简介

nginx(“engine x”)

  • 是俄罗斯人编写的十分轻量级的http服务器
  • 是一个高性能的http和反向代理服务器,同时也是IMAP/POP3/SMTP代理服务器
  • 官方网站:http://nginx.org/

安装

这里基于rocky9系统版本

安装常用软件

1
yum install -y tar wget

下载源码包

1
2
3
4
wget http://nginx.org/download/nginx-1.22.1.tar.gz
tar -zxvf nginx-1.22.1.tar.gz
cd nginx-1.22.1
# 这里使用1.22.1版本

安装编译依赖软件

1
yum -y install gcc pcre-devel openssl-devel zlib-devel

创建一个无法登录的用户

1
useradd -s /sbin/nologin nginx

编译安装

1
2
3
4
5
./configure --user=nginx --group=nginx --with-http_ssl_module --prefix=/usr/local/nginx

#--with-http_ssl_module --prefix=/usr/local/nginx 支持https和指定安装路径

make && make install

配置文件及目录

  • nginx配置文件及目录
    • /usr/local/nginx/ //安装目录
    • conf/nginx.conf //主配置文件
    • html //网页目录
    • logs //日志文件
    • sbin/nginx //启动脚本

启动

  • 启动nginx服务
1
/usr/local/nginx/sbin/nginx
  • 常用选项
    • -V:查看编译参数
    • -c:指定配置文件,启动服务
    • -t:测试配置文件语法是否有错误

平滑升级Nginx

这里升级到1.24.0版本

  • 下载并解压源码包
1
2
3
4
5
6
wget http://nginx.org/download/nginx-1.24.0.tar.gz

tar -zxvf nginx-1.24.0.tar.gz

cd nginx-1.24.0/

  • 编译
1
2
3
4
5
./configure --with-http_ssl_module

make

# 在执行make之后当前目录同级目录objs下面就有了编译好的nginx新版了

  • 使用新版nginx替换旧版nginx

    • 备份旧版nginx
    1
    [root@rocky nginx-1.24.0]# mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
    • 拷贝objs/nginx/usr/local/nginx/sbin/目录
    1
    cp objs/nginx /usr/local/nginx/sbin/
    • 把老的已经启动过的nginx禁止换成新版本的nginx
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    [root@rocky nginx-1.24.0]# make upgrade
    # 需要在源码包目录下执行。注意:make命令在哪个目录执行的make upgrade命令就在哪个目录下执行
    /usr/local/nginx/sbin/nginx -t
    nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
    nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
    kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`
    sleep 1
    test -f /usr/local/nginx/logs/nginx.pid.oldbin
    kill -QUIT `cat /usr/local/nginx/logs/nginx.pid.oldbin`

    # 此时用户前面是无感知的,但是通过ps -ef|grep nginx发现进程ID已经发生改变
    • 查看升级完成版本
    1
    2
    [root@rocky nginx-1.24.0]# /usr/local/nginx/sbin/nginx -v
    nginx version: nginx/1.24.0

Nginx基础配置

主配置文件结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
#user  nobody;
worker_processes  1;
# 工作的进程数

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}
# nginx默认支持的并发量

http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    server {
        listen       80; # 监听的端口
        server_name  localhost; # 绑定的域名

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.htm;
        }

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }

        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
        #}

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #location ~ /\.ht {
        #    deny  all;
        #}
    }


    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

}

默认情况下在eventshttp之外的内容都可以称为全局块

第一大块是全局块

第二大块是events块

第三大块是http块

在第三大块http块中每一个server代表的是一个虚拟主机,server域中解释

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
server {
    listen       80; # 监听的端口
    server_name  localhost; # 绑定的域名

    #charset koi8-r;

    #access_log  logs/host.access.log  main;

    location / {    
        root   html; # 指定网站的根路径,这里是相对路径,相对于nginx安装目录
        index  index.html index.htm; # 网站的默认首页
    }

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }

http块结构图

用户认证

默认nginx是所有人都可以访问,做用户认证就是希望不要让所有人打开网站,需要输入账号密码

用户认证实战

重新加载配置文件

  • 因为修改了配置文件,所以需要reload重新加载配置
1
/usr/local/nginx/sbin/nginx -s reload

虚拟主机

基于域名

基于域名的虚拟主机

1
2
3
4
5
6
7
8
9
server{
	listen	80;
	server_name yyt1.gs		# 域名1
}

server{
	listen	80;
	server_name yyt2.gs 	# 域名2
}

注意:基于域名的虚拟主机是通过更改server_name后面的域名来实现的

基于端口

基于端口的虚拟主机

1
2
3
4
5
6
7
8
9
server{
	listen	80;				# 端口
	server_name yyt.gs		# 域名
}

server{
	listen	81;				# 端口
	server_name yyt.gs 		# 域名
}

注意:基于端口的虚拟主机是通过更改listen监听的端口来实现的

基于IP

基于IP的虚拟主机

1
2
3
4
5
6
7
8
9
server{
	listen	192.168.0.100:80;				# 端口
	server_name yyt.gs						# 域名
}

server{
	listen	192.168.0.101:81;				# 端口
	server_name yyt.gs 						# 域名
}

注意:基于ip的虚拟主机是通过更改listen监听端口的前面添加IP来实现的

HTTPS网站加密

默认网站http是明文协议,https是加密协议

常见密钥算法

  • 对称加密
    • AES、DES # 加密和解密的方法都是同一个钥匙
  • 非对称加密
    • RSA、DSA # 加密和解密非同一把钥匙

攻击者可以直接抓取到明文密码

密钥不能在网络上传输,会被别人获取,就不在安全

ssl虚拟主机

  • SSL加密网站的核心技术是非对称生成密钥
    • 公钥、私钥、证书

nginx默认会去conf目录下去找对应的公钥或私钥

1
2
3
4
5
6
7
8
9
cd /usr/local/nginx/conf

openssl genrsa > yyt.key
# 生成私钥

openssl req -new -x509 -key yyt.key > yyt.pem
# req 申请的意思 new新建 x509是证书的格式类似word的扩展名doc  key指定私钥 
# 生成证书
# 证书其实是加了封皮的公钥

修改配置文件

地址重写