Nginx访问控制与参数调优的方法

Nginx全局变量

Nginx中有很多的全局变量,可以通过$变量名来使用。下面列举一些常用的全局变量:

变量 说明
$args 请求中的参数,如www.123.com/1.php?a=1&b=2的$args就是a=1&b=2
$content_length HTTP请求信息里的”Content-Length”
$conten_type HTTP请求信息里的”Content-Type”
$document_root nginx虚拟主机配置文件中的root参数对应的值
$document_uri 当前请求中不包含指令的URI,如www.123.com/1.php?a=1&b=2的$document_uri就是1.php,不包含后面的参数
$host 主机头,也就是域名
$http_user_agent 客户端的详细信息,也就是浏览器的标识,用curl -A可以指定
$http_cookie 客户端的cookie信息
$limit_rate 如果nginx服务器使用limit_rate配置了显示网络速率,则会显示,如果没有设置, 则显示0
$remote_addr 客户端的公网ip
$remote_port 客户端的port
$remote_user 如果nginx有配置认证,该变量代表客户端认证的用户名
$request_body_file 做反向代理时发给后端服务器的本地资源的名称
$request_method 请求资源的方式,GET/PUT/DELETE等
$request_filename 当前请求的资源文件的路径名称,相当于是$document_root/$document_uri的组合
$request_uri 请求的链接,包括$document_uri和$args
$scheme 请求的协议,如ftp,http,https
$server_protocol 客户端请求资源使用的协议的版本,如HTTP/1.0,HTTP/1.1,HTTP/2.0等
$server_addr 服务器IP地址
$server_name 服务器的主机名
$server_port 服务器的端口号
$uri 和$document_uri相同
$http_referer 客户端请求时的referer,通俗讲就是该请求是通过哪个链接跳过来的,用curl -e可以指定

Nginx location

location作用

location指令的作用是根据用户请求的URI来执行不同的应用。即根据用户请求的网站地址URL进行匹配,匹配成功就进行相应的操作。

语法
location的语法规则:location [=|~|~*|^~] /uri/ { … }
location匹配的变量是$uri
关于几种字符的说明

字符 描述
= 表示精准匹配
~ 表示区分大小写的正则匹配
~* 表示不区分大小写的正则匹配
^~ 表示uri以指定字符或字符串开头
/ 通用匹配,任何请求都会匹配到

规则优先级

= 高于 ^~ 高于 ~* 等于 ~ 高于 /

示例1

location = "/12.jpg" { ... }
如:
www.syushin.com/12.jpg 匹配
www.syushin.com/abc/12.jpg 不匹配

location ^~ "/abc/" { ... }
如:
www.syushin.com/abc/123.html 匹配
www.syushin.com/a/abc/123.jpg 不匹配

location ~ "png" { ... }
如:
www.syushin.com/aaa/bbb/ccc/123.png 匹配
www.syushin.com/aaa/png/123.html 匹配

location ~* "png" { ... }
如:
www.syushin.com/aaa/bbb/ccc/123.PNG 匹配
www.syushin.com/aaa/png/123.html 匹配

location /admin/ { ... }
如:
www.syushin.com/admin/aaa/1.php 匹配
www.syushin.com/123/admin/1.php 不匹配

注意:

有些资料上介绍location支持不匹配 !~如: location !~ 'png'{ ... }

这是错误的,location不支持 !~

如果有这样的需求,可以通过if(location优先级小于if )来实现,如: if ($uri !~ 'png') { ... }

访问控制

web2.0时代,很多网站都是以用户为中心,网站允许用户发布内容到服务器。由于为用户开放了上传功能,因此有很大的安全风险,比如黑客上传木马程序等等。因此,访问控制就很有必要配置了。

deny与allow

字面上很容易理解就是拒绝和允许。

Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。

语法

语法:allow/deny address | CIDR | unix: | all

它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。

注意:unix在1.5.1中新加入的功能。

在nginx中,allow和deny的规则是按顺序执行的。

示例1:

location /
{
  allow 192.168.0.0/24;
  allow 127.0.0.1;
  deny all;
}

说明:这段配置值允许192.168.0.0/24网段和127.0.0.1的请求,其他来源IP全部拒绝。

示例2:

location ~ "admin"
{
  allow 192.168.30.7;
  deny all
}

说明:访问的uri中包含admin的请求,只允许192.168.30.7这个IP的请求。

基于location的访问控制

日常上,访问控制基本是配合location来做配置的,直接例子吧。

示例1:

location /blog/
{
  deny all;
}

说明:针对/blog/目录,全部禁止访问,这里的deny all;可以改为return 403;.

示例2

location ~ ".bak|\.ht"
{
  return 403;
}

说明:访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码。

测试链接举例:

  • www.syushin.com/abc.bak
  • www.syushin.com/blog/123/.htalskdjf

如果用户输入的URL是上面其中之一都会返回403。

示例3

location ~ (data|cache|tmp|image|attachment).*\.php$
{
  deny all;
}

说明:请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的,全部禁止访问。

测试链接举例:

  • www.xxxxxx.com/aming/cache/1.php
  • www.xxxxxxx.com/image/123.phps
  • www.xxxxxx.com/aming/datas/1.php

基于$document_uri的访问控制

前面介绍了内置变量$document_uri含义是当前请求中不包含指令的URI。

如www.123.com/1.php?a=1&b=2的$document_uri就是1.php,不包含后面的参数。

我们可以针对这个变量做访问控制。

示例1

if ($document_uri ~ "/admin/")
{
  return 403;
}

说明:当请求的uri中包含/admin/时,直接返回403.

注意:if结构中不支持使用allow和deny。

测试链接:

1. www.xxxxx.com/123/admin/1.html 匹配
2. www.xxxxx.com/admin123/1.html  不匹配
3. www.xxxxx.com/admin.php  不匹配

示例2

if ($document_uri = /admin.php)
{
  return 403;
}

说明:请求的uri为/admin.php时返回403状态码。

测试链接:

1. www.xxxxx.com/admin.php # 匹配
2. www.xxxxx.com/123/admin.php # 不匹配

示例3

if ($document_uri ~ '/data/|/cache/.*\.php$')
{
  return 403;
}

说明:请求的uri包含data或者cache目录,并且是php时,返回403状态码。

测试链接:

1. www.xxxxx.com/data/123.php  # 匹配
2. www.xxxxx.com/cache1/123.php # 不匹配

基于$request_uri访问控制

$request_uri比$docuemnt_uri多了请求的参数。主要是针对请求的uri中的参数进行控制。

示例

if ($request_uri ~ "gid=\d{9,12}")
{
  return 403;
}

说明:\d{9,12}是正则表达式,表示9到12个数字,例如gid=1234567890就符号要求。

测试链接:

1. www.xxxxx.com/index.php?gid=1234567890&pid=111  匹配
2. www.xxxxx.com/gid=123  不匹配

背景知识:

曾经有一个客户的网站cc攻击,对方发起太多类似这样的请求:/read-123405150-1-1.html
实际上,这样的请求并不是正常的请求,网站会抛出一个页面,提示帖子不存在。
所以,可以直接针对这样的请求,return 403状态码。

基于$http_user_agent的访问控制(反爬虫)

user_agent可以简单理解成浏览器标识,包括一些蜘蛛爬虫都可以通过user_agent来辨识。假如观察访问日志,发现一些搜索引擎的蜘蛛对网站访问特别频繁,它们并不友好。为了减少服务器的压力,其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉。

示例

if ($user_agent ~ 'YisouSpider|MJ12bot/v1.4.2|YoudaoBot|Tomato')
{
  return 403;
}

说明:user_agent包含以上关键词的请求,全部返回403状态码。

测试:

1. curl -A "123YisouSpider1.0"
2. curl -A "MJ12bot/v1.4.1"

基于$http_referer的访问控制

$http_referer除了可以实现防盗链的功能外,还可以做一些特殊的需求。

比如:

网站被黑挂马,搜索引擎收录的网页是有问题的,当通过搜索引擎点击到网站时,却显示一个博彩网站。
由于查找木马需要时间,不能马上解决,为了不影响用户体验,可以针对此类请求做一个特殊操作。
比如,可以把从百度访问的链接直接返回404状态码,或者返回一段html代码。

示例

if ($http_referer ~ 'baidu.com')
{
  return 404;
}

或者

if ($http_referer ~ 'baidu.com')
{
  return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>";
}

Nginx参数优化

Nginx作为高性能web服务器,即使不特意调整配置参数也可以处理大量的并发请求。当然,配置调优会使Nginx性能更加强悍,配置参数需要结合服务器硬件性能等做参考。

worker进程优化

worker_processes num;

该参数表示启动几个工作进程,建议和本机CPU核数保持一致,每一核CPU处理一个进程,num表示数字。

worker_rlimit_nofile

它表示Nginx最大可用的文件描述符个数,需要配合系统的最大描述符,建议设置为102400。
还需要在系统里执行ulimit -n 102400才可以。
也可以直接修改配置文件/etc/security/limits.conf修改
增加:
#* soft nofile 655350 (去掉前面的#)
#* hard nofile 655350 (去掉前面的#)

worker_connections

该参数用来配置每个Nginx worker进程最大处理的连接数,
这个参数也决定了该Nginx服务器最多能处理多少客户端请求(worker_processes * worker_connections)
建议把该参数设置为10240,不建议太大。

http/tcp连接数优化

use epoll

使用epoll模式的事件驱动模型,该模型为Linux系统下最优方式。

multi_accept on

使每个worker进程可以同时处理多个客户端请求。

sendfile on

使用内核的FD文件传输功能,可以减少user mode和kernel mode的切换,从而提升服务器性能。

tcp_nopush on

当tcp_nopush设置为on时,会调用tcp_cork方法进行数据传输。
使用该方法会产生这样的效果:当应用程序产生数据时,
内核不会立马封装包,而是当数据量积累到一定量时才会封装,然后传输。

tcp_nodelay on

不缓存data-sends(关闭 Nagle 算法),这个能够提高高频发送小数据报文的实时性。

(关于Nagle算法)

【假如需要频繁的发送一些小包数据,比如说1个字节,以IPv4为例的话,则每个包都要附带40字节的头,
也就是说,总计41个字节的数据里,其中只有1个字节是我们需要的数据。
为了解决这个问题,出现了Nagle算法。
它规定:如果包的大小满足MSS,那么可以立即发送,否则数据会被放到缓冲区,等到已经发送的包被确认了之后才能继续发送。
通过这样的规定,可以降低网络里小包的数量,从而提升网络性能。

keepalive_timeout

定义长连接的超时时间,建议30s,太短或者太长都不一定合适,当然,最好是根据业务自身的情况来动态地调整该参数。

keepalive_requests

定义当客户端和服务端处于长连接的情况下,每个客户端最多可以请求多少次,可以设置很大,比如50000.

reset_timeout_connection on

设置为on的话,当客户端不再向服务端发送请求时,允许服务端关闭该连接。

client_body_timeout

客户端如果在该指定时间内没有加载完body数据,则断开连接,单位是秒,默认60,可以设置为10。

send_timeout

这个超时时间是发送响应的超时时间,即Nginx服务器向客户端发送了数据包,但客户端一直没有去接收这个数据包。
如果某个连接超过send_timeout定义的超时时间,那么Nginx将会关闭这个连接。单位是秒,可以设置为3。

压缩

对于纯文本的内容,Nginx是可以使用gzip压缩的。使用压缩技术可以减少对带宽的消耗。

由ngx_http_gzip_module模块支持

配置如下:

gzip on; //开启gzip功能
gzip_min_length 1024; //设置请求资源超过该数值才进行压缩,单位字节
gzip_buffers 16 8k; //设置压缩使用的buffer大小,第一个数字为数量,第二个为每个buffer的大小
gzip_comp_level 6; //设置压缩级别,范围1-9,9压缩级别最高,也最耗费CPU资源
gzip_types text/plain application/x-javascript text/css application/xml image/jpeg image/gif image/png; //指定哪些类型的文件需要压缩
gzip_disable "MSIE 6\."; //IE6浏览器不启用压缩

测试:

curl -I -H "Accept-Encoding: gzip, deflate" http://www.xxxxx.com/1.css

日志

  • 错误日志级别调高,比如crit级别,尽量少记录无关紧要的日志。
  • 对于访问日志,如果不要求记录日志,可以关闭,
  • 静态资源的访问日志关闭

静态文件过期

对于静态文件,需要设置一个过期时间,这样可以让这些资源缓存到客户端浏览器,
在缓存未失效前,客户端不再向服务期请求相同的资源,从而节省带宽和资源消耗。

配置示例如下:

location ~* ^.+\.(gif|jpg|png|css|js)$
{
  expires 1d; //1d表示1天,也可以用24h表示一天。
}

访问控制和参数调优只记录其中一些部分,有些可能会在工作中用到,SSL的配置后续再作笔记吧,春招笔试好难呀,努力学习吧...

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • 详解Django+uwsgi+Nginx上线最佳实战

    什么是uwsgi? uWSGI是一个Web服务器,它实现了WSGI协议.uwsgi.http等协议.Nginx中HttpUwsgiModule的作用是与uWSGI服务器进行交换.WSGI是一种Web服务器网关接口.它是一个Web服务器(如nginx,uWSGI等服务器)与web应用(如用Flask框架写的程序)通信的一种规范. WSGI是一种通信协议. uwsgi是一种线路协议而不是通信协议,在此常用于在uWSGI服务器与其他网络服务器的数据通信.uwsgi协议是一个uWSGI服务器自有的协议,

  • 利用PHP如何统计Nginx日志的User Agent数据

    前言 即将用到爬虫,于是打算收集一下User Agent(UA)数据.接着马上想到自己网站的访问日志不就是现成的优质数据源吗?于是愉快的决定写个脚本统计一下Nginx访问日志中的UA信息. 这类简单操作,用脚本语言就足够,毫无疑问肯定要用最熟悉的PHP.打开vim就开撸,十几分钟下来,功能简单的统计脚本就搞定了. 脚本目前有三个功能: 1. 找出所有的UA信息并排序: 2. 统计操作系统数据: 3. 统计浏览器数据. 程序运行截图如下: 1.UA信息 2.操作系统信息 3.浏览器 用脚本统计最近

  • Nginx反向代理与负载均衡实战篇

    反向代理 反向代理指的是以代理服务器接收用户的的访问请求,代理用户向内部服务器重新发起请求,最后把内部服务器的响应信息返回给用户.这样,代理服务器对外就表现为一台服务器,而访问内部服务器的客户端用的就是代理服务器,而不是真实网站访问用户. 为什么使用反向代理 可以起到保护网站安全的作用,因为任何来自Internet的请求都必须先经过代理服务器. 通过缓存静态资源,加速Web请求. 实现负载均衡 反向代理例子 环境说明 假如有AB两个服务器.A服务器提供web资源,并且只给内网访问.B服务器有两块

  • Nginx开启一个参数就能让你的WEB性能提升3倍的方法

    一.遇到的一些问题 记得 2008 年做性能测试的时候,新进7台 lenovo 4核4G 服务器用于性能测试. 当时资源紧张,这7台服务器都装了双系统(Win2003/CentOS5)空闲时用于做测试机(压测的Agent). 当时给Nginx做了一系列测试,印象很深的是:在这批机器上,Nginx状态页面的压测. 短连接的话最佳QPS约4万,长连接的话最高QPS约13万. 大概3年后,那批 lenovo 服务器已经没人瞧得上了,只能做肉鸡. 然而,一次不经意的测试,发现再牛的服务器,短连接最佳QP

  • Nginx服务器屏蔽与禁止屏蔽网络爬虫的方法

    每个网站通常都会遇到很多非搜索引擎的爬虫,这些爬虫大部分都是用于内容采集或是初学者所写,它们和搜索引擎的爬虫不一样,没有频率控制,往往会消耗大量服务器资源,导致带宽白白浪费了. 其实Nginx可以非常容易地根据User-Agent过滤请求,我们只需要在需要URL入口位置通过一个简单的正则表达式就可以过滤不符合要求的爬虫请求: location / { if ($http_user_agent ~* "python|curl|java|wget|httpclient|okhttp") {

  • 使用nginx同域名下部署多个vue项目并使用反向代理的方法

    效果 目前有 2 个项目(project1, project2),还有一个 nginx 自带的 index.html,我添加了对应的链接代码(稍后粘贴出来),为了统一管理子项目的路由. 我期望实现下面的效果(假设 ip: localhost,port: 8080): http://localhost:8080/ 进入最外层的 index.html http://localhost:8080/project1 进入项目一 http://localhost:8080/project2 进入项目二 废

  • 深入理解Nginx中Server和Location的匹配逻辑

    Server的匹配逻辑 Nginx在决定请求由哪个server块执行时,主要关注的是server块中的listen和server_name两个字段 listen指令 listen字段定义server响应的ip和端口,如果没有明确配置listen字段,默认监听0.0.0.0:80(root)或者0.0.0.0:8080(非root) listen可以被配置为: 一个ip和端口的组合 一个单独的ip,默认监听80端口 一个单独的端口,默认监听所有的ip接口 一个Unix socket路径 其中最后一

  • nginx 与后台端口冲突的解决

    问题: 在起alice管理系统的开发环境的时候,发现后台所有的接口在第一次请求的时候全部产生404错误,但第二次请求成功 定位问题 查看nginx 报错日志发现如下报错,因此错误的认为错误发生在html的文件夹权限不够导致的文件无法写入,于是开放权限之后发现还是不行,在Google一番查找还是没找到解决方案.暂时搁置,第二天重新找错时,无意的点开8081端口,当你访问localhost:8081与127.0.0.1:8081的内容竟然不同. 当时发觉是不是端口冲突了,于是打开文件下面是nginx

  • Python实现监控Nginx配置文件的不同并发送邮件报警功能示例

    本文实例讲述了Python实现监控Nginx配置文件的不同并发送邮件报警功能.分享给大家供大家参考,具体如下: 因为项目中经常涉及到多个Nginx之间的配置文件更改,可能回导致最后Nginx之间的配置文件有所不同,这样会对项目产生影响,最典型的就是可能当访问域名解析到其中一台Nginx的时候,可能是正常的,当域名解析到另外一台Nginx的时候,由于配置文件的不同,导致访问出错之类的,影响体验,所以用python写了一个监控配置文件不同的脚本,如果发现不同,就报警,并且以HTML的形式发送邮件指出

  • CentOS7将Nginx添加系统服务的方法步骤

    导语 经过编译安装以及解决问题,Nginx 已经运行正常,但是此时 Nginx 并没有添加进系统服务.接下来会将 Nginx 添加进系统服务并且设置开机启动. 查看服务 首先查看 Nginx 的服务状态,输入 systemctl status nginx,结果如下 没有找到相关的服务,下一步就是添加系统服务. 添加系统服务 在 /usr/lib/systemd/system 目录中添加 nginx.service,根据实际情况进行修改,详细解析可查看下方参考资料中的文章.内容如下 [Unit]

随机推荐