Nginx安装配置合集

根据使用Apache2和Nginx的感受，我选择Nginx

安装

Ubuntu

sudo apt install nginx

Manjaro

yaourt -S nginx

安装完毕后查看是否成功

systemctl status nginx

模块

查看当前使用的Nginx支持的模块

ubuntu@VM-8-2-ubuntu:~$ nginx -V
nginx version: nginx/1.18.0 (Ubuntu)
built with OpenSSL 1.1.1f  31 Mar 2020
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-KTLRnK/nginx-1.18.0=. -fstack-protector-strong -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -fPIC' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-compat --with-pcre-jit --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --with-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-mail=dynamic --with-mail_ssl_module

如果没有我们需要的就要自己编译源码了。

nginx.conf

此文件默认在/etc/nginx/nginx.conf

通用设置

user www-data #要和网站文件权限一样
worker_processes auto;#工作进程数，推荐与线程数一样
worker_rlimit_nofile 100000;#同时连接的数量受限于系统上可用的文件描述符的数量，因为每个套接字将打开一个文件描述符。 
pid /run/nginx.pid
events {
	worker_connections 2048;#能够同时处理的链接数
	multi_accept on;#多个worker按串行方式来处理连接，也就是一个连接只有一个worker被唤醒，其他的处于休眠状态，设置为off后，多个worker按并行方式来处理连接，也就是一个连接会唤醒所有的worker，直到连接分配完毕，没有取得连接的继续休眠。当你的服务器连接数不多时，开启这个参数会让负载有一定的降低，但是当服务器的吞吐量很大时，为了效率，可以关闭这个参数。
}

http {
    sendfile on;#开启高效文件传输模式
	tcp_nopush on;#必须在sendfile开启模式才有效，防止网路阻塞，积极的减少网络报文段的数量（将响应头和正文的开始部分一起发送，而不一个接一个的发送。）
	tcp_nodelay on;#把小包组成成大包，提高带宽利用率
	keepalive_timeout 65;#设置保持连接的超时时长, 0 表示禁止长连接,默认为75s.
	types_hash_max_size 2048;#为了快速寻找到相应MIME type，Nginx使用散列表来存储MIME type与文件扩展名。types_hash_bucket_size 设置了每个散列桶占用的内存大小。
	server_tokens off;#不显示具体的版本号

	# server_names_hash_bucket_size 64;#服务器名字的hash表大小
	# server_name_in_redirect off;
    default_type text/html;#如果是未知类型文件，或者文件没有扩展名就认为他是网页文件
}

数据压缩

在服务器端进行数据压缩，在浏览器端解压减少数据传输带宽和数据量。

添加到http{}块中

##
# Gzip Settings
##

gzip on;#开启功能
gzip_vary on;# 该指令用于设置使用Gzip进行压缩发送是否携带“Vary:Accept-Encoding”头域的响应头部。主要是告诉接收方，所发送的数据经过了Gzip压缩处理 Accept-Encoding，建议开启
gzip_comp_level 6;# gzip 压缩级别 1-10 数字越大，压缩率越高，cpu使用越强
# gzip_buffers 16 8k;#处理请求压缩的缓冲区数量和大小。
# gzip_http_version 1.1;#当http版本为1.1时就压缩
gzip_proxied any;#这里设置无论header头是怎么样，都是无条件启用压缩
gzip_min_length 1k;# 设置允许压缩的页面最小字节数，页面字节数从header头得content-length中进行获取。默认值是0，不管页面多大都压缩
gzip_disable "MSIE [1-6]\.(?!.*SV1)";#IE 6及一下禁用gzip 
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript image/jpeg image/gif image/png;#可以压缩的文件类型

default

此文件位于/etc/nginx/sites-enabled/default是/etc/nginx/sites-available/default的软链接

重定向到https

将ip/http/www全部重定向至https

# redirect http://www.feater.top -> https://feater.top

server{
	listen 80;
	listen [::]:80;

	server_name www.feater.top;
	rewrite ^(.*)$ https://feater.top$1;
}

# rediect http -> https

server {
	listen 80;
	listen [::]:80;

	server_name feater.top;
	rewrite ^(.*)$ https://feater.top$1;
}

# redirect https://www.feater.top -> https://feater.top

server{
	listen 443;
	listen [::]:443;

	server_name www.feater.top;
	rewrite ^(.*)$ https://feater.top$1;
}

后面的$1是网址参数，它会将http://wwww.feater.top/mybook.html转换为https://feater.top/mybook.html.

最近（2022.06.03）发现谷歌爬虫会自动爬ip网址而不是域名网址，可以使用这种方法强制转换为域名。

SSL

在/etc/nginx/sites-enabled/default.conf中添加

server {
    listen 443 ssl default_server;
    listen [::]:443 ssl default_server;
    #listen 443 ssl http2;#使用http2,需要nginx>1.9
    server_name feater.top;
    charset utf-8;

    #开启SSL功能
    root /var/www/html;
    index index.html index.htm;
    # 修改这里，SSL 证书文件路径，由证书签发机构提供
    ssl_certificate  cert/fullchain.pem;
    # 修改这里，SSL 密钥文件路径，由证书签发机构提供
    ssl_certificate_key cert/private.key;
    # 修改这里，CA 根证书文件路径，由证书签发机构提供
    ssl_trusted_certificate cert/chain.pem;

    # 修改这里，Diffie-Hellman 密钥文件路径，建议定期更改
    # 生成方法: openssl dhparam -out dhparam.pem 4096
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    # 修改这里，加密或解密 session_ticket 密钥文件路径，建议定期更改
    # 生成方法: openssl rand 48 > session_ticket.key
    ssl_session_ticket_key /etc/nginx/ssl/session_ticket.key;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;#如果需要SSL支持TLSv1.3，需要使用OpenSSL draft-18+分支
    ssl_ciphers "TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DSS";

    ssl_prefer_server_ciphers on;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets on;
    ssl_buffer_size 1400;
    ssl_stapling on;
    ssl_stapling_verify on;

    # 修改这里，国内填 119.29.29.29，国外填 8.8.4.4 8.8.8.8
    resolver 119.29.29.29 valid=60s;
    resolver_timeout 5s;

    # 以下是SSL A+配置
    add_header Strict-Transport-Security "max-age=31536000";#如果证书支持多个域名可以添加; includeSubdomains
    add_header X-Content-Type-Options "nosniff";
    add_header X-Frame-Options "DENY";
    add_header X-XSS-Protection "1; mode=block";

    location / {
        autoindex on;
		autoindex_localtime on;
		# First attempt to serve request as file, then
		# as directory, then fall back to displaying a 404.
		try_files $uri $uri/ =404;
    }

    error_page 404 https://blog.jackeylea.com;
}

资源缓存

像图片、js/css脚本之类的一般不会更新的很频繁，使用缓存技术减少每次打开网页资源获取的耗时。

# cache files
location ~ .*\.(?:gif|jpg|jpeg|bmp|png|ico|css|js)$ {
	expires 30d;
	add_header X-Proxy-Cache $upstream_cache_status;
}

expires表示资源过期时间，每30天会从服务器获取新的数据。

PHP-FPM

安装软件包

yaourt -S php php-cgi php-fpm

在server{}下添加

#当请求网站下php文件的时候，反向代理到php-fpm
location ~ \.php$ {
    root           /var/www/html;
    fastcgi_pass   127.0.0.1:9000; #nginx fastcgi进程监听的IP地址和端口，要和php-fpm配置文件中的一致
    fastcgi_index  index.php;
    #include /usr/local/etc/nginx/fastcgi.conf; #加载nginx的fastcgi模块，如果没有fastcgi.conf配置文件的话，就需要动态配置了，如果有的话，就只需要include配置文件即可
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
    include fastcgi_params;
}

或者 我在Ubuntu下使用的

# pass PHP scripts to FastCGI server
#
location ~ \.php$ {
	include snippets/fastcgi-php.conf;

    # With php-fpm (or other unix sockets):
    fastcgi_pass unix:/run/php/php8.1-fpm.sock;
    # With php-cgi (or other tcp sockets):
    #	fastcgi_pass 127.0.0.1:9000;
}

注意：

• nginx.conf最顶部的user要和/etc/php/php-fpm.conf.d/www.conf中的user一致
• fastcgi_pass值要和www.conf中listen字段的值一致
• 网站源文件的用户和权限要和配置文件的一致

负载均衡

访问量太少，暂时没有用到这个功能

地区屏蔽

先去maxmind官网下载geoip2的数据包。

在http中添加

geoip2 /usr/share/GeoIP/GeoLite2-City.mmdb {
    auto_reload 5m;
    $geoip2_data_country_code country iso_code;
    }
map $geoip2_data_country_code $allowed_country {
    default yes;
    CN no;
}

在server中的location下添加

if ($allowed_country = yes) {
    # return https://www.baidu.com;
    # return /home/japan;
    return 404;
}

就可以将非中国地区的ip屏蔽

在线配置网站

• https://ssl-config.mozilla.org/#server=nginx&version=1.20.2&config=intermediate&openssl=1.1.1i&guideline=5.7
• https://www.digitalocean.com/community/tools/nginx?global.https.portReuse=true&global.app.lang=zhCN