Nginx配置防盗链和内核参数优化

￡神魔★判官ぃ 2023-07-19 04:54 27阅读 0赞

### 前言 ###

*  理解盗链与防盗链
 *  内核参数优化

#### 为什么要配置防盗链呢？ ####

这么来说，我们在自己网站上存放的图片等其他静态资源，辛辛苦苦搭建好，就是想自家来点流量，结果被他人做了盗链，`链接到他们的网站上`，别人访问链接时，增加他的访问量，但消耗自己的服务器资源。气不气？所以建议大家没必要都公开发布的都做好防盗链。  
防止别人直接从你网站引用图片等链接，消耗了你的资源和网络流量，那么我们的解决办法由几种：  
1：水印，品牌宣传，你的带宽，服务器足够  
2：防火墙，直接控制，前提是你知道IP来源  
3：防盗链策略下面的方法是直接给予404的错误提示或重定向

#### 防盗链的原理 ####

防盗链的原理是加入location项，用正则表达式过滤图片类型文件，对于信任的网站可以使用，不信任的返回404或响应的错误图片。

#### 模拟盗链 ####

<table> 
 <thead> 
  <tr> 
   <th>域名</th> 
   <th>ip地址</th> 
   <th>备注</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>nginx服务器（www.daolian.com）</td> 
   <td>172.16.46.115</td> 
   <td>nginx已经安装</td> 
  </tr> 
  <tr> 
   <td>nginx服务器（www.yuan.com）</td> 
   <td>172.16.46.114</td> 
   <td>nginx已经安装</td> 
  </tr> 
 </tbody> 
</table>

1>//在www.yuan.com里html里面添加snow.jpg,已提供外网的访问

[root@yuan www]# cd /usr/local/nginx/html/
    [root@yuan html]# ls
    403.html  50x.html  index.html  snow.jpg

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgxNTE0MA_size_16_color_FFFFFF_t_70_pic_center]

2>//修改/etc/hosts/文件，使相互能够域名解析到

[root@172.16.46.115 ~]# cat /etc/hosts
    127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
    ::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
    172.16.46.115	www.daolian.com
    
    [root@172.16.46.114 ~]# cat /etc/hosts
    127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
    ::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
    172.16.46.114	www.yuan.com www.yuan1.com

宿主机访问也需要修改hosts文件  
![在这里插入图片描述][20200925001922189.png_pic_center]

3>//修改daolian.com主机的默认index.html，添加盗链的图片链接

[root@172.16.46.115 ]# cat /usr/share/nginx/html/index.html 
    <img src="http://www.yuan.com/snow.jpg" />
    [root@172.16.46.115 ]#

4>//访问www.daolian.com的首页，测试盗链是否成功！  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgxNTE0MA_size_16_color_FFFFFF_t_70_pic_center 1]

以上就是模拟了盗链的场景，现实生产也很常见，为了避免这种情况，下面就做了防盗链

#### 设置防盗链 ####

1>//修改`[root@yuan html]# vim /usr/local/nginx/conf/nginx.conf`

添加以下内容：
     location ~* ^.+\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ { 
            valid_referers none blocked *.yuan.com yuan.com;
            if ($invalid_referer) { 
            rewrite ^/ http://www.yuan1.com/timg.jpg; #重定向到yuan1.com下的图片
            #return 404;
    
            }
            access_log off;
        }
    保存退出
    nginx -s reload

添加重定向到yuan1.com的虚拟主机

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgxNTE0MA_size_16_color_FFFFFF_t_70_pic_center 2]

[root@yuan html]# cd /www
    [root@yuan www]# ls
    403.html  timg.jpg

> referer：http请求来源  
> valid-referers：白名单，允许通过的refer，即信任的网站  
> none：表示refer为空，直接在浏览器访问图片  
> blocked：refer不为空，但是值被代理或防火墙删除了后面网站或域名：referer里包含的相关字符串  
> if语句：如果链接的来源域名不在valid\_referers所列出的列表里$invalid\_referers则值为1，执行后面操作，进行重写或返回404

防盗链设置好以后，再来模拟盗链访问  
可以看见，已经无法获取到有效的资源了！

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgxNTE0MA_size_16_color_FFFFFF_t_70_pic_center 3]

#### nginx内核参数优化 ####

编辑这个`vim /etc/stsctl.conf` 修改参数  
nginx有着响当当的优点——高并发，官方给出数据3-5万并发，真实环境中谁设置谁倒霉，1-2万常见，就ok，就这比apache强的好多，听朋友说300-500(apache)就不错了,I/O模型不同，知道就ok了，下面聊一聊这些参数都是什么意思。  
`fs.file-max = 4096`：这个参数表示进程（比如一个 worker 进程）可以同时打开的最大句柄数，这个参数直线限制最大并发连接数，需根据实际情况配置。

`net.ipv4.tcp_max_tw_buckets = 6000` \#这个参数表示操作系统允许 TIME\_WAIT 套接字数量的最大值，如果超过这个数字，TIME\_WAIT 套接字将立刻被清除并打印警告信息。该参数默认为 180000，过多的 TIME\_WAIT 套接字会使 Web 服务器变慢。

`net.ipv4.ip_local_port_range = 1024 65000` \#允许系统打开的端口范围。  
`net.ipv4.tcp_tw_recycle = 1` \#启用 timewait 快速回收。  
`net.ipv4.tcp_tw_reuse = 1` \#开启重用。允许将 TIME-WAIT sockets 重新用于新的 TCP 连接。这对于服务器来说很有意义，因为服务器上总会有大量 TIME-WAIT 状态的连接。  
`net.ipv4.tcp_keepalive_time = 1200`：这个参数表示当 keepalive 启用时，TCP 发送 keepalive 消息的频度。默认是 2 小时，若将其设置的小一些，可以更快地清理无效的连接。

`net.ipv4.tcp_syncookies = 1` \#开启 SYN Cookies，当出现 SYN 等待队列溢出时，启用 cookies 来处理。

`net.core.somaxconn = 256` \#web 应用中 listen 函数的 backlog 默认会给我们内核参数的net.core.somaxconn 限制到 128，而 nginx 定义  
NGX\_LISTEN\_BACKLOG 默认为 511，所以有必要调整这个值。

`net.core.netdev_max_backlog = 20480`\#每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。

`net.ipv4.tcp_max_syn_backlog = 8192`\#这个参数标示 TCP 三次握手建立阶段接受 SYN 请求队列的最大长度，默认为 1024，将其设置得大一些可以使出现 Nginx 繁忙来不及 accept 新连接的情况时，Linux 不至于丢失客户端发起的连接请求。

`net.ipv4.tcp_rmem = 10240 87380 12582912`\#这个参数定义了 **TCP 接受缓存**（用于 TCP 接受滑动窗口）的最小值、默认值、最大值。

`net.ipv4.tcp_wmem = 10240 87380 12582912：`这个参数定义了 TCP **发送缓存**（用于 TCP 发送滑动窗口）的最小值、默认值、最大值。

`net.core.rmem_default = 6291456：`这个参数表示内核套接字**接受**缓存区默认的大小。  
`net.core.wmem_default = 6291456`：这个参数表示内核套接字**发送**缓存区默认的大小。  
`net.core.rmem_max = 12582912`：这个参数表示内核套接字**接受**缓存区的最大大小。  
`net.core.wmem_max = 12582912`：这个参数表示内核套接字**发送**缓存区的最大大小。  
`net.ipv4.tcp_syncookies = 1`：该参数与性能无关，用于解决 TCP 的 SYN 攻击。

例子：

[root@localhost ~]# vim /etc/sysctl.conf
    fs.file-max = 4096
    net.ipv4.ip_forward = 0
    net.ipv4.conf.default.rp_filter = 1
    net.ipv4.conf.default.accept_source_route = 0
    kernel.sysrq = 0
    kernel.core_uses_pid = 1
    net.ipv4.tcp_syncookies = 1
    kernel.msgmnb = 65536
    kernel.msgmax = 65536
    kernel.shmmax = 68719476736
    kernel.shmall = 4294967296
    net.ipv4.tcp_max_tw_buckets = 6000
    net.ipv4.tcp_sack = 1
    net.ipv4.tcp_window_scaling = 1
    net.ipv4.tcp_rmem = 10240 87380 12582912
    net.ipv4.tcp_wmem = 10240 87380 12582912
    net.core.wmem_default = 8388608
    net.core.rmem_default = 8388608
    net.core.rmem_max = 16777216
    net.core.wmem_max = 16777216
    net.core.netdev_max_backlog = 262144
    net.core.somaxconn = 40960
    net.ipv4.tcp_max_orphans = 3276800
    net.ipv4.tcp_max_syn_backlog = 262144
    net.ipv4.tcp_timestamps = 0
    net.ipv4.tcp_synack_retries = 1
    net.ipv4.tcp_syn_retries = 1
    net.ipv4.tcp_tw_recycle = 1
    net.ipv4.tcp_tw_reuse = 1
    net.ipv4.tcp_mem = 94500000 915000000 927000000
    net.ipv4.tcp_fin_timeout = 1
    net.ipv4.tcp_keepalive_time = 30
    net.ipv4.ip_local_port_range = 1024 65000

**执行 sysctl -p 使内核修改生效**

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgxNTE0MA_size_16_color_FFFFFF_t_70_pic_center]: /images/20230528/ffa0ad29b02a48aaad4e912e5efb3b77.png
[20200925001922189.png_pic_center]: /images/20230528/b9e2ff38d2ff4d4ca4c072837547ad4f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgxNTE0MA_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20230528/ecda3e105e2843588a3e33980358729c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgxNTE0MA_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20230528/3176c6ae6b77498698256383c885adeb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgxNTE0MA_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20230528/d1a5dfb19c5a47e79a3a4be8d1de9f85.png