京峰jf2117-day10課程筆記-nginx服務(wù)器模塊1

1、熱部署(方案一)：1. 查看原編譯參數(shù)：2. 預(yù)編譯/編譯/安裝：3. 直接升級(jí)：熱部署(方案二)：1. 查看原編譯參數(shù)：2. 預(yù)編譯/編譯/安裝：3. 生成新的master進(jìn)程:4. 優(yōu)雅退出老worker進(jìn)程：kill -USR2 cat /usr/local/nginx/logs/nginx.pidrootnode3 nginx-1.16.0# ps -ef |grep nginxroot805410 21:07 ?00:00:00 nginx: master process/usr/local/nginx/sbin/nginxnginx809780540 21:09 ?00:00:00

2、 nginx: worker processnginx809880540 21:09 ?00:00:00 nginx: worker processroot813480540 21:13 ?00:00:00 nginx: master process/usr/local/nginx/sbin/nginxnginx813581340 21:13 ?00:00:00 nginx: worker processnginx813681340 21:13 ?00:00:00 nginx: worker process./configure -prefix=/usr/local/nginx make &

3、make install#升級(jí)一般是添加新的模塊，或者升級(jí)版本，所以要參考以前編譯的模塊，如果不添加，那么以前的模塊就不能使用了 rootnode3 # /usr/local/nginx/sbin/nginx -Vmake upgrade./configure -prefix=/usr/local/nginx make & make install#升級(jí)一般是添加新的模塊，或者升級(jí)版本，所以要參考以前編譯的模塊，如果不添加，那么以前的模塊就不能使用了 rootnode3 # /usr/local/nginx/sbin/nginx -V5. 抉擇：5.1 回滾：5.1.1 重新拉起老的worke

4、r進(jìn)程：5.1.2 退出新的master進(jìn)程：5.2 新生：常用模塊：1. access模塊：訪問控制模塊 ，該模塊可以實(shí)現(xiàn)簡(jiǎn)單的默認(rèn)編譯進(jìn)nginx的二進(jìn)制文件中。功能，過濾特定的主機(jī)。這個(gè)模塊在我們編譯nginx時(shí)會(huì)# 經(jīng)過一段時(shí)間測(cè)試，服務(wù)器沒問題，退出老的master:rootnode3 nginx-1.16.0# kill -QUIT 8054 rootnode3 nginx-1.16.0# ps -ef |grep nginxroot813410 21:24 ?00:00:00 nginx: master process/usr/local/nginx/sbin/nginxngin

5、x813581340 21:24 ?00:00:00 nginx: worker processnginx813681340 21:24 ?00:00:00 nginx: worker processrootnode3 nginx-1.16.0# kill -QUIT cat /usr/local/nginx/logs/nginx.pid rootnode3 nginx-1.16.0# ps -ef |grep nginxroot805410 21:07 ?00:00:00 nginx: master process/usr/local/nginx/sbin/nginxnginx8154805

6、40 21:19 ?00:00:00 nginx: worker processnginx815580540 21:19 ?00:00:00 nginx: worker processrootnode3 nginx-1.16.0# kill -HUP 8054 rootnode3 nginx-1.16.0# ps -ef |grep nginxroot805410 21:07 ?00:00:00 nginx: master process/usr/local/nginx/sbin/nginxroot813480540 21:13 ?00:00:00 nginx: master process/

7、usr/local/nginx/sbin/nginxnginx813581340 21:16 ?00:00:00 nginx: worker processnginx813681340 21:16 ?00:00:00 nginx: worker processnginx815480541 21:19 ?00:00:00 nginx: worker processnginx815580541 21:19 ?00:00:00 nginx: worker process# 向老的master進(jìn)程發(fā)信號(hào)： rootnode3 nginx-1.16.0# kill -WINCH 8054 rootnod

8、e3 nginx-1.16.0# ps -ef |grep nginxroot805410 21:07 ?00:00:00 nginx: master process/usr/local/nginx/sbin/nginxroot813480540 21:13 ?00:00:00 nginx: master process/usr/local/nginx/sbin/nginxnginx813581340 21:16 ?00:00:00 nginx: worker processnginx813681340 21:16 ?00:00:00 nginx: worker process1.1 語法:S

9、yntax: allow address | CIDR | unix: | all;Default:Context:http, server, location, limit_exceptSyntax: deny address | CIDR | unix: | all;Default:Context:http, server, location, limit_exceptallow: 允許訪問的IP或者網(wǎng)段。deny: 拒絕訪問的ip或者網(wǎng)段。從語法上看，它允許配置在http指令塊中，server指令塊中還有l(wèi)ocatio指令塊中，這三者的作用域有所 不同。如果配置在http指令段中，將對(duì)所

10、有server(虛擬主機(jī))生效； 配置在server指令段中，對(duì)當(dāng)前虛擬主機(jī)生效；配置在location指令塊中，對(duì)匹配到的目錄生效。ps:如果server指令塊，location指令塊沒有配置限制指令，那么將會(huì)繼承http的限制指令，但是一旦配 置了會(huì)覆蓋http的限制指令?；蛘哒f作用域小的配置會(huì)覆蓋作用域大的配置。1.2 http指令塊配置：1.2.1 對(duì)單ip進(jìn)行限制：在http指令塊下配置單ip限制；http includemime.types;default_type application/octet-stream; # 限制35這個(gè)ip訪問 deny 19

11、35;.ps: 配置完記得重載配置文件。/usr/local/nginx/sbin/nginx -s reload在自己服務(wù)問：在35機(jī)器問：rootlocalhost # curl -I 30 HTTP/1.1 200 OKServer: nginx/1.16.0Date: Mon, 22 Jul 2019 02:24:19 GMTContent-Type: text/htmlrootlocalhost # curl -I 30 HTTP/1.1 403 ForbiddenServer: nginx/

12、1.16.0可以看到只對(duì)135這個(gè)ip生效了，如果有配置虛擬主機(jī)，那么這個(gè)ip將都不能訪問。1.2.2 對(duì)網(wǎng)段進(jìn)行限制：如果想讓整個(gè)網(wǎng)段都不能訪問，只需要將這個(gè)ip改為網(wǎng)段即可。在自己服務(wù)器問；rootlocalhost # curl -I 30 HTTP/1.1 403 ForbiddenServer: nginx/1.16.0在35機(jī)器問：可以看到都不能訪問了，對(duì)整個(gè)網(wǎng)段的限制已生效。1.3 server指令塊配置：配置方法都是一樣的，只是作用范圍不同。1.3.1 對(duì)單ip進(jìn)行限制：在自己服務(wù)器問：rootlocalhost # curl -

13、I 30 HTTP/1.1 200 OKServer: nginx/1.16.0Date: Mon, 22 Jul 2019 02:45:06 GMT在35機(jī)器問：限制網(wǎng)段同上。rootlocalhost # curl -I 30 HTTP/1.1 403 ForbiddenServer: nginx/1.16.0server listen80; server_name localhost; deny 35;.http includemime.types; default_type applicat

14、ion/octet-stream; # 將ip改為網(wǎng)段 deny /24;.1.4 location指令塊配置：在location指令塊配置訪問控制。這種配置是最多的，因?yàn)橛袝r(shí)候我們要限制用戶對(duì)某些文件或者目錄的訪問，這些文件通常是比較重要 的或者私密的。location /secret deny 35;創(chuàng)建目錄以及測(cè)試文件： rootlocalhost # mkdir -p /usr/local/nginx/html/secret rootlocalhost # echo this is secret /usr/local/nginx/html

15、/secret/index.html在本機(jī)訪問：在35問：1.5 白設(shè)置：通過指定限制某個(gè)IP或者網(wǎng)段，這些形式是黑式的。但如果想某些服務(wù)或者文件只針對(duì)于某些IP或者網(wǎng)段（通常是內(nèi)網(wǎng)）開放，那么可以使用白 拒絕，指定的放行。實(shí)例：，默認(rèn)在本機(jī)訪問：在35問：可以看到，現(xiàn)在只有自己可以訪問了，其他都被拒絕了。2. auth_basic模塊：用戶認(rèn)證模塊，對(duì)訪問目錄進(jìn)行加密，需要用戶權(quán)限認(rèn)證：這個(gè)功能特性是由ngx_http_auth_basic_module提供的，默認(rèn)編譯nginx時(shí)會(huì)編譯好，主要有以下兩個(gè) 指令。rootlocalhost #

16、/usr/local/nginx/sbin/nginx -s reload rootlocalhost # curl 30/secret/index.html this is secretlocation /secret allow 30;deny all;rootlocalhost # curl 30/secret/index.html this is secret2.1 語法：Syntax: auth_basic string | off; Default:auth_basic off;Context:http, se

17、rver, location, limit_exceptSyntax: auth_basic_user_file file;Default:Context:http, server, location, limit_except認(rèn)證的配置可以在http指令塊，server指令塊，location指令塊配置。auth_basic string ：定義認(rèn)證的字符串，會(huì)通過響應(yīng)報(bào)文返給客戶端，也可以通過這個(gè)指令關(guān)閉認(rèn)證。auth_basic_user_le le ：定義認(rèn)證文件。2.2 對(duì)指定目錄加密：2.2.1 生成認(rèn)證文件：yuminstall httpd-tools -yhtpasswd -c

18、 /usr/local/nginx/conf/auth.passwd admin輸入兩次確定。 2.2.2 重啟服務(wù)后，訪問驗(yàn)證：現(xiàn)在當(dāng)我們?cè)L問img目錄時(shí)，需要輸入用戶名及。它不僅可以設(shè)置訪問指定目錄時(shí)認(rèn)證，還可以直接在訪問首頁(yè)時(shí)認(rèn)證。如果需要關(guān)閉可以使用auth_basic o;或者直接將這兩段注釋掉。2.2.3 htpasswd命令工具：htpasswd(選項(xiàng))(參數(shù))選項(xiàng) -c：創(chuàng)建一個(gè)加密文件； -m：默認(rèn)采用MD5算法對(duì)進(jìn)行加密； -d：采用CRYPT算法對(duì)進(jìn)行加密； -p：不對(duì)進(jìn)行進(jìn)行加密，即明文； -s：采用SHA算法對(duì)進(jìn)行加密； -b：在命令行中一并輸入用戶名和而不是根據(jù)提示

19、輸入； -D：刪除指定的用戶。 auth_basic 設(shè)置名字 auth_basic_user_file 用戶認(rèn)證文件放置路徑 # 對(duì)匹配目錄加密： location /img auth_basic User Auth;auth_basic_user_file /usr/local/nginx/conf/auth.passwd;添加用戶名及： htpasswd -b /usr/local/nginx/conf/auth.passwd lutixia lutixia666更新： htpasswd -D/usr/local/nginx/conf/auth.passwdhtpasswd -b/usr

20、/local/nginx/conf/auth.passwdlutixialutixia lutixia7772.3 對(duì)首頁(yè)加密：3. stub_status 模塊：狀態(tài)查看模塊 ，該模塊可以 輸出nginx的基本狀態(tài)信息 。3.1 語法：Syntax: stub_status;Default:Context:server, location3.2 配置：location= /status stub_status;allowdeny30;all;Active connections:當(dāng)前狀態(tài)，活動(dòng)狀態(tài)的連接數(shù)accepts：統(tǒng)計(jì)總值，已經(jīng)接受的客戶端請(qǐng)求的總數(shù)handle

21、d：統(tǒng)計(jì)總值，已經(jīng)處理完成的客戶端請(qǐng)求的總數(shù)requests：統(tǒng)計(jì)總值，客戶端發(fā)來的總的請(qǐng)求數(shù) Reading：當(dāng)前狀態(tài)，正在讀取客戶端請(qǐng)求報(bào)文首部的連接的連接數(shù)Writing：當(dāng)前狀態(tài)，正在向客戶端發(fā)送響應(yīng)報(bào)文過程中的連接數(shù)Waiting：當(dāng)前狀態(tài)，正在等待客戶端發(fā)出請(qǐng)求的空閑連接數(shù) 4. log模塊：日志模塊，定義客戶端請(qǐng)求資源格式。4.1 語法：Syntax: log_format name escape=default|json|none string .; Default:log_format combined .; Context:http# 對(duì)匹配目錄加密： location /

22、 auth_basic User Auth;auth_basic_user_file /usr/local/nginx/conf/auth.passwd;log_format只能在http指令塊中定義，access_log可以在多個(gè)地方定義。4.2 設(shè)置日志壓縮：4.3 設(shè)置json格式：5. referer 模塊：該模塊可以進(jìn)行防盜鏈設(shè)置。盜鏈的含義是網(wǎng)站內(nèi)容本身不在自己公司的服務(wù)器上，而通過技術(shù)手段，直接在調(diào)用其他公司的服務(wù)器 網(wǎng)站數(shù)據(jù)，而向最終用戶提供此內(nèi)容。5.2 語法：Syntax: valid_referers none | blocked | server_names | str

23、ing .;Default:Context:server, location5.3 配置防盜鏈：在130服務(wù)器上配置nginx防盜鏈：log_format json timestamp:$time_iso8601,status:$status, client_ip:$remote_addr, method:$request_method, size:$body_bytes_sent, upstreamhost:$upstream_addr, http_host:$host, request_uri:$request_uri, xff:$http_x_forwarded_for, referrer:$http_referer, agent:$http_user_agent;# 設(shè)置