LNMP(nginx防盗链，访问控制，解析php相关配置，Nginx代理，常见502问题)

一、nginx防盗链

nginx防盗链：

[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/test.com.conf   添加以下内容

location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$

{

    expires 7d;

    valid_referers none blocked server_names  *.test.com ;       设置白名单，只有从test.com跳来的网址才可以访问

    if ($invalid_referer) {

        return 403;                                如果不是，则返回403错误码

    }

    access_log off;

}

检测语法错误并且重新加载配置文件：

[root@lnmp ~]# /usr/local/nginx/sbin/nginx -t

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

[root@lnmp ~]# /usr/local/nginx/sbin/nginx -s reload

测试：（百度跳过来的显示403，test正常返回值）

[root@lnmp ~]# curl -e "http://www.baidu.com/1.txt" -x127.0.0.1:80 test.com/1.gif 

<html>

<head><title>403 Forbidden</title></head>

<body bgcolor="white">

<center><h1>403 Forbidden</h1></center>

<hr><center>nginx/1.8.0</center>

</body>

</html>

[root@lnmp ~]# curl -e "http://www.test.com/1.txt" -x127.0.0.1:80 test.com/1.gif 

dasdasdafasdfaf

二、Nginx访问控制

nginx防盗链：

[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/test.com.conf   添加以下内容

location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$

{

    expires 7d;

    valid_referers none blocked server_names  *.test.com ;       设置白名单，只有从test.com跳来的网址才可以访问

    if ($invalid_referer) {

        return 403;                                如果不是，则返回403错误码

    }

    access_log off;

}

检测语法错误并且重新加载配置文件：

[root@lnmp ~]# /usr/local/nginx/sbin/nginx -t

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

[root@lnmp ~]# /usr/local/nginx/sbin/nginx -s reload

测试：（百度跳过来的显示403，test正常返回值）

[root@lnmp ~]# curl -e "http://www.baidu.com/1.txt" -x127.0.0.1:80 test.com/1.gif 

<html>

<head><title>403 Forbidden</title></head>

<body bgcolor="white">

<center><h1>403 Forbidden</h1></center>

<hr><center>nginx/1.8.0</center>

</body>

</html>

[root@lnmp ~]# curl -e "http://www.test.com/1.txt" -x127.0.0.1:80 test.com/1.gif 

dasdasdafasdfaf

三、Nginx解析php相关配置

[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/test.com.conf     （配置虚拟主机配置文件）

cation ~ \.php$

    {

      include fastcgi_params;

      fastcgi_pass unix:/tmp/php-fcgi.sock;  （用来监听php-fpm的地址或者socket，这里怎么写取决于/usr/local/php-fpm/etc/php-fpm.conf里的listen怎么写，如果不一样，则curl会报502错误，）

      fastcgi_index index.php;

      fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name;

    }

这里可以对比一下php-ftm的配置文件。

[root@lnmp ~]# vim /usr/local/php-fpm/etc/php-fpm.conf

[global]

pid = /usr/local/php-fpm/var/run/php-fpm.pid

error_log = /usr/local/php-fpm/var/log/php-fpm.log

[www]

listen = /tmp/php-fcgi.sock           （这里也可以写成监听端口，例如）

#listen = 127.0.0.1:9000             （如果这里写成端口，则虚拟配置文件里也要写成：fastcgi_pass 127.0.0.1:9000）

listen.mode = 666                  （定义php-fcgi.sock的权限，必须是666，否则nginx解析不了）

user = php-fpm

group = php-fpm

pm = dynamic

pm.max_children = 50

pm.start_servers = 20

pm.min_spare_servers = 5

pm.max_spare_servers = 35

pm.max_requests = 500

rlimit_files = 1024

检查语法错误并且重新加载配置文件：

[root@lnmp ~]# /usr/local/nginx/sbin/nginx -t

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

[root@lnmp ~]# /usr/local/nginx/sbin/nginx -s reload

检测：

[root@lnmp ~]# curl -x127.0.0.1:80 test.com/1.php

出现的就是phpinfo（）函数的界面

四、Nginx代理

场景：如果要从国内访问美国的服务器会很慢，这时候就可以找个香港服务器做代理，香港访问美国是很快的。

代理服务器作为用户和web服务器的代理者。

配置：（因为是代理服务器，不用访问本机的配置文件）

[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/proxy.conf

server

{

    listen 80;

    server_name ask.apelearn.com;                定义域名

    location /

    {

        proxy_pass      http://121.201.9.155/;          告诉nginx真正的web服务器地址

        proxy_set_header Host   $host;                 （访问的域名是server_name）

        proxy_set_header X-Real-IP      $remote_addr;           （定义公网ip）

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;   （定义代理服务器ip）

    }

}

检查语法错误并且重新加载配置文件

[root@lnmp ~]# /usr/local/nginx/sbin/nginx -t

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

[root@lnmp ~]# /usr/local/nginx/sbin/nginx -s reload

检查:（从本机访问到了远程站点，说明代理成功）

[root@lnmp ~]# curl -x127.0.0.1:80 ask.apelearn.com/robots.txt

#

# robots.txt for MiWen

#

User-agent: *

Disallow: /?/admin/

Disallow: /?/people/

Disallow: /?/question/

Disallow: /account/

Disallow: /app/

Disallow: /cache/

Disallow: /install/

Disallow: /models/

Disallow: /crond/run/

Disallow: /search/

Disallow: /static/

Disallow: /setting/

Disallow: /system/

Disallow: /tmp/

Disallow: /themes/

Disallow: /uploads/

Disallow: /url-*

Disallow: /views/

Disallow: /*/ajax/

五、常见502的问题

1.配置错误
因为nginx找不到php-fpm了，所以报错，一般是fastcgi_pass后面的路径配置错误了，后面可以是socket或者是ip:port


2.资源耗尽
lnmp架构在处理php时，nginx直接调取后端的php-fpm服务，如果nginx的请求量偏高，我们又没有给php-fpm配置足够的子进程，那么php-fpm就会资源耗尽，一旦资源耗尽nginx找不到php-fpm就会出现502错误，

解决方案
去调整php-fpm.conf中的pm.max_children数值，使其增加，但是也不能无限增加，毕竟资源有限，一般4G内存机器如果跑php-fpm和nginx，不跑mysql可以设置为150，8G为300以此类推


3.除了上面的两种错误还有其他的原因，很少有，我们可以借助nginx的错误日志来进行排查vim /usr/local/nginx/logs/nginx_error.log  我们也可以给日志定义级别vim/usr/local/nginx/conf/nginx.conf 找到error_log，默认是crit最严谨的就行，也可以改成debug显示的信息最全面，但是很容易撑爆我们的磁盘。



首先我们需要让浏览器进行访问
修改nginx的配置文件
[root@wqslinux ~]# vim/usr/local/nginx/conf/vhosts/111.conf

server
{
   listen 80;
   server_name www.111.com;       //域名地址
   index index.html index.htm index.php;
   root /data/www/;

   location ~ \.php$ {
       include fastcgi_params;
       fastcgi_pass unix:/tmp/www.sock;  //修改sock
      #fastcgi_pass 127.0.0.1:9000;
       fastcgi_index index.php;
       fastcgi_param SCRIPT_FILENAME /data/www$fastcgi_script_name;
    }

}



检查语法是否正常
[root@wqslinux ~]#/usr/local/nginx/sbin/nginx -t
重新加载配置文件
[root@wqslinux ~]# /usr/local/nginx/sbin/nginx-s reload
[root@wqslinux ~]# /etc/init.d/nginx reload

检查nginx是那个用户跑的
[root@wqslinux ~]# ps aux |grep nginx
编辑php-fpm文件
我们要在这个php-fpm文件里面设置nginx的用户主，跟组这样才不会显示502
[root@wqslinux ~]# vim/usr/local/php/etc/php-fpm.conf

[global]
pid = /usr/local/php/var/run/php-fpm.pid
error_log =/usr/local/php/var/log/php-fpm.log
[www]
listen = /tmp/www.sock
user = php-fpm
group = php-fpm
listen.owner = nobody    //定义属主
listen.group = nobody    //定义属组
pm = dynamic
pm.max_children = 50
pm.start_servers = 20
pm.min_spare_servers = 5
pm.max_spare_servers = 35
pm.max_requests = 500
rlimit_files = 1024

配置完之后重启php-fpm
[root@wqslinux ~]# /etc/init.d/php-fpm restart
ps： 再补充一个，是近期很多人遇到的问题
这种情况下，使用的是socket，版本高于5.4（含5.4） 默认监听的socket文件权限是所有者只读，属组和其他用户没有任何权限。所以，nginx的启动用户（咱们配置的是nobody）就没有办法去读这个socket文件，最终导致502，这个问题可以在nginx的错误日志中发现。解决办法很简单，上面给出的配置文件中就有避免这个问题的配置。
listen.owner = nobody    //定义属主
listen.group = nobody    //定义属组
这两个配置就是定义socket的属主和属组是谁。除了这个还有一种方法
listen.mode = 777
这样nobody也可以有读取权限了。

本文转自 小新锐 51CTO博客，原文链接：http://blog.51cto.com/13407306/2059153，如需转载请自行联系原作者