摘要:Web服務是在互聯網上暴露最多的服務。選擇合適的軟件搭建Web服務器,讓自己的Web服務器支持高併發服務和抵禦外部攻擊的能力,是提供互聯網服務所需要長期面對的問題。本文作者根據自己在實踐中的經驗,構建了一套高效安全的Nginx Web服務器。
一、為什麼選擇Nginx搭建Web服務器
Apache和Nginx是目前使用最火的兩種Web服務器,Apache出現比Nginx早。Apache HTTP Server(簡稱Apache)是世界使用排名第一的Web服務器軟件,音譯為阿帕奇,是Apache軟件基金會的一個開放源碼Web服務器,可以運行幾乎所有的計算機平臺,其次開放的API接口,任何組織和個人都可以在它上面擴展和增加各種需要功能,達到為自己量身定製的功能。
Nginx(“engine x”)是一個高性能的HTTP和反向代理 服務器,也是一個 IMAP/POP3/SMTP代理服務器。Nginx 是由 Igor Sysoev 為俄羅斯訪問量第二的 Rambler.ru 站點開發的,第一個公開版本0.1.0發佈於2004年10月4日。其將源代碼以類BSD許可證的形式發佈,因它的穩定性、豐富的功能集、示例配置文件和低系統資源的消耗而聞名。
在互聯網初期,網站大小不是很大,訪問量都很輕量,一個網站的訪問量一天最多就幾萬IP,這個時候Apache完全可以滿足需要,人們更多的是為它開發各種模塊,像重寫模塊,訪問控制列表,緩存模塊等等。但是隨著互聯網的飛速發展,網站我訪問量以指數增長,大型網站的除了加大硬件投入外,典型的Web服務器Apache這時候也力不從心了;但是Apache並不是完美的,並且不再適合大規模系統。
為什麼?因為他的進程模式雖然簡單而靈活,但並不適合大規模尤其是當要處理像PHP這種需要佔用大量內存應用程序代碼時。於是Nginx開始崛起,最初的設計是俄羅斯工程師為大型網站解決高併發設計的。所以註定了高併發是它永恆的優點。再次就是反向代理,現在大型網站分工詳細,哪些服務器處理數據流,哪些處理靜態文件,這些誰指揮,一般都是用nginx反向代理到內網服務器,這樣就起到了負載均衡分流的作用。再次nginx高度模塊化的設計,編寫模塊相對簡單。
Nginx 是一個高性能的 Web 和反向代理服務器,它具有有很多非常優越的特性:
作為 Web 服務器:相比 Apache,Nginx使用更少的資源,支持更多的併發連接,體現更高的效率,這點使 Nginx 尤其受到虛擬主機提供商的歡迎。能夠支持高達 50,000個併發連接數的響應,感謝 Nginx為我們選擇了epoll and kqueue 作為開發模型。
作為負載均衡服務器: Nginx既可以在內部直接支持 Rails 和 PHP,也可以支持作為 HTTP代理服務器 對外進行服務。Nginx用C編寫, 不論是系統資源開銷還是 CPU 使用效率都比 Perlbal 要好的多。
Nginx安裝非常的簡單,配置文件非常簡潔(還能夠支持perl語法),Bugs非常少的服務器: Nginx啟動特別容易,並且幾乎可以做到7*24不間斷運行,即使運行數個月也不需要重新啟動。你還能夠在不間斷服務的情況下進行軟件版本的升級。
二、Nginx安裝
1、安裝說明
系統環境:CentOS-6.6
軟件:nginx-1.8.0.tar.gz
安裝方式:源碼編譯安裝
安裝位置:/opt/program/nginx-1.8.0
下載地址:http://nginx.org/en/download.html
2、安裝必須軟件
# yum install gcc-c++
# yum -y install zlib zlib-devel openssl openssl--devel pcre pcre-devel
# find -name nginx
#./nginx
#./nginx/sbin/nginx
#./nginx-1.2.6/objs/nginx
檢查系統已安裝的Nginx:
卸載原有的Nginx
# yum remove nginx
3、安裝和編譯
將安裝包文件上傳到/opt/software中執行以下操作:
# cd /opt/program
# mkdir nginx
# tar -zxvf ../software/nginx-1.8.0.tar.gz
# cd nginx-1.8.0
# ./configure --prefix=/opt/program/nginx
注:處此是指定Nginx的安裝目錄,大多用戶習慣於安裝在/usr/local/nginx下面
# make 編譯
# make install 安裝
4、配置服務項
修改防火牆配置:
# vi + /etc/sysconfig/iptables
添加配置項
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
重啟防火牆
# service iptables restart
5、啟動
方法1
# /opt/program/nginx/sbin/nginx -c /opt/program/nginx/sbin/nginx/conf/nginx.conf
方法2
# /opt/program/nginx/sbin/nginx
查詢nginx主進程號
# ps -ef | grep nginx
強制停止
# pkill -9 nginx
重啟
# /opt/program/nginx/sbin/nginx -s reload
測試
# netstat –na|grep 80
#瀏覽器中測試
http://ip:80
三、配置Nginx支持高併發
1、Nginx常規優化
編輯nginx.conf,修改相關參數進行優化。
worker_processes 8;
Nginx 進程數,建議按照CPU數目來指定,一般為它的倍數 (如,2個四核的CPU計為8)。
worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;
worker_rlimit_nofile 65535;
這個指令是指當一個Nginx 進程打開的最多文件描述符數目,理論值應該是最多打開文
件數(ulimit -n)與nginx 進程數相除,但是Nginx 分配請求並不是那麼均勻,所以最好與ulimit -n 的值保持一致。現在在linux 2.6內核下開啟文件打開數為65535,worker_rlimit_nofile就相應應該填寫65535。
worker_connections 65535;
每個進程允許的最多連接數, 理論上每臺nginx 服務器的最大連接數為worker_processes*worker_connections。keepalive_timeout 60;keepalive 超時時間。
client_header_buffer_size 4k;
客戶端請求頭部的緩衝區大小,這個可以根據你的系統分頁大小來設置,一般一個請求頭的大小不會超過1k,不過由於一般系統分頁都要大於1k,所以這裡設置為分頁大小。
open_file_cache max=65535 inactive=60s;
這個將為打開文件指定緩存,默認是沒有啟用的,max 指定緩存數量,建議和打開文件數一致,inactive 是指經過多長時間文件沒被請求後刪除緩存。
open_file_cache_valid 80s;
這個是指多長時間檢查一次緩存的有效信息。
open_file_cache_min_uses 1;
open_file_cache 指令中的inactive
參數時間內文件的最少使用次數,如果超過這個數字,文件描述符一直是在緩存中打開的,如上例,如果有一個文件在inactive 時間內一次沒被使用,它將被移除。
2、內核參數的優化
編輯sysctl.conf優化linux內核。
net.ipv4.tcp_max_tw_buckets = 6000
timewait 的數量,默認是180000。
net.ipv4.ip_local_port_range = 1024 65000
允許系統打開的端口範圍。
net.ipv4.tcp_tw_recycle = 1
啟用timewait 快速回收。
net.ipv4.tcp_tw_reuse = 1
開啟重用。允許將TIME-WAIT sockets 重新用於新的TCP 連接。
net.ipv4.tcp_syncookies = 1
開啟SYN Cookies,當出現SYN 等待隊列溢出時,啟用cookies 來處理。
net.core.somaxconn = 262144
web 應用中listen 函數的backlog 默認會給我們內核參數的net.core.somaxconn 限制到128,而nginx 定義的NGX_LISTEN_BACKLOG 默認為511,所以有必要調整這個值。
net.core.netdev_max_backlog = 262144
每個網絡接口接收數據包的速率比內核處理這些包的速率快時,允許送到隊列的數據包的最大數目。
net.ipv4.tcp_max_orphans = 262144
系統中最多有多少個TCP 套接字不被關聯到任何一個用戶文件句柄上。如果超過這個數字,孤兒連接將即刻被複位並打印出警告信息。這個限制僅僅是為了防止簡單的DoS 攻擊,不能過分依靠它或者人為地減小這個值,更應該增加這個值(如果增加了內存之後)。
net.ipv4.tcp_max_syn_backlog = 262144
記錄的那些尚未收到客戶端確認信息的連接請求的最大值。對於有128M 內存的系統而言,缺省值是1024,小內存的系統則是128。
net.ipv4.tcp_timestamps = 0
時間戳可以避免序列號的卷繞。一個1Gbps 的鏈路肯定會遇到以前用過的序列號。時間戳能夠讓內核接受這種“異常”的數據包。這裡需要將其關掉。
net.ipv4.tcp_synack_retries = 1
為了打開對端的連接,內核需要發送一個SYN 並附帶一個迴應前面一個SYN 的ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄連接之前發送SYN+ACK 包的數量。
net.ipv4.tcp_syn_retries = 1
在內核放棄建立連接之前發送SYN 包的數量。
net.ipv4.tcp_fin_timeout = 1
如果套接字由本端要求關閉,這個參數決定了它保持在FIN-WAIT-2 狀態的時間。對端可以出錯並永遠不關閉連接,甚至意外當機。缺省值是60 秒。2.2 內核的通常值是180 秒,3你可以按這個設置,但要記住的是,即使你的機器是一個輕載的WEB 服務器,也有因為大量的死套接字而內存溢出的風險,FIN- WAIT-2 的危險性比FIN-WAIT-1 要小,因為它最多隻能吃掉1.5K 內存,但是它們的生存期長些。
net.ipv4.tcp_keepalive_time = 30
當keepalive 起用的時候,TCP 發送keepalive 消息的頻度。缺省是2小時。
經過以上優化後,Nginx可支持超過5萬的併發量。
四、Nginx安全配置
網絡上有太多關於Nginx安全配置的方法,本文根據自己的實際環境,選擇適合自己的Nginx安全配置策略。
1、刪除所有不需要的Nginx模塊
直接通過編譯Nginx源代碼使模塊數量最少化。通過限制只允許Web服務器訪問模塊把風險降到最低。例如,禁用SSL和autoindex模塊你可以執行以下命令:
#./configure –without-http_autoindex_module –without-http_ssi_module
# make
# make install
通過以下命令來查看當編譯Nginx服務器時哪個模塊能開戶或關閉:
#./configure –help | less
然後禁用你用不到的Nginx模塊。
2、安裝SELinux策略以強化Nginx Web服務器
默認的SELinux不會保護Nginx Web服務器,我這裡安裝和編譯保護軟件。
安裝編譯SELinux所需環境支持
# yum -y install selinux-policy-targeted selinux-policy-devel
下載SELinux策略以強化Nginx Web服務器。
# cd /opt
# wget ‘http://downloads.sourceforge.net/project/selinuxnginx/se-ngix_1_0_10.tar.gz?use_mirror=nchc’
解壓、編譯文件
# tar -zxvf se-ngix_1_0_10.tar.gz
編譯文件
# cd se-ngix_1_0_10/nginx
# make
將會輸出如下:
Compiling targeted nginx module
/usr/bin/checkmodule: loading policy configuration from tmp/nginx.tmp
/usr/bin/checkmodule: policy configuration loaded
/usr/bin/checkmodule: writing binary representation (version 6) to tmp/nginx.mod
Creating targeted nginx.pp policy package
# rm tmp/nginx.mod.fc tmp/nginx.mod
安裝生成的nginx.pp SELinux模塊:
# /usr/sbin/semodule -i nginx.pp
3、控制緩衝區溢出攻擊
編輯nginx.conf,為所有客戶端設置緩衝區的大小限制。
# vi /usr/local/nginx/conf/nginx.conf
編輯和設置所有客戶端緩衝區的大小限制如下:
## Start: Size Limits & Buffer Overflows ##
client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
## END: Size Limits & Buffer Overflows ##
4、控制併發連接
使用NginxHttpLimitZone模塊來限制指定的會話或者一個IP地址的特殊情況下的併發連接。編輯nginx.conf:
limit_zone slimits $binary_remote_addr 5m;
limit_conn slimits 5;
上面表示限制每個遠程IP地址的客戶端同時打開連接不能超過5個。
5、限制可用的請求方法
GET和POST是互聯網上最常用的方法。Web服務器的方法被定義在RFC 2616。如果Web服務器不要求啟用所有可用的方法,它們應該被禁用。下面的指令將過濾只允許GET,HEAD和POST方法:
## Only allow these request methods ##
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
## Do not accept DELETE, SEARCH and other methods ##
6、拒絕一些User-Agents
你可以很容易地阻止User-Agents,如掃描器,機器人以及濫用你服務器的垃圾郵件發送者。
## Block download agents ##
if ($http_user_agent ~* LWP::Simple|BBBike|wget) {
return 403;
}
##
阻止Soso和有道的機器人:
## Block some robots ##
if ($http_user_agent ~* Sosospider|YodaoBot) {
return 403;
}
7、防止圖片盜鏈
圖片或HTML盜鏈的意思是有人直接用你網站的圖片地址來顯示在他的網站上。最終的結果,你需要支付額外的寬帶費用。需要封鎖,並阻止盜鏈行為。
# Stop deep linking or hot linking
location /images/ {
valid_referers none blocked www.example.com example.com;
if ($invalid_referer) {
return 403;
}
}
8、在防火牆級限制每個IP的連接數
網絡服務器必須監視連接和每秒連接限制。PF和Iptales都能夠在進入你的Nginx服務器之前阻止最終用戶的訪問。
Linux Iptables:限制每次Nginx連接數
下面的例子會阻止來自一個IP的60秒鐘內超過15個連接端口80的連接數。
# /sbin/iptables -A INPUT -p tcp –dport 80 -i eth0 -m state –state NEW -m recent –set
# sbin/iptables -A INPUT -p tcp –dport 80 -i eth0 -m state –state NEW -m recent –update –seconds 60 –hitcount 15 -j DROP
service iptables save
我設置同一個IP 60秒內只允許10個Nginx鏈接。
9:配置操作系統保護Web服務器
Nginx程序一般以用戶nginx運行。但是根目錄(/nginx或者/usr /local/nginx/html)不應該設置屬於用戶nginx或對用戶nginx可寫。找出錯誤權限的文件可以使用如下命令:
# find /nginx -user nginx
# find /usr/local/nginx/html -user nginx
確保你更所有權為root或其它用戶,一個典型的權限設置
/usr/local/nginx/html/
ls -l /usr/local/nginx/html/
示例輸出:
-rw-r–r– 1 root root 925 Jan 3 00:50 error4xx.html
-rw-r–r– 1 root root 52 Jan 3 10:00 error5xx.html
-rw-r–r– 1 root root 134 Jan 3 00:52 index.html
刪除由vi或其它文本編輯器創建的備份文件:
# find /nginx -name ‘.?*’ -not -name .ht* -or -name ‘*~’ -or -name ‘*.bak*’ -or -name ‘*.old*’
# find /usr/local/nginx/html/ -name ‘.?*’ -not -name .ht* -or -name ‘*~’ -or -name ‘*.bak*’ -or -name ‘*.old*’
通過find命令的-delete選項來刪除這些文件。
10、限制Nginx連接傳出
黑客會使用工具如wget下載你服務器本地的文件。使用Iptables從nginx用戶來阻止傳出連接。ipt_owner模塊試圖匹配本地產生的數據包的創建者。下面的例子中只允許user用戶在外面使用80連接。
# /sbin/iptables -A OUTPUT -o eth0 -m owner –uid-owner vivek \
-p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
五、小結
本文只是根據自己的需要來構建適合自己的Web服務器,希望對各位有所幫助。Nginx是一個好工具好轉件,Nginx的功能絕不止限於構建Web服務器,它的更過功能還有待大家繼續去開發,我期待Nginx能給我們帶來更多驚喜。
本文轉自公眾號:民工哥技術之路,如需轉載請標明。