Linux 配置 Nginx 服务完整详细版

目录

前言

配置Nginx监听端口和服务器块

# 防DDoS配置

# 日志配置

# 设置服务器块

监听端口

网站根目录

默认文件

静态文件目录

图像文件目录

# 自定义错误页面

# 反向代理配置

# 配置SSL/TLS

1、获取SSL/TLS证书

2、安装证书

3、配置SSL/TLS

# 配置SSL协议版本和密码套件

# 配置SSL会话缓存

# 启用HSTS标头,告诉浏览器始终使用HTTPS

# 防止点击劫持

# 安全头部配置


前言

当你需要配置Nginx服务器来托管网站或应用程序时,以下是一些基本步骤和示例配置,以帮助你入门。请注意,Nginx的配置可以非常灵活,可以根据你的具体需求进行自定义。以下示例假设你已经在服务器上安装了Nginx。

1、打开终端并登录到你的服务器。

2、使用文本编辑器(比如nanovim)打开Nginx配置文件。

配置文件通常位于 /etc/nginx/nginx.conf或 /etc/nginx/sites-available/default,具体位置可能因你的操作系统而异。以下是使用vim编辑器的示例:

sudo vim /etc/nginx/nginx.conf

配置Nginx监听端口和服务器块

nginx.conf中,你可以找到一个名为http的块,其中包含Nginx的全局配置。你可以更改默认监听端口(默认为80)和添加服务器块。

# HTTP模块配置段
http {# 防DDoS配置limit_req_zone $binary_remote_addr zone=ddos:10m rate=10r/s;# 日志配置access_log /var/log/nginx/access.log;# 设置服务器块server {listen 80; # 监听端口server_name example.com; # 域名location / {root /var/www/html; # 网站根目录index index.html; # 默认文件}location /static/ {alias /var/www/static/; # 静态文件目录}location /images/ {alias /var/www/images/; # 图像文件目录}# 自定义错误页面error_page 404 /404.html;location = /404.html {root /var/www/html;internal;}# 反向代理配置location /api/ {proxy_pass http://backend-server; # 后端服务器地址}# 配置SSL/TLSlisten 443 ssl;server_name example.com;ssl_certificate /path/to/your/certificate.crt;ssl_certificate_key /path/to/your/private-key.key;# 配置SSL协议版本和密码套件ssl_protocols TLSv1.2 TLSv1.3;ssl_prefer_server_ciphers off;ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';# 配置SSL会话缓存ssl_session_cache shared:SSL:10m;ssl_session_timeout 10m;# 启用HSTS标头,告诉浏览器始终使用HTTPSadd_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";# 防止点击劫持add_header X-Frame-Options SAMEORIGIN;# 安全头部配置add_header X-Content-Type-Options "nosniff";add_header X-XSS-Protection "1; mode=block";add_header X-Frame-Options "SAMEORIGIN";}
}

# 防DDoS配置

limit_req_zone: 这是一个Nginx指令,用于定义一个请求限制区域。这个区域用来记录每个客户端的请求频率信息。

$binary_remote_addr: 这是一个Nginx变量,表示客户端的IP地址。每个不同的IP地址都会被视为一个单独的客户端。

zone=ddos:10m: 这个部分定义了请求限制区域的名称为"ddos",并分配了10兆字节的内存空间(10m)来存储相关数据。

rate=10r/s: 这部分规定了请求速率限制。它表示每个IP地址最多允许发送10个请求每秒(10r/s)。

# 日志配置

access_log 是 Nginx 配置指令,用于定义访问日志的设置。

/var/log/nginx/access.log 是日志文件的路径,它告诉 Nginx 将访问日志写入到名为 access.log 的文件中。通常,Nginx 日志文件会放在 /var/log/nginx/ 目录下。

# 设置服务器块

监听端口

监听端口是指在计算机网络中,一台计算机或网络设备通过指定一个特定的网络端口号来等待和接收传入的网络连接或数据流。每个网络服务或应用程序可以监听一个或多个端口,这些端口用于标识不同的网络服务或通信通道。

网站根目录

网站根目录(也称为网站根文件夹、网站根文件目录或网站根目录结构)是一个Web服务器上的主要文件夹,它包含了构成整个网站的文件和资源。这个目录通常是Web服务器用来提供网站内容的起点,也是访问网站时的默认基础路径。

默认文件

当你访问一个网站时,通常会看到网站的首页或默认页面。这个默认页面被称为索引文件,它是网站的第一个展示给访问者的页面。

静态文件目录

静态文件目录是一个包含网站的静态文件(不需要服务器端处理的文件)的文件夹或目录。这些静态文件可以包括HTML、CSS、JavaScript、图像、字体文件等,它们不需要在服务器端动态生成或处理,而是直接提供给客户端浏览器。

图像文件目录

图像文件目录是一个用于存储网站或应用程序中的图像文件的文件夹或目录。这些图像文件可以包括各种图像类型,例如JPEG、PNG、GIF、SVG等。图像文件目录通常用于组织和管理网站中的图像资源,使其能够在网页上展示或通过链接提供给用户。

# 自定义错误页面

这个配置告诉Nginx当发生404错误时,将用户重定向到/404.html页面。location块内的root指令定义了404页面所在的目录,这里是/var/www/htmlinternal指令用于限制该location仅在Nginx内部处理,不会向外部暴露这个页面的路径。

# 反向代理配置

location /api/ { ... }: 这是一个location块,指定了要处理以/api/开头的URL路径的请求。只有满足这个条件的请求会进入这个location块中进行处理。

proxy_pass http://backend-server;: 这是配置块中最重要的部分。它指定了Nginx应该将请求转发到的后端服务器的地址。

例如,如果你的后端服务器的地址是http://localhost:8000,那么这里应该写成 proxy_pass http://localhost:8000;

# 配置SSL/TLS

1、获取SSL/TLS证书

首先,您需要获取SSL/TLS证书。您可以从权威的证书颁发机构(如Let's Encrypt、Comodo、DigiCert等)购买证书,或者使用自签名证书。自签名证书适用于测试和开发环境,但在生产环境中,建议使用受信任的证书颁发机构颁发的证书,以确保浏览器和客户端的兼容性。

2、安装证书

获得证书后,需要将其安装到服务器上。通常,证书文件包括一个公钥文件(通常以.crt或.pem为扩展名)和一个私钥文件(通常以.key为扩展名)。将这些文件存储在服务器上的安全位置。

3、配置SSL/TLS

在配置文件中,找到与SSL/TLS相关的部分,在Nginx中,通常是在server块内配置SSL。

server { ... }: 这是一个Nginx服务器块,用于定义服务器的配置。

listen 443 ssl;: 这一行指定服务器监听的端口是443,并启用SSL加密。所有传入的HTTPS请求都将在这个端口上被处理。

server_name example.com;: 这里定义了服务器的域名。

ssl_certificate /path/to/your/certificate.crt; 这行指定了SSL证书的路径,该证书用于加密传输的数据。

ssl_certificate_key /path/to/your/private-key.key;: 这行指定了SSL私钥文件的路径,用于解密传入的加密数据。

# 配置SSL协议版本和密码套件

配置SSL协议版本和密码套件通常不需要更改为自己的,因为这部分配置是针对服务器的安全性和性能进行优化的。

ssl_protocols 指定了支持的TLS版本,通常TLSv1.2和TLSv1.3是安全的选择,无需更改,除非你有特定的需求。

ssl_prefer_server_ciphers 设置为 off 以确保Nginx不会强制使用服务器端密码套件的顺序,通常无需更改。

ssl_ciphers 定义了支持的密码套件,使用ECDHE(椭圆曲线Diffie-Hellman Ephemeral)密钥交换和AES-GCM模式,通常无需更改。

# 配置SSL会话缓存

这两行配置是用于配置SSL会话缓存的设置,它们对于提高服务器的SSL/TLS性能非常重要。让我解释它们的含义:

ssl_session_cache shared:SSL:10m;:这行配置指定了SSL会话缓存的类型、名称和大小。

10m:这部分指定了会话缓存的大小。在示例中,缓存的大小被设置为10兆字节(MB)。这意味着服务器可以存储大约10兆字节的SSL会话数据。

ssl_session_timeout 10m;:这行配置指定了SSL会话在缓存中的超时时间。

10m:这部分指定了会话的超时时间,与上面的缓存大小相对应。在示例中,会话将在10分钟后过期并从缓存中删除。

# 启用HSTS标头,告诉浏览器始终使用HTTPS

max-age=31536000:指定了HSTS策略的持续时间,以秒为单位。在这里,max-age 被设置为31536000秒,等于一年的时间。这意味着一旦浏览器接收到这个HSTS标头,它将在一年内记住你的网站,并强制使用HTTPS连接访问。

# 防止点击劫持

这个配置的目的是增强网站的安全性,防止点击劫持攻击,其中攻击者将您的网页嵌套到他们的恶意网站中,以欺骗用户。通过设置X-Frame-OptionsSAMEORIGIN,您告诉浏览器只允许您的网页在相同的源内被嵌套,从而提高了您的网站的安全性

# 安全头部配置

1、X-Content-Type-Options "nosniff"

X-Content-Type-Options 头部用于控制浏览器是否应该执行MIME类型嗅探。

"nosniff" 指令告诉浏览器不要执行嗅探,即使服务器返回的响应中包含了不一致的MIME类型信息,浏览器也不会尝试猜测响应的内容类型。

这有助于防止MIME类型混淆攻击,其中攻击者可能会在响应中注入恶意内容,并依赖浏览器错误地解释响应的MIME类型。

2、X-XSS-Protection "1; mode=block"

X-XSS-Protection 头部用于启用浏览器内置的跨站点脚本(XSS)过滤器。

"1; mode=block" 指令启用了XSS过滤器,并在检测到潜在XSS攻击时,将页面设置为阻止加载。

这有助于防止XSS攻击,其中攻击者尝试在网页中注入恶意脚本以执行恶意操作,如窃取用户信息或劫持用户会话。

3、X-Frame-Options "SAMEORIGIN"

X-Frame-Options 头部用于控制是否允许将网页嵌入到 <iframe> 中。

"SAMEORIGIN" 指令表示只允许网页在与原始网页相同的域名下嵌套到 <iframe> 中。

这有助于防止点击劫持攻击,其中攻击者可能会尝试将您的网站嵌入到恶意站点中,以欺骗用户进行操作或窃取信息。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/81793.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

以神龙出行小程序为例,说一些网站技术

注册和登录功能&#xff1a; 用户注册和登录可以使用手机号验证、第三方登录等方式来实现。这需要与后台服务器进行数据交互&#xff0c;并进行身份验证。 数据存储和管理&#xff1a; 用户的个人信息和常用地址需要进行存储和管理。这可以通过数据库来实现&#xff0c;如关系…

【分布式】分布式事务:2PC

分布式事务的问题可以分为两部分&#xff1a; 并发控制 concurrency control原子提交 atomic commit 分布式事务问题的产生场景&#xff1a;一份数据被分片存在多台服务器上&#xff0c;那么每次事务处理都涉及到了多台机器。 可序列化&#xff08;并发控制&#xff09;&…

每日一题 337. 打家劫舍 III

难度&#xff1a;中等 整体思路相当于是前两天的方法倒过来&#xff0c;毕竟二叉树最常用的解法就是递归倒推 对于每一颗子树&#xff0c;他必定有一种最大的盗取方法&#xff0c;但是只有它的 root 的盗取情况才会影响到 root 的父节点&#xff0c;即如果收益最大的盗取方法…

图像处理:双边滤波

1. 双边滤波 公式含义&#xff1a; q&#xff1a;输入的像素点&#xff0c;它代表上图中55的方框中其中的一个像素点 : 空间域核 : 图像像素域核 (两个二维高斯函数&#xff0c;二维高斯函数的公式为:) 进行了一些小的改动&#xff0c;让他们更加符合我们的要求&#xff0…

【每日一题】1146. 快照数组

1146. 快照数组 - 力扣&#xff08;LeetCode&#xff09; 实现支持下列接口的「快照数组」- SnapshotArray&#xff1a; SnapshotArray(int length) - 初始化一个与指定长度相等的 类数组 的数据结构。初始时&#xff0c;每个元素都等于 0。void set(index, val) - 会将指定索引…

【去除若依首页】有些小项目不需要首页,去除方法

第一步 // // // // // // // // // // // // // // // // // // 修改登录页 Login.vue 中 大概144行 &#xff0c;注释掉原有跳转。替换为自己的跳转路径 // // // // // // // // // // // // // this.$router.push({ path: this.redirect || …

linux 设置打开文件数

可以使用下面的文件进行设置 /etc/security/limits.d/90-nproc.conf 先来看/etc/security/limits.d/90-nproc.conf 配置文件&#xff1a; [root ~]# cat /etc/security/limits.d/90-nproc.conf # Default limit for number of users processes to prevent # accidental fork…

TikTok矩阵玩法:如何最大程度地利用平台资源

在数字时代&#xff0c;TikTok已经成为全球范围内数亿用户的创意天堂&#xff0c;不仅仅是一个娱乐平台&#xff0c;还是一个创收的宝地。 TikTok矩阵玩法的崛起正在引领创作者们探索全新的变现方案&#xff0c;他们通过巧妙地利用平台资源&#xff0c;实现了前所未有的创收机…

李宏毅hw-6利用GAN生成动漫图像

一、查漏补缺、熟能生巧&#xff1a; 1.什么是转置卷积convTranspose、以及这种转置卷积怎么使用&#xff1a; &#xff08;1&#xff09;具体的原理直接看李沐老师的那个演示&#xff0c;非常清晰&#xff1a; 47 转置卷积【动手学深度学习v2】_哔哩哔哩_bilibili &#x…

从字符串中删除指定字符

任务描述 编写一个函数实现功能&#xff1a;从字符串中删除指定的字符。同一字母的大、小写按不同字符处理。例如&#xff1a;程序执行时输入字符串&#xff1a;turbo c and Borland c&#xff0c;从键盘输入字符n&#xff0c;则输出后变为&#xff1a;turbo c ad Borlad c。如…

【Java】全套云HIS(医院信息管理系统)源码包含EMR、LIS

云HIS系统简介 SaaS模式Java版云HIS系统源码&#xff0c;在公立二甲医院应用三年&#xff0c;经过多年持续优化和打磨&#xff0c;系统运行稳定、功能齐全&#xff0c;界面布局合理、操作简便。 1、融合B/S版电子病历系统&#xff0c;支持电子病历四级&#xff0c;HIS与电子病…

爬虫 — 验证码反爬

目录 一、超级鹰二、图片验证模拟登录1、页面分析1.1、模拟用户正常登录流程1.2、识别图片里面的文字 2、代码实现 三、滑块模拟登录1、页面分析2、代码实现&#xff08;通过对比像素获取缺口位置&#xff09; 四、openCV1、简介2、代码3、案例 五、selenium 反爬六、百度智能云…

中央处理器(408)

一、基本结构 【2010统考】下列寄存器中&#xff0c;汇编语言程序员可见的是&#xff08;B&#xff09; A、MAR B、PC C、MDR D、IR 解析&#xff1a;IR、MAR、MDR是内部工作寄存器&#xff0c;对程序员不可见 可见&#xff1a;通用寄存器、程序状态字…

概率统计笔记:从韦恩图的角度区分 条件概率和联合概率

联合概率&#xff1a;两个或多个事件同时发生的概率。用 P(A∩B) 或 P(A,B) 表示 条件概率&#xff1a;在已知某个事件发生的条件下&#xff0c;另一个事件发生的概率。用P(A∣B) 表示在事件 B 发生的条件下&#xff0c;事件 A 发生的概率。 不难发现联合概率的样本空间更大&am…

NODEJS版本管理工具

一、使用NVM 下载 Linux下载 curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.0/install.sh widows下载地址 https://github.com/coreybutler/nvm-windows/releases 安装Node.js版本&#xff1a; nvm install 14.16.0 切换Node.js版本&#xff1a; nvm use …

关键节点与邻居搜索:K-Core算法对比K-Hop算法的效能较量

文章首发地址 K-Core算法 K-Core算法是一种网络分析算法&#xff0c;用于发现网络中的核心节点。核心节点是指在网络中具有重要影响力的节点&#xff0c;它们连接着大量其他节点&#xff0c;是网络中的重要信息传播和控制中心。K-Core算法通过逐步删除网络中度小于K的节点&am…

基于Java的高校宣讲会管理系统设计与实现(亮点:选题新颖、功能实用、老师看见直接过!)

高校宣讲会管理系统 一、前言二、我的优势2.1 自己的网站2.2 自己的小程序&#xff08;小蔡coding&#xff09;2.3 有保障的售后2.4 福利 三、开发环境与技术3.1 MySQL数据库3.2 Vue前端技术3.3 Spring Boot框架3.4 微信小程序 四、功能设计4.1 主要功能描述 五、系统实现5.1 前…

Ubuntu22.04开启后屏幕黄屏

1. 故障现象 系统&#xff1a;Ubuntu22.04 现象&#xff1a;电脑从开机到进入桌面一直屏幕黄屏 2. 故障分析 可能为屏幕色彩调节出现故障 3. 解决方案 系统设置——》色彩——》删除原来的配置&#xff08;remove profile&#xff09;——》添加配置Colorspace:Compatibl…

加速乐源码(golang版本)

一、分析 分析过程网上有很多,这里只说个大概,主要是提供golang源码 请求网站,发现前两次请求都会返回521,第三次请求成功,说明前两次请求肯定是干了什么事情;使用接口请求工具模拟请求分析该过程 使用postman工具请求 a. 第一次请求会在响应头返回jsluid,返回内容中拼接…

MyBatis面试题(二)

文章目录 前言一、MyBatis 与 Hibernate 有哪些不同&#xff1f;二、MyBatis 的好处是什么&#xff1f;三、简述 Mybatis 的 Xml 映射文件和 Mybatis 内部数据结构之间的映射关系&#xff1f;四、什么是 MyBatis 的接口绑定,有什么好处&#xff1f;五、接口绑定有几种实现方式,…