define nginx_version      1010001
#define NGINX_VERSION      "618"
#define NGINX_VER          "WEB/" NGINX_VERSION

(2)修改ngx_http_header_filter_module.c文件的ngx_http_server_string显示名称与步骤1中的NGINX_VER名称一致

vi /opt/nginx-1.19.1/src/http/ngx_http_header_filter_module.c

修改前

static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;

修改后

static u_char ngx_http_server_string[] = "Server: WEB" CRLF;
static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;

(2)修改ngx_http_special_response.c文件的ngx_http_error_tail显示名称与步骤1中的NGINX_VER名称一致

vi /opt/nginx-1.19.1/src/http/ngx_http_special_response.c

修改前

static u_char ngx_http_error_tail[] =
"<hr><center>nginx</center>" CRLF
"</body>" CRLF
"</html>" CRLF
;

修改后

static u_char ngx_http_error_tail[] =
"<hr><center>WEB</center>" CRLF
"</body>" CRLF
"</html>" CRLF
;

注:修改完成后注意保存配置文件
? Nginx部署环境准备

mkdir -pv /var/tmp/nginx/{client_body,proxy,fastcgi,uwsgi,scgi}
mkdir -pv /usr/local/nginx
chown -R nginx:nginx /var/tmp/nginx
chown -R nginx:nginx /usr/local/nginx

2.2 Pcre安装

cd /opt
wget https://ftp.pcre.org/pub/pcre/pcre-8.44.tar.gz
tar -zxvf pcre-8.44.tar.gz
cd pcre-8.44/
./configure
make && make install

2.3 Zlib安装

cd /opt
wget http://www.zlib.net/fossils/zlib-1.2.11.tar.gz
tar -zxvf zlib-1.2.11.tar.gz
cd zlib-1.2.11
./configure
make && make install

2.4 Openssl安装

cd /opt
wget https://ftp.openssl.org/source/old/1.1.1/openssl-1.1.1f.tar.gz
tar -zxvf openssl-1.1.1f.tar.gz
cd openssl-1.1.1f
./config
make && make install

2.5 Nginx安装

cd /opt/nginx-1.19.1
./configure \
--prefix=/usr/local/nginx \
--pid-path=/var/run/nginx.pid  \
--lock-path=/var/lock/nginx.lock \
--user=nginx \
--group=nginx \
--with-http_ssl_module \
--with-http_v2_module \
--with-http_dav_module \
--with-http_flv_module \
--with-http_realip_module \
--with-http_addition_module \
--with-http_xslt_module \
--with-http_stub_status_module \
--with-http_sub_module \
--with-http_random_index_module \
--with-http_degradation_module \
--with-http_secure_link_module \
--with-http_gzip_static_module \
--with-http_perl_module \
--with-pcre=../pcre-8.44 \
--with-zlib=../zlib-1.2.11 \
--with-openssl=../openssl-1.1.1f \
--with-debug \
--with-file-aio \
--with-mail \
--with-mail_ssl_module \
--http-client-body-temp-path=/var/tmp/nginx/client_body \
--http-proxy-temp-path=/var/tmp/nginx/proxy \
--http-fastcgi-temp-path=/var/tmp/nginx/fastcgi \
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi \
--http-scgi-temp-path=/var/tmp/nginx/scgi \
--with-stream \
--with-ld-opt="-Wl,-E"
make && make install

2.6 配置nginx环境变量

cat >>/etc/profile<<EOF
NGINX_HOME=/usr/local/nginx
PATH=\$NGINX_HOME/sbin:\$PATH
EOF
source /etc/profile

2.7 配置nginx系统服务

1、添加nginx系统服务启动脚本

vi /etc/init.d/nginx
#!/bin/bash
#
# nginx - this script starts and stops the nginx daemon
#
# chkconfig:   2345 85 15
# description:  Nginx is an HTTP(S) server, HTTP(S) reverse \
#               proxy and IMAP/POP3 proxy server
#
# processname: nginx
# config:      /usr/local/nginx/conf/nginx.conf
# pidfile:     /var/run/nginx.pid

# Source function library.
. /etc/rc.d/init.d/functions

# Source networking configuration.
. /etc/sysconfig/network

# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0

nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)

NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf"

[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx

lockfile=/var/lock/nginx.lock

start() {
    [ -x $nginx ] || exit 5
    [ -f $NGINX_CONF_FILE ] || exit 6
    echo -n "Starting $prog: "
    daemon $nginx -c $NGINX_CONF_FILE
    retval=$?
    echo
    [ $retval -eq 0 ] && touch $lockfile
    return $retval
}

stop() {
    echo -n "Stopping $prog: "
    killproc $prog -QUIT
    retval=$?
    echo
    [ $retval -eq 0 ] && rm -f $lockfile
    return $retval
}

restart() {
    configtest || return $?
    stop
    sleep 1
    start
}

rh_status() {
    status $prog
}

rh_status_q() {
    rh_status >/dev/null 2>&1
}

case "$1" in
    start)
        rh_status_q && exit 0
        $1
        ;;
    stop)
        rh_status_q || exit 0
        $1
        ;;
    restart)
        $1
        ;;
    status)
        rh_status
        ;;
    *)
        echo #34;Usage: $0 {start|stop|status|restart}"
        exit 2
        ;;
esac

2、配置nginx系统服务及自启动

chmod +x /etc/init.d/nginx
chkconfig --add nginx && chkconfig nginx on
chkconfig --list nginx

3、启动与停止nginx服务

service nginx start    或使用  systemctl start nginx
service nginx status    或使用  systemctl status nginx
ps -ef|grep nginx
service nginx stop    或使用  systemctl stop nginx

2.8 配置防火墙

配置操作系统防火墙(端口号根据实际添加)
针对CentOS6:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
service iptables save

针对CentOS7:

firewall-cmd --permanent --zone=public --add-port=80/tcp
firewall-cmd --reload

3. Nginx加固

3.1 安全审计

?	启用错误日志
#错误日志
error_log  logs/error.log;
?	启用访问日志
#访问日志
log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer"'
                      '"$http_user_agent" "$http_x_forwarded_for"'
                      '"$request_time" "$upstream_response_time"';
#日志缓存
 access_log  logs/access.log  main buffer=64k flush=60s;
	open_log_file_cache max=300 inactive=20s valid=1m min_uses=2;

3.2 隐藏nginx版本

? 在nginx.conf配置文件中添加隐藏nginx版本的参数

# hide nginx version
server_tokens off;

? 在fastcgi.conf配置文件中添加#注释如下配置隐藏php中nginx的版本信息

fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version;

3.3 数据保密性

? 配置防盗链,在nginx.conf对应的server中配置以下参数(根据实际环境需要配置)

location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip)$ {
  valid_referers none blocked 域名;
  if ($invalid_referer) {
    return 403;
    break;
    }
    access_log off;
}

3.4 配置错误界面

? 把error.html放在nginx/html下。在nginx.conf的http中配置以下参数

error_page  404 500 502 503 504 505 /error.html;

3.5 Web前端安全

? 防止点击劫持,防止ie内容嗅探,防止xss,只能从本域名加载资源(外部脚本无法执行),在nginx.conf的server中配置以下参数(根据实际环境需要配置)

add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection 1;
#add_header Content-Security-Policy "default-src 'self'";

3.6 https安全

? 不使用SSL和TLS1.1以下,使用TLS1.2以上版本,在nginx.conf的server中配置以下参数(在启用https的场景中配置)

SSL_Protocols TLSv1.2;

3.7 访问控制

? 限制ip访问(因公网访问nginx,建议不设置。除非有恶意ip尝试cc攻击或暴力破解等非法操作)(根据实际环境需要配置)

location / {
    deny 192.168.1.1; #拒绝IP
    allow 192.168.1.0/24; #允许IP
    allow 10.1.1.0/16; #允许IP
    deny all; #拒绝其他所有IP
}

3.8 限制http请求方法

? 在nginx.conf的server中配置以下参数,只允许GET、POST两个http请求方式

location / {
    if ($request_method !~* GET|POST) {
        return 403;
        }
    }

4. Nginx优化

4.1 Nginx工作进程数量

? 一般设置CPU的核心或者核心数x2(worker_processes最多开启8个)

grep ^processor /proc/cpuinfo | wc -l    //获取cpu核心数
worker_processes  4;

4.2 Nginx运行CPU亲和力

?	比如2核配置
worker_processes 2;
worker_cpu_affinity 01 10;
?	比如4核配置
worker_processes  4;
worker_cpu_affinity 0001 0010 0100 1000;
?	比如8核配置
worker_processes 8;
worker_cpu_affinity 00000001 00000010 00000100 0000100000010000 00100000 01000000 10000000;

4.3 优化内核参数与连接数

cat >>/etc/sysctl.conf<<EOF
fs.file-max = 6815744
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 40960
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 1024 65000
EOF
sysctl -p
cat >>/etc/security/limits.conf<<EOF
*       soft    nofile      65535
*       hard    nofile      65535
*       soft    noproc      65535
*       hard    noproc      65535
EOF

4.4 Nginx事件处理

? 启用epoll模型以提高处理效率

events {
    use epoll;
    worker_connections 65535;
    multi_accept on;
}

4.5 开启高效传输模式

sendfile  on;
tcp_nopush  on;

4.6 连接超时时间

? 保护服务器资源,CPU,内存与控制连接数

keepalive_timeout 60;
tcp_nodelay on;
client_header_buffer_size 4k;
open_file_cache max=102400 inactive=20s;
open_file_cache_valid 30s;
open_file_cache_min_uses 1;
client_header_timeout 60;
client_body_timeout 60;
reset_timedout_connection on;
send_timeout 20;
client_max_body_size 10m;

4.7 配置文件专属路径便携配置

不同的服务配置单独的conf文件,提高运维效率,以nginx.conf配置文件添加include参数

mkdir /usr/local/nginx/conf/conf.d
include /usr/local/nginx/conf/conf.d/*.conf;

4.8 Gzip调优

使用gzip压缩功能,可能为我们节约带宽,加快传输速度

gzip on;
gzip_min_length 2k;
gzip_buffers   4 32k;
gzip_http_version 1.1;
gzip_comp_level 6;
gzip_typestext/plain text/css text/javascriptapplication/json application/javascript application/x-javascriptapplication/xml;
gzip_vary on;
gzip_proxied any;

4.9 Expires缓存调优

缓存,主要针对于图片,css,js等元素更改机会比较少的情况下使用,特别是图片,占用带宽大,可以设置图片在浏览器本地缓存365d,css,js,html可以缓存个10来天。

location ~* \.(ico|jpe?g|gif|png|bmp|swf|flv)$ {
    expires 30d;
    #log_not_found off;
    access_log off;
}

location ~* \.(js|css)$ {
    expires 7d;
    log_not_found off;
    access_log off;
}

5、error.html界面内容

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"><head>
<title>网页访问不了</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<link rel="stylesheet" type="text/css" href="404/error_all.css?t=201303212934">
</head>
<body class="error-404">
<div id="doc_main">
 
    <section class="bd clearfix">
        <div class="module-error">
            <div class="error-main clearfix">
                <div class="label"></div>
                <div class="info">
                    <h3 class="title">抱歉!该网站可能因为以下原因无法访问!</h3>
                    <div class="reason">
                        <p>1.您访问的域名未绑定主机;</p>
                        <p>2.您正在使用IP访问,请尝试使用域名访问;</p>
                        <p>3.该网站已被网站管理员停止。</p>
                    </div>
                </div>
            </div>
        </div>
    </section>
</div>
 
</body></html>

6. 结束

相关推荐

0722-6.2.0-如何在RedHat7.2使用rpm安装CDH(无CM)

文档编写目的在前面的文档中,介绍了在有CM和无CM两种情况下使用rpm方式安装CDH5.10.0,本文档将介绍如何在无CM的情况下使用rpm方式安装CDH6.2.0,与之前安装C5进行对比。环境介绍:...

ARM64 平台基于 openEuler + iSula 环境部署 Kubernetes

为什么要在arm64平台上部署Kubernetes,而且还是鲲鹏920的架构。说来话长。。。此处省略5000字。介绍下系统信息;o架构:鲲鹏920(Kunpeng920)oOS:ope...

生产环境starrocks 3.1存算一体集群部署

集群规划FE:节点主要负责元数据管理、客户端连接管理、查询计划和查询调度。>3节点。BE:节点负责数据存储和SQL执行。>3节点。CN:无存储功能能的BE。环境准备CPU检查JDK...

在CentOS上添加swap虚拟内存并设置优先级

现如今很多云服务器都会自己配置好虚拟内存,当然也有很多没有配置虚拟内存的,虚拟内存可以让我们的低配服务器使用更多的内存,可以减少很多硬件成本,比如我们运行很多服务的时候,内存常常会满,当配置了虚拟内存...

国产深度(deepin)操作系统优化指南

1.升级内核随着deepin版本的更新,会自动升级系统内核,但是我们依旧可以通过命令行手动升级内核,以获取更好的性能和更多的硬件支持。具体操作:-添加PPAs使用以下命令添加PPAs:```...

postgresql-15.4 多节点主从(读写分离)

1、下载软件[root@TX-CN-PostgreSQL01-252software]#wgethttps://ftp.postgresql.org/pub/source/v15.4/postg...

Docker 容器 Java 服务内存与 GC 优化实施方案

一、设置Docker容器内存限制(生产环境建议)1.查看宿主机可用内存bashfree-h#示例输出(假设宿主机剩余16GB可用内存)#Mem:64G...

虚拟内存设置、解决linux内存不够问题

虚拟内存设置(解决linux内存不够情况)背景介绍  Memory指机器物理内存,读写速度低于CPU一个量级,但是高于磁盘不止一个量级。所以,程序和数据如果在内存的话,会有非常快的读写速度。但是,内存...

Elasticsearch性能调优(5):服务器配置选择

在选择elasticsearch服务器时,要尽可能地选择与当前业务量相匹配的服务器。如果服务器配置太低,则意味着需要更多的节点来满足需求,一个集群的节点太多时会增加集群管理的成本。如果服务器配置太高,...

Es如何落地

一、配置准备节点类型CPU内存硬盘网络机器数操作系统data节点16C64G2000G本地SSD所有es同一可用区3(ecs)Centos7master节点2C8G200G云SSD所有es同一可用区...

针对Linux内存管理知识学习总结

现在的服务器大部分都是运行在Linux上面的,所以,作为一个程序员有必要简单地了解一下系统是如何运行的。对于内存部分需要知道:地址映射内存管理的方式缺页异常先来看一些基本的知识,在进程看来,内存分为内...

MySQL进阶之性能优化

概述MySQL的性能优化,包括了服务器硬件优化、操作系统的优化、MySQL数据库配置优化、数据库表设计的优化、SQL语句优化等5个方面的优化。在进行优化之前,需要先掌握性能分析的思路和方法,找出问题,...

Linux Cgroups(Control Groups)原理

LinuxCgroups(ControlGroups)是内核提供的资源分配、限制和监控机制,通过层级化进程分组实现资源的精细化控制。以下从核心原理、操作示例和版本演进三方面详细分析:一、核心原理与...

linux 常用性能优化参数及理解

1.优化内核相关参数配置文件/etc/sysctl.conf配置方法直接将参数添加进文件每条一行.sysctl-a可以查看默认配置sysctl-p执行并检测是否有错误例如设置错了参数:[roo...

如何在 Linux 中使用 Sysctl 命令?

sysctl是一个用于配置和查询Linux内核参数的命令行工具。它通过与/proc/sys虚拟文件系统交互,允许用户在运行时动态修改内核参数。这些参数控制着系统的各种行为,包括网络设置、文件...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表