1. 配置第二个虚拟主机 可以在nginx.conf 加一行 include vhosts/*.conf; 这样,我们就可以在 /usr/local/nginx/conf/vhosts目录下创建虚拟主机配置文件了。mkdir /usr/local/nginx/conf/vhosts cd !$ vim chinaops.conf // 加入 server { listen 80; server_name chinaops.com www.chinaops.com www.china-ops.com ; index index.html index.htm index.php; root /data/www2; location ~ \.php$ { include fastcgi_params; fastcgi_pass unix:/tmp/php-fcgi.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /data/www2$fastcgi_script_name; } } 2. 验证默认虚拟主机 listen 80 default_server; 3. 用户认证 首先需要安装apache,可以使用yum install httpd 安装 生成密码文件,创建用户 htpasswd -c /usr/local/nginx/conf/htpasswd test // 添加test用户,第一次添加时需要加-c参数,第二次添加时不需要-c参数 在nginx的配置文件中添加 location / { root /data/www/wwwroot/count; auth_basic "Auth"; auth_basic_user_file /usr/local/nginx/conf/htpasswd; } 4. 域名重定向 server_name chinaops.com www.chinaops.com www.china-ops.com ; if ($host != 'www.chinaops.com' ) { rewrite ^/(.*)$ http://www.chinaops.com/ $1 permanent; } 5. 日志相关 日志切割: 编写脚本: vim /usr/local/sbin/logrotate.sh //加入 #! /bin/bash datedir=`date +%Y%m%d` /bin/mkdir /home/logs/$datedir >/dev/null 2>&1 /bin/mv /home/logs/*.log /home/logs/$datedir /bin/kill -HUP `cat /var/run/nginx.pid` 日志格式 log_format main '$remote_addr - $remote_user [$time_local] $request ' '"$status" $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; log_format main1 '$proxy_add_x_forwarded_for - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent"'; //此日志格式为,ip不仅记录代理的ip还记录远程客户端真实IP。 错误日志error_log日志级别 error_log 级别分为 debug, info, notice, warn, error, crit 默认为crit, 该级别在日志名后边定义格式如下: error_log /your/path/error.log crit; crit 记录的日志最少,而debug记录的日志最多。如果你的nginx遇到一些问题,比如502比较频繁出现,但是看默认的error_log并没有看到有意义的信息,那么就可以调一下错误日志的级别,当你调成error级别时,错误日志记录的内容会更加丰富。 6. 静态文件不记录日志,配置缓存 location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; access_log off; } location ~ .*\.(js|css)$ { expires 12h; access_log off; } 7.nginx 禁止恶意user_agent #禁止Scrapy等工具的抓取 if ($http_user_agent ~* (Scrapy|Curl|HttpClient)) { return 403; } #禁止指定UA及UA为空的访问 if ($http_user_agent ~ "FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|HttpClient|MJ12bot|heritrix|EasouSpider|Ezooms|^$" ) { return 403; } #禁止非GET|HEAD|POST方式的抓取 if ($request_method !~ ^(GET|HEAD|POST)$) { return 403; } 8. 防盗链 在 nginx.conf中的server部分中添加如下代码 location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$ { valid_referers none blocked server_names *.taobao.com *.baidu.com *.google.com *.google.cn *.soso.com ; // 对这些域名的网站不进行盗链。 if ($invalid_referer) { # return 403; rewrite ^/ http://www.example.com/nophoto.gif; } } 说明:如果前面配置中已经加了 location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; access_log off; } 那么会和这一部分重复,这时候上面的生效,所以,我们需要把两者合在一起。如下: location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$ { expires 30d; valid_referers none blocked server_names *.taobao.com *.baidu.com *.google.com *.google.cn *.soso.com ; // 对这些域名的网站不进行盗链。 if ($invalid_referer) { # return 403; rewrite ^/ http://www.example.com/nophoto.gif; } access_log off; } 9. 访问控制 限制只让某个ip访问 allow 219.232.244.234; deny all; 禁止某个IP或者IP段访问站点的设置方法 首先建立下面的配置文件放在nginx的conf目录下面,命名为deny.ip cat deny.ip deny 192.168.1.11; deny 192.168.1.123; deny 10.0.1.0/24; 在nginx的配置文件nginx.conf中加入: include deny.ip; 重启一下nginx的服务:/usr/local/nginx/sbin/nginx reload 就可以生效了。 deny.ip 的格式中也可以用deny all; 如果你想实现这样的应用,除了几个IP外,其他全部拒绝, 那需要你在deny.ip 中这样写 allow 1.1.1.1; allow 1.1.1.2; deny all; 有时候会根据目录来限制php解析: location ~ .*(diy|template|attachments|forumdata|attachment|image)/.*\.php$ { deny all; } 使用 user_agent 控制客户端访问 location / { if ($http_user_agent ~ 'bingbot/2.0|MJ12bot/v1.4.2|Spider/3.0|YoudaoBot|Tomato|Gecko/20100315'){ return 403; } } 10. nginx的rewrite应用 Rewrite设置及示例 http://www.lishiming.net/thread-239-1-1.html nginx $document_uri 参数使用 http://www.lishiming.net/thread-993-1-1.html nginx的301与302如何配置 http://www.lishiming.net/thread-4840-1-1.html nginx rewrite不支持if 嵌套也不支持逻辑或和逻辑并 http://www.lishiming.net/thread-4842-1-1.html 11. nginx 代理 server { listen 80; server_name aaa.com; location / { proxy_pass http://2.2.2.2/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } # access_log /home/logs/aaa_access.log combined; } 如果后端的机器有多台 upstream bbb { server 1.2.3.1:80; server 1.2.3.4:80; } server { listen 80; server_name bbb.com; location / { proxy_pass http://bbb/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } # access_log /home/logs/bb_access.log combined; } 代理一个服务器上所有域名 首先在vhosts目录下需要建立两个文件,一个是servername 列表文件,一个是虚拟主机配置文件 两个文件内容分别为 (1) servername server_name www.123.net.cn www.alsdjfl.com www.asdfa1.com ; //就这么简单一行,当然这个server_name 还可以继续添加的 (2) 虚拟主机配置文件 server { listen 80; include vhosts/servername; // 这里的文件就是上边那个servername列表文件 location / { proxy_pass http://1.2.1.2/; //这里就是需要做代理的服务器ip地址了 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } access_log /dev/null; }
运维网声明
1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003运维网
QQ群⑧:
窥视卡
雷达卡
发表于 2015-8-5 09:17:13
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡