摘要:示例說明請求的中包含并且以結(jié)尾的,全部禁止訪問。測試鏈接匹配不匹配基于訪問控制比多了請求的參數(shù)。訪問控制和參數(shù)調(diào)優(yōu)只記錄其中一些部分,有些可能會在工作中用到,的配置后續(xù)再作筆記吧,春招筆試好難呀,努力學(xué)習(xí)吧
Nginx全局變量
Nginx中有很多的全局變量,可以通過$變量名來使用。下面列舉一些常用的全局變量:
變量 | 說明 |
---|---|
$args | 請求中的參數(shù),如www.123.com/1.php?a=1&b=2的$args就是a=1&b=2 |
$content_length | HTTP請求信息里的”Content-Length” |
$conten_type | HTTP請求信息里的”Content-Type” |
$document_root | nginx虛擬主機配置文件中的root參數(shù)對應(yīng)的值 |
$document_uri | 當(dāng)前請求中不包含指令的URI,如www.123.com/1.php?a=1&b=2的$document_uri就是1.php,不包含后面的參數(shù) |
$host | 主機頭,也就是域名 |
$http_user_agent | 客戶端的詳細(xì)信息,也就是瀏覽器的標(biāo)識,用curl -A可以指定 |
$http_cookie | 客戶端的cookie信息 |
$limit_rate | 如果nginx服務(wù)器使用limit_rate配置了顯示網(wǎng)絡(luò)速率,則會顯示,如果沒有設(shè)置, 則顯示0 |
$remote_addr | 客戶端的公網(wǎng)ip |
$remote_port | 客戶端的port |
$remote_user | 如果nginx有配置認(rèn)證,該變量代表客戶端認(rèn)證的用戶名 |
$request_body_file | 做反向代理時發(fā)給后端服務(wù)器的本地資源的名稱 |
$request_method | 請求資源的方式,GET/PUT/DELETE等 |
$request_filename | 當(dāng)前請求的資源文件的路徑名稱,相當(dāng)于是$document_root/$document_uri的組合 |
$request_uri | 請求的鏈接,包括$document_uri和$args |
$scheme | 請求的協(xié)議,如ftp,http,https |
$server_protocol | 客戶端請求資源使用的協(xié)議的版本,如HTTP/1.0,HTTP/1.1,HTTP/2.0等 |
$server_addr | 服務(wù)器IP地址 |
$server_name | 服務(wù)器的主機名 |
$server_port | 服務(wù)器的端口號 |
$uri | 和$document_uri相同 |
$http_referer | 客戶端請求時的referer,通俗講就是該請求是通過哪個鏈接跳過來的,用curl -e可以指定 |
location指令的作用是根據(jù)用戶請求的URI來執(zhí)行不同的應(yīng)用。即根據(jù)用戶請求的網(wǎng)站地址URL進(jìn)行匹配,匹配成功就進(jìn)行相應(yīng)的操作。
語法location的語法規(guī)則:location [=|~|~*|^~] /uri/ { … }
location匹配的變量是$uri
關(guān)于幾種字符的說明
字符 | 描述 |
---|---|
= | 表示精準(zhǔn)匹配 |
~ | 表示區(qū)分大小寫的正則匹配 |
~* | 表示不區(qū)分大小寫的正則匹配 |
^~ | 表示uri以指定字符或字符串開頭 |
/ | 通用匹配,任何請求都會匹配到 |
= 高于 ^~ 高于 ~* 等于 ~ 高于 /
示例1
location = "/12.jpg" { ... } 如: www.syushin.com/12.jpg 匹配 www.syushin.com/abc/12.jpg 不匹配 location ^~ "/abc/" { ... } 如: www.syushin.com/abc/123.html 匹配 www.syushin.com/a/abc/123.jpg 不匹配 location ~ "png" { ... } 如: www.syushin.com/aaa/bbb/ccc/123.png 匹配 www.syushin.com/aaa/png/123.html 匹配 location ~* "png" { ... } 如: www.syushin.com/aaa/bbb/ccc/123.PNG 匹配 www.syushin.com/aaa/png/123.html 匹配 location /admin/ { ... } 如: www.syushin.com/admin/aaa/1.php 匹配 www.syushin.com/123/admin/1.php 不匹配
注意:
有些資料上介紹location支持不匹配 !~如: location !~ "png"{ ... }
這是錯誤的,location不支持 !~
如果有這樣的需求,可以通過if(location優(yōu)先級小于if )來實現(xiàn),如: if ($uri !~ "png") { ... }
web2.0時代,很多網(wǎng)站都是以用戶為中心,網(wǎng)站允許用戶發(fā)布內(nèi)容到服務(wù)器。由于為用戶開放了上傳功能,因此有很大的安全風(fēng)險,比如黑客上傳木馬程序等等。因此,訪問控制就很有必要配置了。
deny與allow字面上很容易理解就是拒絕和允許。
Nginx的deny和allow指令是由ngx_http_access_module模塊提供,Nginx安裝默認(rèn)內(nèi)置了該模塊。
語法
語法:allow/deny address | CIDR | unix: | all
它表示,允許/拒絕某個ip或者一個ip段訪問.如果指定unix:,那將允許socket的訪問。
注意:unix在1.5.1中新加入的功能。
在nginx中,allow和deny的規(guī)則是按順序執(zhí)行的。
示例1:
location / { allow 192.168.0.0/24; allow 127.0.0.1; deny all; }
說明:這段配置值允許192.168.0.0/24網(wǎng)段和127.0.0.1的請求,其他來源IP全部拒絕。
示例2:
location ~ "admin" { allow 192.168.30.7; deny all }
說明:訪問的uri中包含admin的請求,只允許192.168.30.7這個IP的請求。
基于location的訪問控制日常上,訪問控制基本是配合location來做配置的,直接例子吧。
示例1:
location /blog/ { deny all; }
說明:針對/blog/目錄,全部禁止訪問,這里的deny all;可以改為return 403;.
示例2
location ~ ".bak|.ht" { return 403; }
說明:訪問的uri中包含.bak字樣的或者包含.ht的直接返回403狀態(tài)碼。
測試鏈接舉例:
www.syushin.com/abc.bak
www.syushin.com/blog/123/.htalskdjf
如果用戶輸入的URL是上面其中之一都會返回403。
示例3
location ~ (data|cache|tmp|image|attachment).*.php$ { deny all; }
說明:請求的uri中包含data、cache、tmp、image、attachment并且以.php結(jié)尾的,全部禁止訪問。
測試鏈接舉例:
www.xxxxxx.com/aming/cache/1.php
www.xxxxxxx.com/image/123.phps
www.xxxxxx.com/aming/datas/1.php
基于$document_uri的訪問控制前面介紹了內(nèi)置變量$document_uri含義是當(dāng)前請求中不包含指令的URI。
如www.123.com/1.php?a=1&b=2的$document_uri就是1.php,不包含后面的參數(shù)。
我們可以針對這個變量做訪問控制。
示例1
if ($document_uri ~ "/admin/") { return 403; }
說明:當(dāng)請求的uri中包含/admin/時,直接返回403.
注意:if結(jié)構(gòu)中不支持使用allow和deny。
測試鏈接:
1. www.xxxxx.com/123/admin/1.html 匹配 2. www.xxxxx.com/admin123/1.html 不匹配 3. www.xxxxx.com/admin.php 不匹配
示例2
if ($document_uri = /admin.php) { return 403; }
說明:請求的uri為/admin.php時返回403狀態(tài)碼。
測試鏈接:
1. www.xxxxx.com/admin.php # 匹配 2. www.xxxxx.com/123/admin.php # 不匹配
示例3
if ($document_uri ~ "/data/|/cache/.*.php$") { return 403; }
說明:請求的uri包含data或者cache目錄,并且是php時,返回403狀態(tài)碼。
測試鏈接:
1. www.xxxxx.com/data/123.php # 匹配 2. www.xxxxx.com/cache1/123.php # 不匹配基于$request_uri訪問控制
$request_uri比$docuemnt_uri多了請求的參數(shù)。主要是針對請求的uri中的參數(shù)進(jìn)行控制。
示例
if ($request_uri ~ "gid=d{9,12}") { return 403; }
說明:d{9,12}是正則表達(dá)式,表示9到12個數(shù)字,例如gid=1234567890就符號要求。
測試鏈接:
1. www.xxxxx.com/index.php?gid=1234567890&pid=111 匹配 2. www.xxxxx.com/gid=123 不匹配
背景知識:
曾經(jīng)有一個客戶的網(wǎng)站cc攻擊,對方發(fā)起太多類似這樣的請求:/read-123405150-1-1.html
實際上,這樣的請求并不是正常的請求,網(wǎng)站會拋出一個頁面,提示帖子不存在。
所以,可以直接針對這樣的請求,return 403狀態(tài)碼。
user_agent可以簡單理解成瀏覽器標(biāo)識,包括一些蜘蛛爬蟲都可以通過user_agent來辨識。假如觀察訪問日志,發(fā)現(xiàn)一些搜索引擎的蜘蛛對網(wǎng)站訪問特別頻繁,它們并不友好。為了減少服務(wù)器的壓力,其實可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬蟲全部封掉。
示例
if ($user_agent ~ "YisouSpider|MJ12bot/v1.4.2|YoudaoBot|Tomato") { return 403; }
說明:user_agent包含以上關(guān)鍵詞的請求,全部返回403狀態(tài)碼。
測試:
1. curl -A "123YisouSpider1.0" 2. curl -A "MJ12bot/v1.4.1"基于$http_referer的訪問控制
$http_referer除了可以實現(xiàn)防盜鏈的功能外,還可以做一些特殊的需求。
比如:
網(wǎng)站被黑掛馬,搜索引擎收錄的網(wǎng)頁是有問題的,當(dāng)通過搜索引擎點擊到網(wǎng)站時,卻顯示一個博彩網(wǎng)站。
由于查找木馬需要時間,不能馬上解決,為了不影響用戶體驗,可以針對此類請求做一個特殊操作。
比如,可以把從百度訪問的鏈接直接返回404狀態(tài)碼,或者返回一段html代碼。
示例
if ($http_referer ~ "baidu.com") { return 404; }
或者
if ($http_referer ~ "baidu.com") { return 200 ""; }Nginx參數(shù)優(yōu)化
Nginx作為高性能web服務(wù)器,即使不特意調(diào)整配置參數(shù)也可以處理大量的并發(fā)請求。當(dāng)然,配置調(diào)優(yōu)會使Nginx性能更加強悍,配置參數(shù)需要結(jié)合服務(wù)器硬件性能等做參考。
worker進(jìn)程優(yōu)化worker_processes num;
該參數(shù)表示啟動幾個工作進(jìn)程,建議和本機CPU核數(shù)保持一致,每一核CPU處理一個進(jìn)程,num表示數(shù)字。
worker_rlimit_nofile
它表示Nginx最大可用的文件描述符個數(shù),需要配合系統(tǒng)的最大描述符,建議設(shè)置為102400。 還需要在系統(tǒng)里執(zhí)行ulimit -n 102400才可以。 也可以直接修改配置文件/etc/security/limits.conf修改 增加: #* soft nofile 655350 (去掉前面的#) #* hard nofile 655350 (去掉前面的#)
worker_connections
該參數(shù)用來配置每個Nginx worker進(jìn)程最大處理的連接數(shù), 這個參數(shù)也決定了該Nginx服務(wù)器最多能處理多少客戶端請求(worker_processes * worker_connections) 建議把該參數(shù)設(shè)置為10240,不建議太大。http/tcp連接數(shù)優(yōu)化
use epoll
使用epoll模式的事件驅(qū)動模型,該模型為Linux系統(tǒng)下最優(yōu)方式。
multi_accept on
使每個worker進(jìn)程可以同時處理多個客戶端請求。
sendfile on
使用內(nèi)核的FD文件傳輸功能,可以減少user mode和kernel mode的切換,從而提升服務(wù)器性能。
tcp_nopush on
當(dāng)tcp_nopush設(shè)置為on時,會調(diào)用tcp_cork方法進(jìn)行數(shù)據(jù)傳輸。 使用該方法會產(chǎn)生這樣的效果:當(dāng)應(yīng)用程序產(chǎn)生數(shù)據(jù)時, 內(nèi)核不會立馬封裝包,而是當(dāng)數(shù)據(jù)量積累到一定量時才會封裝,然后傳輸。
tcp_nodelay on
不緩存data-sends(關(guān)閉 Nagle 算法),這個能夠提高高頻發(fā)送小數(shù)據(jù)報文的實時性。
(關(guān)于Nagle算法)
【假如需要頻繁的發(fā)送一些小包數(shù)據(jù),比如說1個字節(jié),以IPv4為例的話,則每個包都要附帶40字節(jié)的頭,
也就是說,總計41個字節(jié)的數(shù)據(jù)里,其中只有1個字節(jié)是我們需要的數(shù)據(jù)。
為了解決這個問題,出現(xiàn)了Nagle算法。
它規(guī)定:如果包的大小滿足MSS,那么可以立即發(fā)送,否則數(shù)據(jù)會被放到緩沖區(qū),等到已經(jīng)發(fā)送的包被確認(rèn)了之后才能繼續(xù)發(fā)送。
通過這樣的規(guī)定,可以降低網(wǎng)絡(luò)里小包的數(shù)量,從而提升網(wǎng)絡(luò)性能。
keepalive_timeout
定義長連接的超時時間,建議30s,太短或者太長都不一定合適,當(dāng)然,最好是根據(jù)業(yè)務(wù)自身的情況來動態(tài)地調(diào)整該參數(shù)。
keepalive_requests
定義當(dāng)客戶端和服務(wù)端處于長連接的情況下,每個客戶端最多可以請求多少次,可以設(shè)置很大,比如50000.
reset_timeout_connection on
設(shè)置為on的話,當(dāng)客戶端不再向服務(wù)端發(fā)送請求時,允許服務(wù)端關(guān)閉該連接。
client_body_timeout
客戶端如果在該指定時間內(nèi)沒有加載完body數(shù)據(jù),則斷開連接,單位是秒,默認(rèn)60,可以設(shè)置為10。
send_timeout
這個超時時間是發(fā)送響應(yīng)的超時時間,即Nginx服務(wù)器向客戶端發(fā)送了數(shù)據(jù)包,但客戶端一直沒有去接收這個數(shù)據(jù)包。 如果某個連接超過send_timeout定義的超時時間,那么Nginx將會關(guān)閉這個連接。單位是秒,可以設(shè)置為3。壓縮
對于純文本的內(nèi)容,Nginx是可以使用gzip壓縮的。使用壓縮技術(shù)可以減少對帶寬的消耗。
由ngx_http_gzip_module模塊支持
配置如下:
gzip on; //開啟gzip功能 gzip_min_length 1024; //設(shè)置請求資源超過該數(shù)值才進(jìn)行壓縮,單位字節(jié) gzip_buffers 16 8k; //設(shè)置壓縮使用的buffer大小,第一個數(shù)字為數(shù)量,第二個為每個buffer的大小 gzip_comp_level 6; //設(shè)置壓縮級別,范圍1-9,9壓縮級別最高,也最耗費CPU資源 gzip_types text/plain application/x-javascript text/css application/xml image/jpeg image/gif image/png; //指定哪些類型的文件需要壓縮 gzip_disable "MSIE 6."; //IE6瀏覽器不啟用壓縮
測試:
curl -I -H "Accept-Encoding: gzip, deflate" http://www.xxxxx.com/1.css日志
錯誤日志級別調(diào)高,比如crit級別,盡量少記錄無關(guān)緊要的日志。
對于訪問日志,如果不要求記錄日志,可以關(guān)閉,
靜態(tài)資源的訪問日志關(guān)閉
靜態(tài)文件過期對于靜態(tài)文件,需要設(shè)置一個過期時間,這樣可以讓這些資源緩存到客戶端瀏覽器,
在緩存未失效前,客戶端不再向服務(wù)期請求相同的資源,從而節(jié)省帶寬和資源消耗。
配置示例如下:
location ~* ^.+.(gif|jpg|png|css|js)$ { expires 1d; //1d表示1天,也可以用24h表示一天。 }
訪問控制和參數(shù)調(diào)優(yōu)只記錄其中一些部分,有些可能會在工作中用到,SSL的配置后續(xù)再作筆記吧,春招筆試好難呀,努力學(xué)習(xí)吧...
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/40365.html
摘要:使用了多路復(fù)用技術(shù)的,就成了并發(fā)事件驅(qū)動的服務(wù)器。進(jìn)程主要負(fù)責(zé)收集分發(fā)請求。同時進(jìn)程也負(fù)責(zé)監(jiān)控的狀態(tài),保證高可靠性進(jìn)程一般設(shè)置為跟核心數(shù)一致。所以才使得支持更高的并發(fā)。配置調(diào)優(yōu)調(diào)整指要生成的數(shù)量最佳實踐是每個運行個工作進(jìn)程。 Nginx 是如何實現(xiàn)高并發(fā)的? Nginx 采用的是多進(jìn)程(單線程) & 多路IO復(fù)用模型。使用了 I/O 多路復(fù)用技術(shù)的 Nginx,就成了并發(fā)事件驅(qū)動的服務(wù)...
摘要:使用簽署免費證書后端掘金本文操作在操作系統(tǒng)下完成,需要和超文本傳輸安全協(xié)議英語,縮寫,常稱為,紅黑樹深入剖析及實現(xiàn)后端掘金紅黑樹是平衡二叉查找樹的一種。 使用 Lets Encrypt 簽署免費 Https 證書 - 后端 - 掘金 本文操作在Linux操作系統(tǒng)下完成,需要Python和Nginx 超文本傳輸安全協(xié)議(英語:Hypertext Transfer Protocol Sec...
閱讀 564·2024-11-06 13:38
閱讀 854·2024-09-10 13:19
閱讀 1010·2024-08-22 19:45
閱讀 1397·2021-11-19 09:40
閱讀 2650·2021-11-18 13:14
閱讀 4305·2021-10-09 10:02
閱讀 2340·2021-08-21 14:12
閱讀 1295·2019-08-30 15:54