您的位置:首页 > 运维架构 > Nginx

LNMP(nginx防盗链,访问控制,解析php相关配置,Nginx代理,常见502问题)

2018-01-09 19:12 726 查看
一、nginx防盗链nginx防盗链:[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/test.com.conf 添加以下内容location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)${ expires 7d; valid_referers none blocked server_names *.test.com ; 设置白名单,只有从test.com跳来的网址才可以访问 if ($invalid_referer) { return 403; 如果不是,则返回403错误码 } access_log off;}
检测语法错误并且重新加载配置文件:[root@lnmp ~]# /usr/local/nginx/sbin/nginx -tnginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is oknginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful[root@lnmp ~]# /usr/local/nginx/sbin/nginx -s reload
测试:(百度跳过来的显示403,test正常返回值)[root@lnmp ~]# curl -e "http://www.baidu.com/1.txt" -x127.0.0.1:80 test.com/1.gif <html><head><title>403 Forbidden</title></head><body bgcolor="white"><center><h1>403 Forbidden</h1></center><hr><center>nginx/1.8.0</center></body></html>
[root@lnmp ~]# curl -e "http://www.test.com/1.txt" -x127.0.0.1:80 test.com/1.gif dasdasdafasdfaf
二、Nginx访问控制
nginx防盗链:[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/test.com.conf 添加以下内容location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)${ expires 7d; valid_referers none blocked server_names *.test.com ; 设置白名单,只有从test.com跳来的网址才可以访问 if ($invalid_referer) { return 403; 如果不是,则返回403错误码 } access_log off;}
检测语法错误并且重新加载配置文件:[root@lnmp ~]# /usr/local/nginx/sbin/nginx -tnginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is oknginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful[root@lnmp ~]# /usr/local/nginx/sbin/nginx -s reload
测试:(百度跳过来的显示403,test正常返回值)[root@lnmp ~]# curl -e "http://www.baidu.com/1.txt" -x127.0.0.1:80 test.com/1.gif <html><head><title>403 Forbidden</title></head><body bgcolor="white"><center><h1>403 Forbidden</h1></center><hr><center>nginx/1.8.0</center></body></html>
[root@lnmp ~]# curl -e "http://www.test.com/1.txt" -x127.0.0.1:80 test.com/1.gif dasdasdafasdfaf

三、Nginx解析php相关配置
[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/test.com.conf (配置虚拟主机配置文件)
cation ~ \.php$ { include fastcgi_params; fastcgi_pass unix:/tmp/php-fcgi.sock; (用来监听php-fpm的地址或者socket,这里怎么写取决于/usr/local/php-fpm/etc/php-fpm.conf里的listen怎么写,如果不一样,则curl会报502错误,) fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name; }
这里可以对比一下php-ftm的配置文件。[root@lnmp ~]# vim /usr/local/php-fpm/etc/php-fpm.conf
[global]pid = /usr/local/php-fpm/var/run/php-fpm.piderror_log = /usr/local/php-fpm/var/log/php-fpm.log[www]listen = /tmp/php-fcgi.sock (这里也可以写成监听端口,例如)#listen = 127.0.0.1:9000 (如果这里写成端口,则虚拟配置文件里也要写成:fastcgi_pass 127.0.0.1:9000)listen.mode = 666 (定义php-fcgi.sock的权限,必须是666,否则nginx解析不了)user = php-fpmgroup = php-fpmpm = dynamicpm.max_children = 50pm.start_servers = 20pm.min_spare_servers = 5pm.max_spare_servers = 35pm.max_requests = 500rlimit_files = 1024
检查语法错误并且重新加载配置文件:[root@lnmp ~]# /usr/local/nginx/sbin/nginx -tnginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is oknginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful[root@lnmp ~]# /usr/local/nginx/sbin/nginx -s reload检测:[root@lnmp ~]# curl -x127.0.0.1:80 test.com/1.php出现的就是phpinfo()函数的界面
四、Nginx代理


场景:如果要从国内访问美国的服务器会很慢,这时候就可以找个香港服务器做代理,香港访问美国是很快的。代理服务器作为用户和web服务器的代理者。
配置:(因为是代理服务器,不用访问本机的配置文件)
[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/proxy.conf
server{ listen 80; server_name ask.apelearn.com; 定义域名
location / { proxy_pass http://121.201.9.155/; 告诉nginx真正的web服务器地址 proxy_set_header Host $host; (访问的域名是server_name) proxy_set_header X-Real-IP $remote_addr; (定义公网ip) proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; (定义代理服务器ip) }}
检查语法错误并且重新加载配置文件[root@lnmp ~]# /usr/local/nginx/sbin/nginx -tnginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is oknginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful[root@lnmp ~]# /usr/local/nginx/sbin/nginx -s reload

检查:(从本机访问到了远程站点,说明代理成功)[root@lnmp ~]# curl -x127.0.0.1:80 ask.apelearn.com/robots.txt## robots.txt for MiWen#
User-agent: *
Disallow: /?/admin/Disallow: /?/people/Disallow: /?/question/Disallow: /account/Disallow: /app/Disallow: /cache/Disallow: /install/Disallow: /models/Disallow: /crond/run/Disallow: /search/Disallow: /static/Disallow: /setting/Disallow: /system/Disallow: /tmp/Disallow: /themes/Disallow: /uploads/Disallow: /url-*Disallow: /views/Disallow: /*/ajax/五、常见502的问题1.配置错误
因为nginx找不到php-fpm了,所以报错,一般是fastcgi_pass后面的路径配置错误了,后面可以是socket或者是ip:port

2.资源耗尽
lnmp架构在处理php时,nginx直接调取后端的php-fpm服务,如果nginx的请求量偏高,我们又没有给php-fpm配置足够的子进程,那么php-fpm就会资源耗尽,一旦资源耗尽nginx找不到php-fpm就会出现502错误,

解决方案
去调整php-fpm.conf中的pm.max_children数值,使其增加,但是也不能无限增加,毕竟资源有限,一般4G内存机器如果跑php-fpm和nginx,不跑mysql可以设置为150,8G为300以此类推

3.除了上面的两种错误还有其他的原因,很少有,我们可以借助nginx的错误日志来进行排查vim /usr/local/nginx/logs/nginx_error.log 我们也可以给日志定义级别vim/usr/local/nginx/conf/nginx.conf 找到error_log,默认是crit最严谨的就行,也可以改成debug显示的信息最全面,但是很容易撑爆我们的磁盘。

首先我们需要让浏览器进行访问
修改nginx的配置文件
[root@wqslinux ~]# vim/usr/local/nginx/conf/vhosts/111.conf

server
{
listen 80;
server_name www.111.com; //域名地址
index index.html index.htm index.php;
root /data/www/;

location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/tmp/www.sock; //修改sock
#fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /data/www$fastcgi_script_name;
}

}

检查语法是否正常
[root@wqslinux ~]#/usr/local/nginx/sbin/nginx -t
重新加载配置文件
[root@wqslinux ~]# /usr/local/nginx/sbin/nginx-s reload
[root@wqslinux ~]# /etc/init.d/nginx reload

检查nginx是那个用户跑的
[root@wqslinux ~]# ps aux |grep nginx
编辑php-fpm文件
我们要在这个php-fpm文件里面设置nginx的用户主,跟组这样才不会显示502
[root@wqslinux ~]# vim/usr/local/php/etc/php-fpm.conf

[global]
pid = /usr/local/php/var/run/php-fpm.pid
error_log =/usr/local/php/var/log/php-fpm.log
[www]
listen = /tmp/www.sock
user = php-fpm
group = php-fpm
listen.owner = nobody //定义属主
listen.group = nobody //定义属组
pm = dynamic
pm.max_children = 50
pm.start_servers = 20
pm.min_spare_servers = 5
pm.max_spare_servers = 35
pm.max_requests = 500
rlimit_files = 1024

配置完之后重启php-fpm
[root@wqslinux ~]# /etc/init.d/php-fpm restart
ps: 再补充一个,是近期很多人遇到的问题
这种情况下,使用的是socket,版本高于5.4(含5.4) 默认监听的socket文件权限是所有者只读,属组和其他用户没有任何权限。所以,nginx的启动用户(咱们配置的是nobody)就没有办法去读这个socket文件,最终导致502,这个问题可以在nginx的错误日志中发现。解决办法很简单,上面给出的配置文件中就有避免这个问题的配置。
listen.owner = nobody //定义属主
listen.group = nobody //定义属组
这两个配置就是定义socket的属主和属组是谁。除了这个还有一种方法
listen.mode = 777
这样nobody也可以有读取权限了。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签:  Nginx 防盗链
相关文章推荐