日志

通过nginx限制连接数和请求数

有时候服务器会遭到大流量的恶意访问,这种攻击最直接的影响就是导致服务器持续高压,严重影响正常访问,导致这种情况的原因有很多,对于一些低配置的服务器可能只需要一次简单的恶意压测就可以导致服务器502.对于这种情况,我们可以考虑对相同IP的并发连接数和请求频率进行限制,nginx本身自带了两个模块可以作为解决方案,即ngx_http_limit_conn_module和ngx_http_limit_req_module.

  • ngx_http_limit_conn_module

简介:ngx_http_limit_conn_module是一个可以根据指定key来限制连接数的模块,尤其用于根据单个IP限制连接数.

语法:limit_conn_zone key zone=name:size;

上下文:http(即nginx配置的http作用域)

说明:开辟一个名为name,大小为size的共享内存区域,用于存储一系列key(s)的状态,特别是包含各个key的连接数,其中key可以是变量、文本或二者的组合(nginx 1.7.6之前只可以包含一个变量),另外1MB共享内存可以存储3.2万个32-byte状态(在32位平台中存储状态占用32bytes)或1.6万个64-byte(64位平台),当共享内存空间不足时,之后的请求会导致服务器返回503(Service Temporarily Unavailable) 错误.

语法:limit_conn zone number;

上下文:http ,server,location

说明:设置共享内存区域zone,使zone指定的key的连接数不大于number个,当超过这个number值时服务器会返回503(Service Temporarily Unavailable) 错误.

例子:设定一个名为addr的10MB共享内存,以客户端ip作为键,限制每个客户端ip最大并发连接数为5

http{
    ...
    # $binary_remote_addr是客户端ip地址,它和$remote_addr的区别在于它是固定4字节长度
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    server {
    ...
        location ~ \.php$ {
            limit_conn addr 5;
        }
    ...
    }
    ...
}
  • ngx_http_limit_req_module

阅读全文

日志

Nginx通过ngx_log_if模块实现日志过滤

有时候我们需要对服务器的access日志进行自定义过滤,例如不想记录任何404的访问日志等.在Apache下我们可以通过CustomLog [env=XXX]来实现,但Nginx自身并不提供类似的功能,不过从官方的第三方模块中我们可以找到 ngx_log_if 这个非常好用的扩展模块来实现同样的功能.

  • 重编译Nginx安装第三方模块

首先你需要知道你的Nginx版本
$ nginx -v

nginx version: nginx/1.6.3

Nginx历史版本下载 点击这里

从GIT下载 ngx_log_if 模块

$  git clone https://github.com/cfsego/ngx_log_if.git
Nginx编译
# 假设你的nginx安装在/etc/nginx , ngx_log_if 在/usr/lib/ngx_log_if 目录

# 解压nginx后开始重编译

$ ./configure --prefix=/etc/nginx --add-module=/usr/lib/ngx_log_if + ...你的原编译配置

$ make

注意:在configure参数中务必把原来的编译配置补全,通过下面的命令可以知道你原来的配置

$ nginx -V

编译结束后会生成一个新的nginx,先关闭旧的nginx,然后替换新编译的nginx(假设位于/usr/sbin/nginx),重启nginx即可

$ sudo nginx -s stop

# nginx路径按需要修改

$ sudo cp objs/nginx  /usr/sbin/nginx

$ sudo nginx

至此ngx_log_if模块安装完毕

  • 通过ngx_log_if进行Access日志过滤

server {
    # 不记录400响应状态的access日志
    access_log_bypass_if ($status = 400);
   
    # 不记录200响应状态且uri为 status.nginx 的访问日志
    access_log_bypass_if ($uri = 'status.nginx') and;
    access_log_bypass_if ($status = 200);
}

子配置会默认覆盖父配置

server {
    # 父配置 , 无效
    access_log_bypass_if ($status = 400);

    location / {
        # 子配置 , 有效
        access_log_bypass_if ($host ~* 'nolog.com');
    }
}
转载请注明出处:

© http://hejunhao.me

日志

Nginx 禁止通过IP直接访问网站

网站备案时需要禁止IP直接访问,否则会存在风险

  • Nginx配置

nginx配置非常简单,只需要添加一个空白的server即可

server{

    server_name _;

    return 444;

}

你也可以跳转到你的域名

server {
    server_name _;
    rewrite ^(.*) http://www.yourdomain.com;
}
  • 关于 444 响应状态码

444状态码用于Nginx表示服务器没有任何返回信息,并且会关闭连接.

转载请注明出处:

© http://hejunhao.me

日志

Ubuntu14.04 搭建 LNMP 环境

  • 环境

系统:Ubuntu 14.04.1 LTS

下面所有的安装都通过apt-get的方式,为了防止安装过程报错建议先执行一次更新

sudo apt-get update
  • MySQL安装

sudo apt-get install mysql-server mysql-client

安装期间会出现类似如下的Y/N选择,直接Y 回车即可(下同)

root@li568-33:/# sudo apt-get install mysql-server mysql-client
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
libaio1 libdbd-mysql-perl libdbi-perl libmysqlclient18 libterm-readkey-perl
mysql-client-5.5 mysql-client-core-5.5 mysql-common mysql-server-5.5
mysql-server-core-5.5
Suggested packages:
libclone-perl libmldbm-perl libnet-daemon-perl libplrpc-perl
libsql-statement-perl tinyca mailx
The following NEW packages will be installed:
libaio1 libdbd-mysql-perl libdbi-perl libmysqlclient18 libterm-readkey-perl
mysql-client mysql-client-5.5 mysql-client-core-5.5 mysql-common
mysql-server mysql-server-5.5 mysql-server-core-5.5
0 upgraded, 12 newly installed, 0 to remove and 123 not upgraded.
Need to get 0 B/9,260 kB of archives.
After this operation, 96.5 MB of additional disk space will be used.
Do you want to continue? [Y/n]y

中途会出现新的界面设置MySQL的root用户密码

首先设置root密码:yourpassword
然后重复输入root密码:yourpassword

等安装结束后输入以下命令查看是否成功

mysql --version

正常会显示类似以下的版本信息,则安装完成

mysql  Ver 14.14 Distrib 5.5.43, for debian-linux-gnu (x86_64) using readline 6.3

mysql的配置文件在:/etc/mysql/my.cnf
例如:若要允许远程访问请注释my.cnf 的 bind_address 127.0.0.1

  • Nginx安装

阅读全文