1、搭建時間服務(wù)器，日志服務(wù)器并簡述sudo安全切換

1）安裝ntp服務(wù)器

yum install ntp

配置文件內(nèi)容中server?表示以誰為時間服務(wù)器，restrict?表示允許哪個IP的機器來同步我的時間。? 如果restrict后面指定自己127.0.0.1則不允許別人來同步時間（即只是做為客戶端，而不做為服務(wù)端）。

192.168.80.20安裝ntp服務(wù)端

192.168.80.21安裝ntp客戶端

配置ntp服務(wù)端配置文件：/etc/ntp.conf

server 0.centos.pool.ntp.org iburst

server 1.centos.pool.ntp.org iburst

server 2.centos.pool.ntp.org iburst

server 3.centos.pool.ntp.org iburst

保持默認(rèn)的centos 官方的外網(wǎng)ntp地址：

restrict 192.168.80.21 (允許客戶端可以過來同步時間)

重啟ntp服務(wù)

systemctl restart ntpd

客戶端安裝ntp

yum install ntp

[root@localhost ~]# ntpdate 192.168.80.20

14 Jul 18:42:28 ntpdate[7212]: adjust time server 192.168.80.20 offset -0.006542 sec

出現(xiàn)以上提示表示時間服務(wù)同步成功。

2）日志服務(wù)器搭建

為了更好的管理應(yīng)用程序和操作系統(tǒng)的日志，使用日志服務(wù)器進行管理，我們需要用到rsyslog,它是由早期的syslog的升級版。它可以收集系統(tǒng)引導(dǎo)啟動、應(yīng)用程序啟動、應(yīng)用程序（尤其是服務(wù)類應(yīng)用程序）運行過程中的事件。

記錄的格式為：事件產(chǎn)生日期和時間? 主機? 進程PID? 事件內(nèi)容。

rsyslog的特性：多線程,支持TCP、UDP、SSL、TLS、RELP協(xié)議。可存儲信息于日志、mysql等數(shù)據(jù)庫管理系統(tǒng)。可以對日志信息進行過濾，可以自定義輸出格式。

安裝rsyslog

yum install rsyslog -y

vim /etc/rsyslog.conf

主配置文件rsyslog.conf?主要由三個部分組成：?

MODULES? 表示加載的模塊列表

GLOBAL DIRECTIVES? ?表示全局的配置

RULES? ?表示日志記錄規(guī)則

其中：

MODULES段的格式為

$ModLoad? 模塊名稱

如果模塊名稱為im開起表示輸入模塊，如果以om開頭表示輸出模塊

GLOBAL DIRECTIVES?段主要定義一些常用設(shè)置，比如：

$WorkDirectory? 表示工作目錄

RULES?段的格式為：

facility.priority? target

其中

facility:設(shè)施，從功能上或程序上對日志收集進行分類，如：auth,authpriv,cron,daemon,kern,lpr,mail,mark,news,security,user,uucp,local0~local7,syslog

priority：優(yōu)先級，日志級別,如下（從左到右，由低到高）：debug,info,notice,warn(warning),err(error),crit(critical),alert,emerg(panic)

指定級別的方式：

*：所有級別;

none:沒有級別;

priority:此級別以及高于此級別的所有級別）

=priority：僅此級別;

一般要求日志級別為warn，即warn以及warn以上級別的日志要記錄。

生產(chǎn)上一般不會開debug級別的日志，因為日志記錄太多會導(dǎo)致io繁忙。

target:日志寫入目標(biāo)

文件：把日志事件寫入到指定的文件中，日志文件通常位于/var/log目錄下，

文件路徑前面加"-"表示異步寫入文件;

用戶：將日志事件通知給指定的用戶，通過將信息發(fā)送給登錄到系統(tǒng)上的用戶的終端進行的;

日志服務(wù)器：@host ，把日志發(fā)送到指定的服務(wù)器主機，

要保證host日志服務(wù)器在tcp或udp協(xié)議的514端口有監(jiān)聽并提供日志服務(wù)。

管道：? | COMMAND? 送到某一命令進行處理

注釋掉一下的內(nèi)容：

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

以上配置行的注釋去掉后就會開啟對tcp和udp協(xié)議的514端口進行監(jiān)聽。

[root@localhost ~]# ss -tuln|grep 514

udp? ? UNCONN? ? 0? ? ? 0? ? ? ? *:514? ? ? ? ? ? ? ? ? *:*? ? ? ? ? ? ? ? ?

udp? ? UNCONN? ? 0? ? ? 0? ? ? ? :::514? ? ? ? ? ? ? ? ? :::*? ? ? ? ? ? ? ? ?

tcp? ? LISTEN? ? 0? ? ? 25? ? ? ? *:514? ? ? ? ? ? ? ? ? *:*? ? ? ? ? ? ? ? ?

tcp? ? LISTEN? ? 0? ? ? 25? ? ? :::514? ? ? ? ? ? ? ? ? :::*

此時服務(wù)器監(jiān)聽TCP UDP 514號端口

此時配置客戶端IP地址：

*.info;mail.none;authpriv.none;cron.none? ? ? ? ? ? ? ? @192.168.80.20

把它的target?改為? @日志服務(wù)器IP

systemctl restart rsyslog

重啟配置文件

在客戶端重新再登錄一次客戶端服務(wù)器此時服務(wù)端會有日志顯示：如下

登錄時顯示：
Jul 14 18:54:26 localhost systemd: Started Session 2 of user root.

Jul 14 18:54:26 localhost systemd-logind: New session 2 of user root.

退出時顯示：

Jul 14 18:55:51 localhost systemd-logind: Removed session 2.

也可以把日志保存的mysql中

yum install rsyslog-mysql

安裝數(shù)據(jù)庫：

yum install mariadb-server??mariadb

# vim? /etc/my.cnf.d/server.cnf

[mysqld]

skip_name_resolve=ON

innodb_file_per_table=ON

啟動數(shù)據(jù)庫并導(dǎo)入數(shù)據(jù)

mysql -uroot -p < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

此時自動創(chuàng)建數(shù)據(jù)庫：Syslog

MariaDB [(none)]> grant all privileges on Syslog.* to 'rsyslog'@'localhost' identified by 'rsyspass';

Query OK, 0 rows affected (0.01 sec)

MariaDB [(none)]> flush privileges;

Query OK, 0 rows affected (0.03 sec)

vim /etc/rsyslog.conf

#### MODULES ####

$ModLoad ommysql

*.info;mail.none;authpriv.none;cron.none :ommysql:localhost,Syslog,rsyslog,rsyspass

內(nèi)容為:ommysql:數(shù)據(jù)庫主機,數(shù)據(jù)庫名,數(shù)據(jù)庫用戶，數(shù)據(jù)庫密碼。

# systemctl restart rsyslog.service

systemctl status rsyslog.service

Jul 14 19:27:10 localhost.localdomain rsyslogd[18210]: [origin software="rsyslogd" swVersion="8.24.0-34.el7" x-pid="18210" x-inf... start

Jul 14 19:27:10 localhost.localdomain systemd[1]: Started System Logging Service.

*************************** 8. row ***************************

? ? ? ? ? ? ? ? ID: 8

? ? ? ? CustomerID: NULL

? ? ? ? ReceivedAt: 2019-07-14 19:28:58

DeviceReportedTime: 2019-07-14 19:28:58

? ? ? ? ? Facility: 3

? ? ? ? ? Priority: 6

? ? ? ? ? FromHost: localhost

? ? ? ? ? Message:? Started Session 4 of user root.

? ? ? ? NTSeverity: NULL

? ? ? ? Importance: NULL

? ? ? EventSource: NULL

? ? ? ? EventUser: NULL

? ? EventCategory: NULL

? ? ? ? ? EventID: NULL

? EventBinaryData: NULL

? ? ? MaxAvailable: NULL

? ? ? ? CurrUsage: NULL

? ? ? ? ? MinUsage: NULL

? ? ? ? ? MaxUsage: NULL

? ? ? ? InfoUnitID: 1

? ? ? ? SysLogTag: systemd:

? ? ? EventLogType: NULL

? GenericFileName: NULL

? ? ? ? ? SystemID: NULL

8 rows in set (0.00 sec)

3)sudo?安全切換

sudo?能夠讓獲得授權(quán)的用戶以另外一個用戶(一般為root用戶)的身份運行指定的命令

授權(quán)配置文件/etc/sudoers，但是一般使用visudo命令進行編輯。

users? hosts=(runas)? ?commands

含義是，users列表中的用戶（組），可以在hosts列表的位置上，以runas用戶的身份來運行commands命令列表中的命令。

各個字段可能的值為：

users:? sudo命令的發(fā)起用戶

用戶名?或uid

%用戶組名? 或%gid? ?（這里要注意用戶需把基本組切換為該用戶組，才能使用sudo）

User_Alias 用戶別名

hosts:? 允許的地址

ip地址

主機名

NetAddr

Host_Alias?主機別名

runas:? ?以某一用戶的身份執(zhí)行

用戶名?或uid

Runas_Alias 用戶別名

commands:?指定的命令列表

command（命令建議使用完整的絕對路徑）

！command?表示禁止某一命令

directory

sudoedit:特殊權(quán)限，可用于向其它用戶授予sudo權(quán)限

Cmnd_Alias? ? 命令別名

這幾個字段中hosts，runas, commands都可以用ALL來表示所有。

定義別名的方法：

ALIAS_TYPE NAME=item1,item2,item3,...

NAME:別名名稱，必須使用全大寫字符

ALIAS_TYPE ：User_Alias，Host_Alias，Runas_Alias ，Cmnd_Alias

sodu命令執(zhí)行時會要求用戶輸入自己的密碼，為了避免頻繁驗密與安全其見，能記錄成功認(rèn)證結(jié)果一段時間，默認(rèn)為5分鐘，即5分鐘內(nèi)不需要再驗證用戶密碼。

以sudo的方式來運行指定的命令

sudo? ?[options]? COMMAND

-l? 列出sudo配置文件中用戶能執(zhí)行的命令

-k? 清除此前緩存用戶成功認(rèn)證結(jié)果，之后再次運行sudo時要驗證用戶密碼。

如果想要讓用戶輸入部分命令時不需要進行密碼驗證，在sudo配置文件中commands列表部分，可以在命令列表前面加上"NOPASSWD"，則其后的命令不需要密碼，如果某些命令又需要密碼就在前面加上“PASSWD”，所以commands列表可以為這種格式：

NOPASSWD? 不需要密碼的命令列表??PASSWD? 需要密碼的命令列表

安全提示：在sudo配置文件中

root ALL=(ALL) ALL

%wheel ALL=(ALL) ALL

上面配置中root用戶這行沒有問題，但是%wheel這行要注意，如果把某用戶加入到%wheel組，當(dāng)用戶把基本組切換為wheel組時就可以像root用戶一樣運行命令,較有風(fēng)險的命令舉例如下：

sudo su - root? ? 不需要密碼就可以切換到root用戶

sudo? passwd? root? ? 修改root用戶密碼，不需要輸入原密碼。

建議把%wheel改為

%wheel ALL=(ALL)? ?ALL,!/bin/su,!/usr/bin/passwd root

2、詳解nginx模塊使用方法

nginx的特性之一就是模塊化設(shè)計，有較好的擴展性。

其模塊分類如下：

核心模塊：core module

標(biāo)準(zhǔn)模塊：

HTTP 模塊： ngx_http_*

HTTP Core modules?? 默認(rèn)功能

HTTP Optional modules 需編譯時指定

Mail 模塊? ? ngx_mail_*

Stream 模塊 ngx_stream_*

第三方模塊

1.核心模塊：

#user? nobody;? ?指定worker進程的運行身份，如組不指定，默認(rèn)和用戶名同名

worker_processes? 1|auto;? 指定worker進程的數(shù)量；通常應(yīng)該為當(dāng)前主機的cpu的物理核心數(shù)

include? path/to/file? ?指明包含進來的其它配置文件片斷

worker_cpu_affinity auto [cpumask] 提高緩存命中率

CPU MASK：

00000001：0號CPU

00000010：1號CPU

10000000：8號CPU

worker_priority number?? 指定worker進程的nice值，設(shè)定worker進程優(yōu)先級：[-20,20]

#error_log file [level]?? ??錯誤日志文件及其級別；出于調(diào)試需要，可設(shè)定為debug；但debug僅在編譯時 使用了“--with-debug”選項時才有效

#error_log? logs/error.log? notice;

#error_log? logs/error.log? info;

#pid? ? ? ? logs/nginx.pid;??指定存儲nginx主進程PID的文件路徑

events {

worker_connections? 1024;??每個worker進程所能夠打開的最大并發(fā)連接數(shù)數(shù)量

use method? ?指明并發(fā)連接請求的處理方法 ,默認(rèn)自動選擇最優(yōu)方法 ，如， use epoll

accept_mutex on | off??處理新的連接請求的方法；on指由各個worker輪流處理新請求，Off指每個新請 求的到達都會通知(喚醒)所有的worker進程，但只有一個進程可獲得連接，影響性能

}

#daemon on|off??是否以守護進程方式運行nignx，默認(rèn)是守護進程方式

#master_process on|off? ? ?是否以master/worker模型運行nginx；默認(rèn)為on，off 將不啟動worker

2.HTTP Core modules模塊的配置使用：

(1)與套接字相關(guān)的配置：

server { ... }? 配置一個虛擬主機

server {

listen address[:PORT]|PORT;

server_name SERVER_NAME;

root /PATH/TO/DOCUMENT_ROOT;

}

listen：

listen? port??指令監(jiān)聽在不同的端口

listen IP:PORT;? IP 地址不同

同時listen子句還支持一些可選的選項：

●default_server? 設(shè)定為默認(rèn)虛擬主機

●ssl? ?? 限制僅能夠通過ssl連接提供服務(wù)

●backlog=number? 超過并發(fā)連接數(shù)后，新請求進入后援隊列的長度

●rcvbuf=size?? 接收緩沖區(qū)大小

●sndbuf=size?? 發(fā)送緩沖區(qū)大小

server_name:

指令指向不同的主機名，虛擬主機的主機名稱后可跟多個由空白字符分隔的字符串 ，

支持*通配任意長度的任意字符?如：*aaa(左側(cè)通配符）bbb*(右側(cè)通配符）

支持~起始的字符做正則表達式模式匹配，性能原因慎用

匹配優(yōu)先級：字符串精確匹配 >?左側(cè)通配符 >右側(cè)通配符>正則表達式>default_server

tcp_nodelay?on | off;

在keepalived模式下的連接是否啟用TCP_NODELAY選項

當(dāng)為off時，延遲發(fā)送，合并多個請求后再發(fā)送

默認(rèn)On時，不延遲發(fā)送

可用于：http, server, location

sendfile on | off;

是否啟用sendfile功能，在內(nèi)核中封裝報文直接發(fā)送? 默認(rèn)Off

server_tokens?on | off | build | string

是否在響應(yīng)報文的Server首部顯示nginx版本

(2)定義路徑相關(guān)的配置：

root

設(shè)置web資源的路徑映射；用于指明請求的URL所對應(yīng)的文檔的目錄路徑，可用于server

若配置：root? /path/to/dir

則http://servername/aaa/bbb.jpg? 映射的訪問地址就是? ?/path/to/dir/aaa/bbb.jpg

location

在一個server中l(wèi)ocation配置段可存在多個，用于實現(xiàn)從uri到文件系統(tǒng)的路 徑映射；ngnix會根據(jù)用戶請求的URI來檢查定義的所有l(wèi)ocation，并找出一個最 佳匹配，而后應(yīng)用其配置 。

location? 操作符?uri? ?{...}

操作符有：

=：對uri精確匹配

^~:對URI的最左邊部分做匹配檢查，不區(qū)分字符大小寫

~：對URI做正則表達式模式匹配，區(qū)分字符大小寫

~*： 對URI做正則表達式模式匹配，不區(qū)分字符大小寫

不帶符號：匹配起始于此uri的所有的uri

匹配優(yōu)先級從高到低:? ??=, ^~, ～/～*, 不帶符號

alias? ?path

路徑別名，文檔映射的另一種機制；僅能用于location上下文

注意：location中使用root指令和alias指令的意義不同

root，用來指定根目錄，故把uri做為子目錄繼續(xù)按路徑找文件。給定的路徑對應(yīng)于location中的/uri/左側(cè)的/

alias，用來定義路徑別名，故用來替換uri來指名路徑，再繼續(xù)按路徑找文件，給定的路徑對應(yīng)于location中的/uri/右側(cè)的/

index file ...;

指定默認(rèn)網(wǎng)頁文件(又稱歡迎頁面）當(dāng)未指定路徑下的哪個文件時，此頁面為默認(rèn)文件，注意需要：ngx_http_index_module模塊

error_page code ... [=[response]] uri;

需要模塊：ngx_http_core_module

定義錯誤頁，以指定的響應(yīng)狀態(tài)碼進行 響應(yīng)

可用位置：http, server, location, if in location

例如： error_page? 404? /404.html

try_files

try_files file ... uri;

或 try_files file ... =code;

按順序檢查文件是否存在，返回第一個找到的文件或文件夾（結(jié)尾加斜線表示 為文件夾），如果所有的文件或文件夾都找不到，會進行一個內(nèi)部重定向到最 后一個參數(shù)。只有最后一個參數(shù)可以引起一個內(nèi)部重定向，之前的參數(shù)只設(shè)置 內(nèi)部URI的指向。最后一個參數(shù)是回退URI且必須存在，否則會出現(xiàn)內(nèi)部500錯誤。

(3)? 定義客戶端請求的相關(guān)配置

keepalive_timeout timeout [header_timeout];

設(shè)定保持連接超時時長，0表示禁止長連接，默認(rèn)為75s

keepalive_requests?number;

在一次長連接上所允許請求的資源的最大數(shù)量? 默認(rèn)為100

keepalive_disable none | browser ...

對哪種瀏覽器禁用長連接

send_timeout time;

向客戶端發(fā)送響應(yīng)報文的超時時長，此處是指兩次寫操作之間的間隔時長， 而非整個響應(yīng)過程的傳輸時長

client_body_buffer_size size;

用于接收每個客戶端請求報文的body部分的緩沖區(qū)大??；默認(rèn)為16k；超 出此大小時，其將被暫存到磁盤上的由下面client_body_temp_path指令所定義 的位置

client_body_temp_path path [level1 [level2 [level3]]];

設(shè)定存儲客戶端請求報文的body部分的臨時存儲路徑及子目錄結(jié)構(gòu)和數(shù)量? ? ? 目錄名為16進制的數(shù)字；

(4)對客戶端進行限制的相關(guān)配置

limit_rate rate;

限制響應(yīng)給客戶端的傳輸速率，單位是bytes/second? 默認(rèn)值0表示無限制

limit_except method ... { ... }，

僅用于location? 限制客戶端使用除了指定的請求方法之外的其它方法

method可以是:GET, HEAD, POST, PUT, DELETE，MKCOL, COPY, MOVE, OPTIONS, PROPFIND, PROPPATCH, LOCK, UNLOCK, PATCH

例如：

limit_except GET {

allow 192.168.1.0/24;

deny? all;? }

表示 除了GET之外其它方法僅允許192.168.1.0/24網(wǎng)段主機使用

(5)文件操作優(yōu)化的配置

aio on | off | threads[=pool];

是否啟用aio功能

directio size | off;

當(dāng)文件大于等于給定大小時，例如directio 4m，同步（直接）寫磁盤，而非寫緩存

open_file_cache off;

open_file_cache max=N [inactive=time];

nginx可以緩存以下三種信息：? (1) 文件元數(shù)據(jù)：文件的描述符、文件大小和最近一次的修改時間? (2) 打開的目錄結(jié)構(gòu)? (3) 沒有找到的或者沒有權(quán)限訪問的文件的相關(guān)信息

max=N：可緩存的緩存項上限；達到上限后會使用LRU算法實現(xiàn)管理

inactive=time：緩存項的非活動時長，在此處指定的時長內(nèi)未被命中的或命中的次 數(shù)少于open_file_cache_min_uses指令所指定的次數(shù)的緩存項即為非活動項，將被刪除

open_file_cache_errors on | off;

是否緩存查找時發(fā)生錯誤的文件一類的信息? 默認(rèn)值為off

open_file_cache_min_uses number;

open_file_cache指令的inactive參數(shù)指定的時長內(nèi)，至少被命中此處指定 的次數(shù)方可被歸類為活動項? 默認(rèn)值為1

open_file_cache_valid time;

緩存項有效性的檢查頻率? 默認(rèn)值為60s

3.ngx_http_access_module模塊 的配置使用：

可實現(xiàn)基于ip的訪問控制功能

allow address | CIDR | unix: | all;

deny address | CIDR | unix: | all;

用于 http, server, location, limit_except?上下文

自上而下檢查，一旦匹配，將生效，條件嚴(yán)格的置前

4.ngx_http_auth_basic_module模塊的配置使用：

實現(xiàn)基于用戶的訪問控制，使用basic機制進行用戶認(rèn)證

auth_basic string | off;

auth_basic_user_file file;

用戶口令文件：

1、明文文本：格式name:password:comment

2、加密文本：由htpasswd命令實現(xiàn)，此命令由httpd-tools所提供

5.ngx_http_stub_status_module模塊的配置使用：

用于輸出nginx的基本狀態(tài)信息

stub_status;?表示返回基本狀態(tài)信息，信息含義如下：

Active connections:當(dāng)前狀態(tài)，活動狀態(tài)的連接數(shù)

accepts：統(tǒng)計總值，已經(jīng)接受的客戶端請求的總數(shù)

handled：統(tǒng)計總值，已經(jīng)處理完成的客戶端請求的總數(shù)

requests：統(tǒng)計總值，客戶端發(fā)來的總的請求數(shù)

Reading：當(dāng)前狀態(tài)，正在讀取客戶端請求報文首部的連接的連接數(shù)

Writing：當(dāng)前狀態(tài)，正在向客戶端發(fā)送響應(yīng)報文過程中的連接數(shù)

Waiting：當(dāng)前狀態(tài)，正在等待客戶端發(fā)出請求的空閑連接數(shù)

6.ngx_http_log_module模塊 的配置使用：

指定日志格式記錄請求

log_format name string ...;

指定日志格式的名稱，以及對應(yīng)的格式字符串。string可以使用nginx核心模塊及其它模塊內(nèi)嵌的變量

access_log

訪問日志文件路徑，格式及相關(guān)的緩沖的配置access_log? path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];

access_log off;

open_log_file_cache

緩存各日志文件相關(guān)的元數(shù)據(jù)信息

open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];

open_log_file_cache off;

max：緩存的最大文件描述符數(shù)量

min_uses：在inactive指定的時長內(nèi)訪問大于等于此值方可被當(dāng)作活動項

inactive：非活動時長

valid：驗證緩存中各緩存項是否為活動項的時間間隔

7.ngx_http_gzip_module 模塊?的配置使用：

用gzip方法壓縮響應(yīng)數(shù)據(jù)，節(jié)約帶寬

gzip on | off;? ? 啟用或禁用gzip壓縮

gzip_comp_level level;? ? 壓縮比由低到高：1 到 9? 默認(rèn)：1

gzip_disable regex ...;? ? 匹配到客戶端瀏覽器不執(zhí)行壓縮

gzip_min_length length;? ? 啟用壓縮功能的響應(yīng)報文大小閾值

gzip_http_version 1.0 | 1.1;? ? 設(shè)定啟用壓縮功能時，協(xié)議的最小版本? 默認(rèn)：1.1

gzip_buffers number size;? ? 支持實現(xiàn)壓縮功能時緩沖區(qū)數(shù)量及每個緩存區(qū)的大小? 默認(rèn)：32 4k 或 16 8k

gzip_types mime-type ...;? ? 指明僅對哪些類型的資源執(zhí)行壓縮操作；即壓縮過濾器

默認(rèn)包含有text/html，不用顯示指定，否則出錯

gzip_vary on | off;? ? ?如果啟用壓縮，是否在響應(yīng)報文首部插入“Vary: Accept-Encoding”

gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;

nginx充當(dāng)代理服務(wù)器時，對于后端服務(wù)器的響應(yīng)報文，在何種條件下啟 用壓縮功能

off：不啟用壓縮

expired，no-cache, no-store，private：對后端服務(wù)器的響應(yīng)報文首部 Cache-Control值任何一個，啟用壓縮功能

8.ngx_http_ssl_module模塊?的配置使用：

ssl on | off;

為指定虛擬機啟用HTTPS protocol， 建議用listen指令代替

ssl_certificate file;

當(dāng)前虛擬主機使用PEM格式的證書文件

ssl_certificate_key file;

當(dāng)前虛擬主機上與其證書匹配的私鑰文件

ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];

支持ssl協(xié)議版本，默 認(rèn)為后三個

ssl_session_cache off | none | [builtin[:size]] [shared:name:size];

none:? 通知客戶端支持ssl session cache，但實際不支持

builtin[:size]：使用OpenSSL內(nèi)建緩存，為每worker進程私有

[shared:name:size]：在各worker之間使用一個共享的緩存

ssl_session_timeout time;

客戶端連接可以復(fù)用ssl session cache中緩存的ssl參數(shù)的有效時長，默認(rèn)5m

9.ngx_http_rewrite_module模塊的配置使用：

將用戶請求的URI基于PCRE regex所描述的模式進行檢查，而后完成重定向替換

rewrite regex replacement [flag]

將用戶請求的URI基于regex所描述的模式進行檢查，匹配到時將其替換為 replacement指定的新的URI

注意：如果在同一級配置塊中存在多個rewrite規(guī)則，那么會自上而下逐個 檢查；被某條件規(guī)則替換完成后，會重新一輪的替換檢查

隱含有循環(huán)機制,但不超過10次；如果超過，提示500響應(yīng)碼，[flag]所表示 的標(biāo)志位用于控制此循環(huán)機制

如果replacement是以http://或https://開頭，則替換結(jié)果會直接以重向返 回給客戶端, 即永久重定向301

[flag]：

last：重寫完成后停止對當(dāng)前URI在當(dāng)前l(fā)ocation中后續(xù)的其它重寫操作， 而后對新的URI啟動新一輪重寫檢查；提前重啟新一輪循環(huán)，不建議在location中 使用

break：重寫完成后停止對當(dāng)前URI在當(dāng)前l(fā)ocation中后續(xù)的其它重寫操作， 而后直接跳轉(zhuǎn)至重寫規(guī)則配置塊之后的其它配置；結(jié)束循環(huán)，建議在location中使 用

redirect：臨時重定向，重寫完成后以臨時重定向方式直接返回重寫后生成 的新URI給客戶端，由客戶端重新發(fā)起請求；使用相對路徑,或者http://或https:// 開頭，狀態(tài)碼：302

permanent:重寫完成后以永久重定向方式直接返回重寫后生成的新URI給 客戶端，由客戶端重新發(fā)起請求，狀態(tài)碼：301

return

return code [text];

return code URL;

return URL;

停止處理，并返回給客戶端指定的響應(yīng)碼

rewrite_log on | off;

是否開啟重寫日志, 發(fā)送至error_log（notice level）

set $variable value;

用戶自定義變量

注意：變量定義和調(diào)用都要以$開頭

if (condition) { ... }

條件滿足時，執(zhí)行配置塊中的配置指令；server, location

condition：

比較操作符：

=? 相同? ? !=?? 不同

~：模式匹配，區(qū)分字符大小寫

~*：模式匹配，不區(qū)分字符大小寫

!~：模式不匹配，區(qū)分字符大小寫

!~*：模式不匹配，不區(qū)分字符大小寫

文件及目錄存在性判斷：

-e, !-e 存在（包括文件，目錄，軟鏈接）

-f, !-f? 文件? -d, !-d? 目錄? -x, !-x? 執(zhí)行

10.ngx_http_referer_module模塊的配置使用：

用來阻止Referer首部無有效值的請求訪問，可防止盜鏈

valid_referers none|blocked|server_names|string ...;

定義referer首部的合法可用值，不能匹配的將是非法值

none：請求報文首部沒有referer首部

blocked：請求報文有referer首部，但無有效值

server_names：參數(shù)，其可以有值作為主機名或主機名模式

arbitrary_string：任意字符串，但可使用*作通配符

regular expression：被指定的正則表達式模式匹配到的字符串,要使用~開頭

11.ngx_http_proxy_module 模塊的配置使用：

轉(zhuǎn)發(fā)請求至另一臺主機

proxy_pass URL;

可用于location上下文，例如：

server {

...

server_name HOSTNAME;

location /uri/ {

proxy_pass http://host[:port];? ?（注意: 最后沒有/)

}

...

}

上面示例：http://HOSTNAME/uri --> http://host/uri

如果上面示例中有 /，即：http://host[:port]/?? 意味著：http://HOSTNAME/uri --> http://host/? 即置換

注意：proxy_pass后面路徑不帶uri時，會將location的uri傳遞（附加）給后端主機 ，

proxy_pass后面的路徑是一個uri時，其會將location的uri替換為proxy_pass的 uri

如果location定義其uri時使用了正則表達式的模式，則proxy_pass之后必須不 能使用uri; 用戶請求時傳遞的uri將直接附加至后端服務(wù)器之后

proxy_set_header field value;

設(shè)定發(fā)往后端主機的請求報文的請求首部的值

適用于上下文：http, server, location

proxy_set_header X-Real-IP? $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

請求報文的標(biāo)準(zhǔn)格式如下：

X-Forwarded-For: client1, proxy1, proxy2

proxy_cache_path;

定義可用于proxy功能的緩存；

適用于上下文：http

proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];

proxy_cache zone | off; 默認(rèn)off

指明調(diào)用的緩存，或關(guān)閉緩存機制；

適用于上下文：http, server, location

????????proxy_cache_key string;

緩存中用于“鍵”的內(nèi)容

默認(rèn)值：proxy_cache_key $scheme$proxy_host$request_uri;

proxy_cache_valid [code ...] time;

定義對特定響應(yīng)碼的響應(yīng)內(nèi)容的緩存時長

適用于上下文：http

proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off

在被代理的后端服務(wù)器出現(xiàn)哪種情況下，可直接使用過期的緩存響應(yīng)客戶端

proxy_cache_methods GET | HEAD | POST ...;

對哪些客戶端請求方法對應(yīng)的響應(yīng)進行緩存，GET和HEAD方法總是被緩存

proxy_hide_header field;

默認(rèn)nginx在響應(yīng)報文中不傳遞后端服務(wù)器的首部字段Date, Server, X-Pad,? X-Accel-等，用于隱藏后端服務(wù)器特定的響應(yīng)首部

proxy_connect_timeout time;

定義與后端服務(wù)器建立連接的超時時長，如超時會出現(xiàn)502錯誤，默認(rèn)為 60s，一般不建議超出75s

proxy_send_timeout time;

將請求發(fā)送給后端服務(wù)器的超時時長；默認(rèn)為60s

proxy_read_timeout time;

等待后端服務(wù)器發(fā)送響應(yīng)報文的超時時長，默認(rèn)為60s

12.ngx_http_headers_module模塊 的配置使用：

向由代理服務(wù)器響應(yīng)給客戶端的響應(yīng)報文添加自定義首部，或修改指定首部的 值

?? ? ? ?add_header name value [always];

添加自定義首部

add_header X-Via? $server_addr;

add_header X-Cache $upstream_cache_status;

add_header X-Accel $server_name;

?? ? ? ?add_trailer name value [always];

添加自定義響應(yīng)信息的尾部

13.ngx_http_fastcgi_module模塊 的配置使用：

轉(zhuǎn)發(fā)請求到FastCGI服務(wù)器，不支持php模塊方式

?? ? ? ?fastcgi_pass address;

address為后端的fastcgi server的地址

可用位置：location, if in location

?? ? ? ?fastcgi_index name;

fastcgi默認(rèn)的主頁資源

?? ? ? ?fastcgi_param parameter value [if_not_empty];

設(shè)置傳遞給 FastCGI服務(wù)器的參數(shù)值，可以是文本，變量或組合

fastcgi_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];

定義fastcgi的緩存；

path?? 緩存位置為磁盤上的文件系統(tǒng)

max_size=size?? 磁盤path路徑中用于緩存數(shù)據(jù)的緩存空間上限

levels=levels：緩存目錄的層級數(shù)量，以及每一級的目錄數(shù)量? ?? levels=ONE:TWO:THREE

keys_zone=name:size? ? ?k/v映射的內(nèi)存空間的名稱及大小

inactive=time?? 非活動時長

fastcgi_cache zone | off;

調(diào)用指定的緩存空間來緩存數(shù)據(jù)

可用位置：http, server, location

? ? ? ? ??fastcgi_cache_key string;

定義用作緩存項的key的字符串

? ? ? ? ??fastcgi_cache_methods GET | HEAD | POST ...;

為哪些請求方法使用緩存

? ? ? ? ??fastcgi_cache_min_usesnumber;

緩存空間中的緩存項在inactive定義的非活動時間內(nèi)至少要被訪問到此處所指定的次數(shù)方 可被認(rèn)作活動項

? ? ? ? ??fastcgi_keep_connon | off;

收到后端服務(wù)器響應(yīng)后，fastcgi服務(wù)器是否關(guān)閉連接，建議啟用長連接

? ? ? ? ??fastcgi_cache_valid [code ...] time;

不同的響應(yīng)碼各自的緩存時長

14.ngx_http_upstream_module模塊?的配置使用：

用于將多個服務(wù)器定義成服務(wù)器組，而由proxy_pass, fastcgi_pass等指令 進行引用

upstream name { ... }

定義后端服務(wù)器組，會引入一個新的上下文

默認(rèn)調(diào)度算法是wrr

可用位置: http

例如：

upstream httpdsrvs {

server ...

server...

...

}

server address [parameters];

在upstream上下文中server成員，以及相關(guān)的參數(shù)；

可用位置upstream

address的表示格式：

unix:/PATH/TO/SOME_SOCK_FILE

IP[:PORT]

HOSTNAME[:PORT]

parameters：

weight=number? 權(quán)重，默認(rèn)為1

max_conns? 連接后端報務(wù)器最大并發(fā)活動連接數(shù)，1.11.5后支持

max_fails=number 失敗嘗試最大次數(shù)；超出此處指定的次數(shù)時，server將被標(biāo) 記為不可用,默認(rèn)為1

fail_timeout=time? 后端服務(wù)器標(biāo)記為不可用狀態(tài)的連接超時時長，默認(rèn)10s

backup 將服務(wù)器標(biāo)記為“備用”，即所有服務(wù)器均不可用時才啟用

down 標(biāo)記為“不可用”，配合ip_hash使用，實現(xiàn)灰度發(fā)布

ip_hash

源地址hash調(diào)度方法

least_conn 最少連接調(diào)度算法，當(dāng)server擁有不同的權(quán)重時其為wlc， 當(dāng)所有后端主機連接數(shù)相同時，則使用wrr，適用于長連接

hash key [consistent] 基于指定的key的hash表來實現(xiàn)對請求的調(diào)度， 此處的key可以直接文本、變量或二者組合

作用：將請求分類，同一類請求將發(fā)往同一個upstream server，使用 consistent參數(shù)，將使用ketama一致性hash算法，適用于后端是Cache服務(wù)器 （如varnish）時使用

hash $request_uri consistent;

hash $remote_addr;

keepalive 連接數(shù)N;

為每個worker進程保留的空閑的長連接數(shù)量,可節(jié)約nginx端口，并減少連 接管理的消耗

health_check [parameters];

健康狀態(tài)檢測機制；只能用于location上下文

常用參數(shù)：

interval=time檢測的頻率，默認(rèn)為5秒

fails=number：判定服務(wù)器不可用的失敗檢測次數(shù)；默認(rèn)為1次

passes=number：判定服務(wù)器可用的失敗檢測次數(shù)；默認(rèn)為1次

uri=uri：做健康狀態(tài)檢測測試的目標(biāo)uri；默認(rèn)為/

match=NAME：健康狀態(tài)檢測的結(jié)果評估調(diào)用此處指定的match配置塊

注意：僅對nginx plus有效

match name { ... }

對backend server做健康狀態(tài)檢測時，定義其結(jié)果判斷機制；只能用于http上下 文

常用的參數(shù)：

status? code[? code ...]: 期望的響應(yīng)狀態(tài)碼

header? HEADER[operator? value]：期望存在響應(yīng)首部，也可對期望的響 應(yīng)首部的值基于比較操作符和值進行比較

body：期望響應(yīng)報文的主體部分應(yīng)該有的內(nèi)容

注意：僅對nginx plus有效

15.ngx_stream_core_module模塊 的配置使用：

模擬反代基于tcp或udp的服務(wù)連接，即工作于傳輸層的反代或調(diào)度器

stream { ... }

定義stream相關(guān)的服務(wù)；

用于上下文:main

stream {

upstream mysqlsrvs {

server 192.168.22.2:3306;

server 192.168.22.3:3306;

least_conn;

}

server {

listen 10.1.0.6:3306;

proxy_pass mysqlsrvs;

}

}

listen

listen address:port [ssl] [udp] [proxy_protocol] [backlog=number] [bind] [ipv6only=on|off] [reuseport] [so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];

16.ngx_stream_proxy_module模塊 ?的配置使用：

可實現(xiàn)代理基于TCP，UDP (1.9.13), UNIX-domain sockets的數(shù)據(jù)流

proxy_pass address;

指定后端服務(wù)器地址

proxy_timeout timeout;

無數(shù)據(jù)傳輸時，保持連接狀態(tài)的超時時長?? 默認(rèn)為10m

proxy_connect_timeout time;

設(shè)置nginx與被代理的服務(wù)器嘗試建立連接的超時時長? 默認(rèn)為60s