Nginx最小配置
安全的服务器是只配置所需内容的服务器。
理想情况下,应基于最小配置构建服务器,不要配置多余的选项。
使用最小的配置也有助于调试。如果错误在最小配置中,可以通过增加或减少配置来排查错误。
下面是运行 nginx 所需的最低配置:
# /etc/nginx/nginx.conf events {} # event context have to be defined to consider config valid http { server { listen 80; server_name cainiaojc.com; return 200 "Hello"; } }
Nginx目录结构
使用yum安装的nginx的目录一般在/usr/local/nginx
[root@localhost ~]# tree /usr/local/nginx /usr/local/nginx ├── client_body_temp # POST 大文件暂存目录 ├── conf # Nginx所有配置文件的目录 │ ├── fastcgi.conf # fastcgi相关参数的配置文件 │ ├── fastcgi.conf.default # fastcgi.conf的原始备份文件 │ ├── fastcgi_params # fastcgi的参数文件 │ ├── fastcgi_params.default │ ├── koi-utf │ ├── koi-win │ ├── mime.types # 媒体类型 │ ├── mime.types.default │ ├── nginx.conf #这是Nginx默认的主配置文件,日常使用和修改的文件 │ ├── nginx.conf.default │ ├── scgi_params # scgi相关参数文件 │ ├── scgi_params.default │ ├── uwsgi_params # uwsgi相关参数文件 │ ├── uwsgi_params.default │ └── win-utf ├── fastcgi_temp # fastcgi临时数据目录 ├── html # Nginx默认站点目录 │ ├── 50x.html # 错误页面优雅替代显示文件,例如出现502错误时会调用此页面 │ └── index.html # 默认的首页文件 ├── logs # Nginx日志目录 │ ├── access.log # 访问日志文件 │ ├── error.log # 错误日志文件 │ └── nginx.pid # pid文件,Nginx进程启动后,会把所有进程的ID号写到此文件 ├── proxy_temp # 临时目录 ├── sbin # Nginx 可执行文件目录 │ └── nginx # Nginx 二进制可执行程序 ├── scgi_temp # 临时目录 └── uwsgi_temp # 临时目录
所有结尾为 default 的文件都是备份文件,其他未做注释的目录,为在生产环境中较少用到的目录。
Nginx主配置文件解析
Nginx 主配置文件 /etc/nginx/nginx.conf 是一个纯文本类型的文件,整个配置文件是以区块的形式组织,通常每一个区块以一对大括号{}来表示开始与结束。
如果使用yum安装主配置文件就在/etc/nginx/nginx.conf ,如果是编译安装的,那么配置文件在编译时所指定的目录。
- Main 位于 nginx.conf 配置文件的最高层;
- Main 层下可以有 Event、HTTP 层;
- Http 层下面允许有多个 Server 层,用于对不同的网站做不同的配置;
- Server 层下面允许有多个 Location,用于对不同的路径进行不同模块的配置。
可使用如下命令对配置文件进行查看
$ cat nginx.conf文件路径
如使用yum安装就是
$ cat /etc/nginx/nginx.conf
各层配置
Main层配置
Main层配置的参数对所有Server都生效,在这一层主要会设置一些影响 nginx 服务器整体运行的配置指令,主要包括配置运行 Nginx 服务器的用户(组)、允许生成的 worker process 数,进程 PID 存放路径、日志存放路径和类型以 及配置文件的引入等。
例如:
user nginx; #进程用户 worker_processes 1; #工作进程,配合和CPU个数保持一致 error_log /var/log/nginx/error.log warn; #错误日志路径及级别 pid /var/run/nginx.pid; #Nginx服务启动的pid
events层配置
events 块涉及的指令主要影响 Nginx 服务器与用户的网络连接,常用的设置包括是否开启对多 worker process 下的网络连接进行序列化,是否允许同时接收多个网络连接,选取哪种事件驱动模型来处理连接请求,每个 worker process 可以同时支持的最大连接数等。
例如:
events { worker_connections 1024; #每个worker进程支持的最大连接数 use epoll; #内核模型,select、poll、epoll }
http层配置
http 全局块配置的指令包括文件引入、MIME-TYPE 定义、日志自定义、连接超时时间、单链接请求数上限等。
例如:
http { include /etc/nginx/mime.types; #指定在当前文件中包含另一个文件的指令 default_type application/octet-stream; #指定默认处理的文件类型可以是二进制 log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; #日志格式 access_log /var/log/nginx/access.log main; #访问日志 sendfile on; #优化静态资源 #tcp_nopush on; #nginx不要缓存数据,而是一段一段发送 keepalive_timeout 65; #给客户端分配连接超时时间,服务器会在这个时间过后关闭连接。 #gzip on; #压缩 }
server层配置
提示:通常 Server 配置在独立的/etc/nginx/conf.d/*.conf中,通过引用的方式调用,如下/etc/nginx/conf.d/default.conf:
Server 块也被叫做“虚拟主机”部分,它描述的是一组根据不同 server_name 指令逻辑分割的资源,这些虚拟服务器响应 HTTP 请求,因此都包含在 http 部分。最常见的配置是本虚拟机主机的监听配置和本虚拟主机的名称或 IP 配置。一个 server 块可以配置多个 location 块,同时一个location也有匹配规则来匹配多个URL。
server { listen 80; #监听端口,默认80 server_name localhost; #提供服务的域名或主机名 #charset koi8-r; #access_log logs/host.access.log main; location / { #控制网站访问路径 root /usr/share/nginx/html; #存放网站的路径 index index.html index.htm; #默认访问的首页 } #error_page 404 /404.html; #错误页面 # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; #定义请求错误,指定错误代码 location = /50x.html { #错误代码重定向到新的location root html; } # another virtual host using mix of IP-, name-, and port-based configuration # #server { #server段配置 # listen 8000; # listen somename:8080; # server_name somename alias another.alias; # location / { # root html; # index index.html index.htm; # } #} # HTTPS server # #server { #server段配置 # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; #SSL证书配置 # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #}
location(详细)
语法规则
location 前缀 路径
| 前缀 | 匹配规则 |
| 没有前缀 | 普通匹配(遵循最大前缀匹配规则) |
| = | 精确(严格)匹配 |
| ^~ | 非正则匹配(依然遵循最大前缀匹配规则) |
| ~ | 开头表示区分大小写的正则匹配 |
| ~* | 开头表示不区分大小写的正则匹配 |
| !~ 和 !~* | 分别为区分大小写不匹配及不区分大小写不匹配的正则 |
| / | 通用匹配,任何请求都会匹配到。 |
匹配的优先级
location的匹配的优先级与配置文件中的顺序无关。
先将所有匹配前缀分为两类
- 正则类:
~、~*、!~、!~* - 普通类:
=、^~、@和无任何前缀
大致的匹配规则为
“=”匹配 > “^~”匹配(不是用正则,最大前缀匹配) > 正则匹配 > 普通(最大前缀匹配)> 默认(/)
location处理逻辑
- =前缀的指令严格匹配这个查询。如果找到,停止搜索。
- 所有剩下的常规字符串,最长的匹配。如果这个匹配使用^〜前缀,搜索停止。
- 正则表达式,在配置文件中定义的顺序。
- 如果第3条规则产生匹配的话,结果被使用。否则,使用第2条规则的结果。
如果想要了解更多有关location可以去看:
Nginx网站配置
在默认虚拟机 default.conf 基础上新建虚拟机。
[root@nginx01 ~]# vi /etc/nginx/conf.d/mystie.conf server { server_name www.ceshi.com; error_page 404 403 500 502 503 504 /error.html; #配置错误页 location / { root /usr/share/nginx/base; index index.html; } } [root@cainiaojc ~]# mkdir -p /usr/share/nginx/base [root@cainiaojc ~]# echo '<h1>cainiaojc</h1>' > /usr/share/nginx/base/index.html [root@cainiaojc ~]# echo '<h1>Error</h1>' > /usr/share/nginx/error.html [root@cainiaojc ~]# nginx -t -c /etc/nginx/nginx.conf #检查配置文件 [root@cainiaojc ~]# nginx -s reload #重载配置文件
查看80端口是否打开
$ firewall-cmd --query-port=80/tcp
如果是yes则可以根据ifconfig查询的ip进行访问
如果没有打开可使用如下命令将80端口打开
$ firewall-cmd --zone=public --add-port=80/tcp --permanent $ systemctl restart firewalld.service
再次进行查看就应该是打开状态,可进行正常访问。
访问默认页面
随意访问不存在页面
Nginx相关安全策略
禁止访问 htaccess
location ~/\.ht { deny all; }
禁止访问多个目录
location ~ ^/(picture|move)/ { deny all; break; }
禁止访问 /data 开头的文件
location ~ ^/data { deny all; }
禁止访问单个目录
location /imxhy/images/ { deny all; }
允许特定 ip 访问
root /usr/share/nginx/rewrite/; allow 208.97.167.194; allow 222.33.1.2; allow 231.152.49.4; deny all;
Niginx日志配置
相关配置
access_log:访问日志;
log_format:日志格式;
rewrite_log:重定向日志;
error_log:错误日志;
nginx 具备非常灵活的日志记录模式,每个级别的配置可以有各自独立的访问日志。日志格式通过 log_format 命令来定义。
access_log 配置
语法:
- access_log path [format [buffer=size [flush=time]]];
- access_log path format gzip[=level] [buffer=size] [flush=time];
- access_log syslog:server=address[,parameter=value] [format];
- access_log off; #不记录日志
默认值: access_log logs/access.log combined;
使用默认 combined 格式记录日志:access_log logs/access.log 或 access_log logs/access.log combined;
配置段: http, server, location, if in location, limit_except
参数解释:
- gzip:压缩等级。
- buffer:设置内存缓存区大小。
- flush:保存在缓存区中的最长时间。
log_format配置
语法:log_format name string ……;
默认值: log_format combined “……”;
配置段: http
释义:name 表示格式名称,string 表示等义的格式。log_format 有一个默认的无需设置的 combined 日志格式,相当于 apache 的 combined 日志格式。
示例1:
log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent"';
示例2:
log_format proxy '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_user_agent" ';
配置相关变量释义:
$remote_addr:表示客户端地址;
$remote_user:表示http客户端请求Nginx认证的用户名;
$time_local:Nginx通用日志格式下的本地时间;
$request:request请求行,请求的URL、GET等方法、HTTP协议版本;
$request_length:请求的长度;
$request_time:请求处理时间,单位为秒,精度为毫秒;
$status:response返回状态码;
$body_bytes_sent:发送给客户端的字节数,不包括响应头的大小,即服务端响应给客户端body信息大小;
$http_referer:http上一级页面,即从哪个页面链接访问过来的,用于防盗链、用户行为分析;
$http_user_agent:http头部信息,记录客户端浏览器相关信息;
$connection:连接的序列号;
$connection_requesta:当前通常一个连接获得的请求数量;
$msec:日志写入时间,单位为秒,精度为毫秒;
$pipe:如果请求是通过HTTP流水线(pipelined)发送,pipe值为‘p’,否则为“.”;
$http_x_forwarded_for:http请求携带的http信息。
提示:如果nginx位于负载均衡器,squid,nginx反向代理之后,web服务器无法直接获取到客户端真实的IP地址了。 $remote_addr获取反向代理的IP地址。反向代理服务器在转发请求的http头信息中,可以增加X-Forwarded-For信息,用来记录客户端IP地址和客户端请求的服务器地址。
rewrite_log配置
语法: rewrite_log on | off;
默认值:rewrite_log off;
配置段:http,server,location,if
作用:由ngx_http_rewrite_module模块提供的。用来记录重写日志的,对于调试重写规则建议开启。启用时将在error log中记录notice级别的重写日志。
error_log配置
语法:error_log file | stderr | syslog:server=address[,parameter=value] [debug | info | notice | warn | error | crit | alert | emerg];
默认值:error_log logs/error.log error;
配置段:main,http,server,location
作用:配置错误日志。
日志切割脚本(以access.log为例)
目地:每天的0点0分把nginx日志重命名为日期后缀格式,并重新生成新日志文件。
脚本:
#nginx日志切割脚本 #author: http://www.nginx.cn #!/bin/bash #日志文件存放目录 logs_path='/usr/local/nginx/logs/' #pid文件位置 pid_path='/usr/local/nginx/nginx.pid' #重命名日志文件 mv ${logs_path}access.log ${logs_path}access_$(date -d 'yesterday' +'%Y%m%d').log #向nginx主进程发信号重新打开日志 kill -USR1 `cat ${pid_path}`
设置corntab定时任务
0 0 * * * bash /usr/local/nginx/nginx_log.sh
参考文档:
Nginx要好好学啊!加油,尽然都看到这了,不如点个赞如何
