注:以下所有操作均在CentOS 6.5 x86_64位系统下完成。
#准备工作#
在安装Nginx之前,请确保已经使用yum安装了pcre等基础组件,具体见《CentOS安装LNMP环境的基础组件》。
然后创建www的用户组和用户,并且不允许登录权限:
# id www
id: www:无此用户
# groupadd www
# useradd -g www -s /sbin/nologin www
# id www
uid=(www) gid=(www) 组=(www)
#Nginx的安装#
开始下载Nginx并进行编译安装:
# cd /usr/local/src
# wget http://nginx.org/download/nginx-1.6.2.tar.gz
# tar zxf nginx-1.6..tar.gz
# cd nginx-1.6.
# ./configure --prefix=/usr/local/nginx-1.6. --group=www --user=www --with-http_ssl_module --with-pcre --with-http_stub_status_module --with-http_gzip_static_module Configuration summary
+ using system PCRE library
+ using system OpenSSL library
+ md5: using OpenSSL library
+ sha1: using OpenSSL library
+ using system zlib library nginx path prefix: "/usr/local/nginx-1.6.2"
nginx binary file: "/usr/local/nginx-1.6.2/sbin/nginx"
nginx configuration prefix: "/usr/local/nginx-1.6.2/conf"
nginx configuration file: "/usr/local/nginx-1.6.2/conf/nginx.conf"
nginx pid file: "/usr/local/nginx-1.6.2/logs/nginx.pid"
nginx error log file: "/usr/local/nginx-1.6.2/logs/error.log"
nginx http access log file: "/usr/local/nginx-1.6.2/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp" # make && make install
# ln -s /usr/local/nginx-1.6./ /usr/local/nginx
# chown -R www:www /usr/local/nginx
# chown -R www:www /usr/local/nginx-1.6.
把Nginx的sbin目录加入PATH:
# vim /etc/profile export PATH=$PATH:/usr/local/mysql/bin:$JAVA_HOME/bin:/usr/local/nginx/sbin # source /etc/profile
查看Nginx的版本信息,并且检验上一步骤是否成功:
# nginx -V
nginx version: nginx/1.6.
built by gcc 4.4. (Red Hat 4.4.-) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx-1.6. --group=www --user=www --with-http_ssl_module --with-pcre --with-http_stub_status_module
至此,Nginx已经安装完毕。
#Nginx的启动/重启/关闭#
给Nginx的webapp配置相关路径(这里是为了后面运维管理方便,可以把不同的Web项目放到该目录下):
# mkdir -p /data/www
简单修改下配置文件:
# vim /usr/local/nginx/conf/nginx.conf user www;
worker_processes ;
events {
worker_connections ;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout ;
gzip on;
server {
listen ;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
}
}
开始启动Nginx:
# nginx
这个时候打开浏览器访问地址http://youripaddress应该可以看到:
至此,Nginx已经启动成功。
一般来说,当修改了nginx.conf配置文件后,可以直接重启让配置生效,重启之前一般检测下配置文件是否正确:
# nginx -t
nginx: the configuration file /usr/local/nginx-1.6./conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx-1.6./conf/nginx.conf test is successful
# nginx -s reload
另外,重启也可以通过发信号的方式:
# kill -HUP ${master_pid}
关闭的命令如下:
# nginx -s quit
# nginx -s stop
注:quit表示等请求结束后再关闭,stop表示立刻关闭。
也可以通过发信号的方式来关闭:
# kill -QUIT ${nginx_master}
# kill -TERM ${nginx_master}
# kill - ${nginx_master}
注:-QUIT表示从容停止,等所有请求结束后再关闭进程;TERM则表示立刻关闭进程;-9表示强制关闭。
为了以后管理上的方便, 我们这里写个启动脚本,以后就可以用service命令来启动,如下:
# vim /etc/init.d/nginxd #!/bin/sh
# chkconfig:
# description:Nginx Server NGINX_HOME=/usr/local/nginx-1.6.
NGINX_SBIN=$NGINX_HOME/sbin/nginx
NGINX_CONF=$NGINX_HOME/conf/nginx.conf
NGINX_PID=$NGINX_HOME/logs/nginx.pid NGINX_NAME="Nginx" . /etc/rc.d/init.d/functions if [ ! -f $NGINX_SBIN ]
then
echo "$NGINX_NAME startup: $NGINX_SBIN not exists! "
exit
fi start() {
$NGINX_SBIN -c $NGINX_CONF
ret=$?
if [ $ret -eq ]; then
action $"Starting $NGINX_NAME: " /bin/true
else
action $"Starting $NGINX_NAME: " /bin/false
fi
} stop() {
kill `cat $NGINX_PID`
ret=$?
if [ $ret -eq ]; then
action $"Stopping $NGINX_NAME: " /bin/true
else
action $"Stopping $NGINX_NAME: " /bin/false
fi
} restart() {
stop
start
} check() {
$NGINX_SBIN -c $NGINX_CONF -t
} reload() {
kill -HUP `cat $NGINX_PID` && echo "reload success!"
} relog() {
kill -USR1 `cat $NGINX_PID` && echo "relog success!"
} case "$1" in
start)
start
;;
stop)
stop
;;
restart)
restart
;;
check|chk)
check
;;
status)
status -p $NGINX_PID
;;
reload)
reload
;;
relog)
relog
;;
*)
echo $"Usage: $0 {start|stop|restart|reload|status|check|relog}"
exit
esac # chmod +x /etc/init.d/nginxd
# chkconfig nginxd on
这样子就可以通过service来启动:
# service nginxd start
#Nginx的安全配置#
1、 首先设置不允许目录浏览,默认配置即为不允许。
autoindex off
2、开启访问日志,nginx中默认已开启,这里我们后续为了运维管理上的方便最好把日志单独放到/data目录下。
access_log /data/www/logs/localhost.access.log
3、确保目录的安全,由于Nginx使用的是www用户启动,黑客入侵服务器成功后将获得www用户的权限,所以需要确保网站Web目录和文件的属主与启动用户不同,防止网站被黑客恶意篡改和删除。网站Web目录和文件的属主可以设置为root,其中Web目录权限统一设置为755,Web文件权限统一设置为644。只有上传目录等可读写权限的目录可以被设置为777,为了防止黑客上传木马到777权限目录中,还必须保证该777权限的目录没有执行脚本的权限。这里有两种情况处理:
1)对于使用PHP的业务,配置如下:
location ~* ^/data/www/logs/.*\.(php|php5)$ {
deny all;
}
注:当然最安全的还是给PHP的可执行目录采用白名单的方式,这个我们在PHP的安装一节中再详细介绍。
2)对于非使用PHP的业务(如python、cgi等),则需要禁止外部访问777目录,配置如下:
location ~ ^/data/www/logs/ {
deny all;
}
4、对于管理目录,需要限制访问的IP地址,比如这里限制访问nginx状态的:
server {
location /nginx-admin {
stub_status on;
access_log logs/nginx-admin.log;
allow 11.12.23.0/;
deny all;
}
location /admin {
...
}
}
注:上面配置的11.12.23.0/24指的就是当前运维客户端的IP地址段。
在允许IP的机器上输入地址应该可以看到:
而不允许的用户访问应该是不可以的,会显示403错误,比如:
5、把Nginx默认的首页等页面删除,使用业务自己的首页来顶替。
6、不允许IP直接访问服务器,这样的好处是怕当IP地址泄漏出去之后,被人用别的域名来指向了这个IP地址,可以设置让其返回500等错误码。比如:
server {
listen default;
return ;
}
server {
listen ;
server_name www.tencent.com tencent.com;
root /data/www/tencent;
access_log /data/logs/nginx/tencent.access.log;
error_log /data/logs/nginx/tencent.error.log;
}
注:上面的配置表示当使用IP地址直接访问时将出错,而使用域名访问时(比如请求tencent.com则正常)。
#Nginx的性能配置#
1、使用epoll的I/O模型,一般为默认。
use epoll;
2、 配置Nginx的进程数,一般根据CPU的数目来设置,比如双核的可以配置为2或4。
work_processes 4;
3、配置每个进程允许的最大连接数,理论上每台Nginx服务器的最大连接数为work_processes*worker_connections,需要根据当前服务器配置进行设置。
worker_connections ;
4、配置Nginx进程打开的最多文件描述符数目,最好与系统的ulimit -n保持一致。
worker_rlimit_nofile ;
5、配置keepalive超时时间,默认以秒为单位。
keepalive_timeout ;
6、配置客户端请求头部的缓冲区大小,这个可以根据系统分页大小来设置,分页大小可以用命令getconf PAGESIZE来获取。
client_header_buffer_size 4k;
7、配置为打开文件指定缓存(默认没有启用),建议和打开文件数一致,并且为其指定缓存过期时间。
open_file_cache max= inactive=20s;
8、配置缓存的有效信息检查时间间隔。
open_file_cache_valid 30s;
9、配置在缓存过期时间内文件的最少使用次数,如果低于这个次数则将缓存移除。
open_file_cache_min_uses ;
CentOS安装Nginx-1.6.2+安全配置的更多相关文章
-
centos 安装 nginx 及配置 的坑
centos 安装 nginx 教程 1.创建/etc/yum.repos.d/nginx. centos 安装 nginx 教程 1.创建/etc/yum.repos.d/nginx.repo to ...
-
centos安装nginx(针对一哥们的博客进行的详细补充(用红色字体标出了补充部分))
centos安装nginx 原文地址:http://www.cnblogs.com/leechenxiang/p/5402960.html 一.什么是nginx 是一个C语言开发的HTTP反向代理服务 ...
-
centos 安装nginx
centos 安装nginx 安装依赖 更换源 yum install http://mirrors.163.com/centos/6.8/extras/x86_64/Packages/epel-re ...
-
CentOS安装Nginx Pre-Built
CentOS安装Nginx Pre-Built比较简单,具体可参见:http://nginx.org/en/linux_packages.html#stable. 本文列出详细步骤,已做备份: cat ...
-
安装Nginx+Lua+OpenResty开发环境配置全过程实例
安装Nginx+Lua+OpenResty开发环境配置全过程实例 OpenResty由Nginx核心加很多第三方模块组成,默认集成了Lua开发环境,使得Nginx可以作为一个Web Server使用. ...
-
centos安装nginx和配置
安装所需环境 Nginx 是 C语言 开发,建议在 Linux 上运行,当然,也可以安装 Windows 版本,本篇则使用 CentOS 7 作为安装环境. 一. gcc 安装安装 nginx 需要先 ...
-
CentOS安装Nginx,并配置nodejs反向代理
安装介绍 安装位置:/usr/local/nginx nginx安装包下载地址:http://nginx.org/download/nginx-1.7.11.tar.gz 安装依赖软件 安装nginx ...
-
centos安装nginx并配置SSL证书
安装nginx的命令 sudo yum install epel-release sudo yum install nginx 让nginx随系统启动而启动 sudo systemctl enable ...
-
[Linux] - CentOS 安装nginx
linux版本:CentOS 6.0+ 安装nginx方法: 1.下载nginx rpm包命令: wget http://nginx.org/packages/centos/6/noarch/RPMS ...
-
[转]linux CentOS 安装 Nginx
网上找的教程,一路走下来的,原文如下: 一.安装nginx 1.在nginx官方网站下载一个包,下载地址是:http://nginx.org/en/download.html 2.Wi ...
随机推荐
-
oc 正则图片<;img />; 标签
-(NSString *)getImageAttributeValue:(NSString *)content attributeKey:(NSString *)key { NSString *reg ...
-
python之路之正则表达式
匹配格式^ 匹配字符串的开头$ 匹配字符串的结尾. 除了换行符外的所有字符[...] 用来表示一组字符,,单独列出:[amk]匹配'a','m'或'k'[^..] 不在[]中的字符:[^abc]匹配除 ...
-
HttpHandler与HttpModule及实现文件下载
HttpHandler:处理请求(Request)的信息和发送响应(Response).HttpModule:通过Http Module向Http请求输出流中写入文字,httpmodule先执行 它们 ...
-
Jquery 图片轮播实现原理总结
Jquery 图片轮播实现原理总结 以前要做图片轮播效果的时候,总是在网上找一段jquery的复制粘贴进去,只索取不奉献,今个就把我对这个的实现原理讲解一下. 首先说下,我在网上找的例子全是用的UL ...
-
Python爬虫利器四之PhantomJS的用法
前言 大家有没有发现之前我们写的爬虫都有一个共性,就是只能爬取单纯的html代码,如果页面是JS渲染的该怎么办呢?如果我们单纯去分析一个个后台的请求,手动去摸索JS渲染的到的一些结果,那简直没天理了. ...
-
2017 百度杯丶二月场第一周WP
1.祸起北荒 题目: 亿万年前 天子之子华夜,被父神之神末渊上神告知六荒十海之北荒西二旗即将发生一场"百度杯"的诸神之战 他作为天族的太子必须参与到此次诸神之战定六荒十海 华夜临危 ...
-
纯css实现轮播(渐变式 less语法)
下载:https://pan.baidu.com/s/181GkM0EdM5NSqnUcecMS4Q 预览
-
Im4java 操作 ImageMagick 处理图片
背景 之前用的是JMagick,各种限制各种坑,直到使用了Im4java,真是相当的好用啊. 项目描述 ImageMagic的安装可参考:图片处理软件 ImageMagick 的安装和使用 Im4ja ...
-
[国家集训队]middle 解题报告
[国家集训队]middle 主席树的想法感觉挺妙的,但是这题数据范围这么小,直接分块草过去不就好了吗 二分是要二分的,把\(<x\)置\(-1\),\(\ge x\)的置\(1\),于是我们需要 ...
-
Java创建文件和文件夹
java代码: import java.io.*;//导入所需的包public class IOTest {//类 public static void main(String[] args){//主 ...