Nginx 踩坑

发表于2020-08-21|更新于2025-01-19|后端开发

|浏览量:

NGINX 是 CPU 亲和的，把每个 worker 进程固定在一个 CPU 上执行，减少切换CPU的cache miss，获得更好的性能。处理静态资源效率高的原因是采用了sendFile工作机制：文件从硬盘上读取到网络传输的过程不经过用户空间，也就是常说的零拷贝机制：

防盗链

主要是区分合法请求和非法请求，常用的解决方案有以下几种：

基于http_refer防盗链配置模块

url重写

网站维护的时候将所有页面重定向到维护页面：

1	rewrite ^(.*)$ /pages/maintain.html

301和302的区别：301是永久重定向，客户端会缓存重定向后的地址（即使服务器关闭也能跳转到对应的地址），302请求每次都会访问服务器。所以做重定向的时候最好选择302,301如果跳转的链接改了是无法及时更新的。

https优化：

激活keepalive长连接
设置ssl session缓存

所有的压缩算法对文本的压缩效率是最高的

nginx调优

文件描述符修改

/etc/security/limits.conf

# 针对用户配置
root soft nofile 65535
root hard nofile 65535
# 全局配置
* soft nofile 65535
* hard nofile 65535

soft和hard的区别，soft只是警告，而hard是会强制拒绝的。

基于nginx+lua的防火墙

https://github.com/loveshell/ngx_lua_waf

常用模块

http_stub_status_module:监控服务器运行状态
http_sub_module：http内容替换
http_access_module:基于ip的访问控制
http_auth_basic_module:基于用户的信任登录
http_secure_link_module:给服务器文件链接添加时间戳和校验码，从而保护服务器文件不被任意下载盗用

文章作者: consoles

文章链接: https://consoles.fun/2020/08/21/nginx%E8%B8%A9%E5%9D%91/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源雨碎江南！

相关推荐

使用Bind搭建智能DNS

Bind是加州大学伯克利分校开发维护的开源、稳定的DNS服务。 www.baidu.com = www.baidu.com.最后的一个.表示根域，.com是一级域,baidu.com是二级域。 DNS解析记录分类常见的有A记录，CNAME，MX和NS，参见鸟哥的Linux私房菜。 Bind安装和配置A记录下面的例子中，DNS服务器为192.168.1.128。 12345$ yum install -y bind bind-chroot bind-utils$ rpm -qa | grep bind$ rpm -ql bind | more # 查看具体安装了哪些内容$ service named start # 启动DNS$ cp /etc/named.conf /etc/named.conf.default # 备份配置文件配置/etc/named.conf为如下： 12345678options { directory "/var/named";};zone "baidu.com"...

硬盘分区、格式化和挂载MBR分区模式主分区不能超过4个，拓展分区最多只能有1个，单个分区最大容量为2TB。服务器添加硬盘后会显示在/dev目录下，但是我们此时还不能使用这个硬盘，必须对其进行分区格式化和挂载，硬盘分区使用fdisk（MBR分区工具）。我们为虚拟机添加了1个8G的硬盘,使用fdisk -l看到/dev/sdb上并没有可用的分区表，使用fdisk...

Linux网络管理和权限配置

arp协议是网络层的协议，但是具体工作在数据链路层，将ip地址和mac地址对应，我们可以使用arp...

Shell 基础 —— 正则表达式

常用正则123$ grep -n "^$" test.txt # 空白行[0-9]\{4\}-[0-9]\{2\}-[0-9]\{2\} # yyyy-mm-dd[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\} # ip 在vi中按Esc键后d G可以清空光标起的所有内容。字符截取命令cut命令例如我们有用户信息文件/etc/passwd, 12$ useradd user1$ useradd user2 假设我们要删除上面创建的用户user1和user2,当然我们可以使用userdel命令,但是有的时候是程序执行的,所以我们需要在/etc/passwd中提取出新创建的2个普通用户,使用grep进行行提取 123$ grep "user" /etc/passwd | grep -v "system" #...

Linux 网络安全

用户和用户组用户组指的是具有相同系统权限的一组用户,配置文件位于/etc/group。该配置文件的格式为组名:组密码占位符:组编号:组内用户名列表。当组内只有一个用户且用户名和组名相同的时候可以省略组内的用户名列表，例如:mysql:x:501:。组号1~499为系统预留的组编号。 /etc/shadow存放用户组的密码信息，和/etc/group一一对应。分别是组名称:组密码:组管理者:组中用户名列表。当组密码为空、星号或者感叹号的时候可以认为组密码为空. /etc/passwd，存放用户信息。用户名：密码占位符：用户编号：用户组编号：用户注释信息：用户主目录：shell类型。/etc/shadow存放用户密码。 1234567891011121314151617$ groupadd sexy # 添加组$ groupmod -n market sexay # 组改名$ groupmod -g 668 market # 更改组id$ groupadd boss -g 666 # 创建用户组并同时指定gid$ groupdel market #...

Linux 服务管理

Crontab周期性任务 at可以一次性执行。service atd status，它可以使用黑名单和白名单控制，参见/etc/at.deny,at.allow。 12345$ at now+5 minutesat> echo hehe # ctrl + d保存退出$ atq # 查看at任务$ at -c 1 # 查看工作号执行的具体任务$ atrm 1 # 删除at任务同理crontab也有访问控制文件cron.deny等。系统服务crond每分钟会从配置文件中刷新定时任务。 12$ crontab -l # 列出任务，-r 清空$ service crond status # 查看服务是否正常启动 crontab -e可以编辑计划任务。在最后追加 123456789101112# 每分钟输出系统时间到文件*/1 * * * * date >> /tmp/date.tmp# 每天21:30重启apache30 21 * * * service httpd restart# 每月1号、10号、22号4:45重启apache45 4 1,10,22...