CentOS 6.5安装Nginx-1.6.2及安全配置

共计 6146 个字符，预计需要花费 16 分钟才能阅读完成。

注：以下所有操作均在 CentOS 6.5 x86_64 位系统下完成。

# 准备工作 #

在安装 Nginx 之前，请确保已经使用 yum 安装了 pcre 等基础组件，具体见《CentOS 安装 LNMP 环境的基础组件》。

#############################################

CentOS 安装 LNMP 环境的基础组件

在安装 LNMP 环境之前，请确保已经使用 yum 安装了以下各类基础组件（如果系统已自带，还可以考虑 yum update 下基础组件）：

gcc
cmake
openssl+openssl-devel
pcre+pcre-devel
bzip2+bzip2-devel
libcurl+curl+curl-devel
libjpeg+libjpeg-devel
libpng+libpng-devel
freetype+freetype-devel
php-mcrypt+libmcrypt+libmcrypt-devel
libxslt+libxslt-devel
gmp+gmp-devel
libxml2+libxml2-devel
mhash
ncurses+ncurses-devel
xml2

#############################################

然后创建 www 的用户组和用户，并且不允许登录权限：

# id www
id: www：无此用户
# groupadd www
# useradd -g www -s /sbin/nologin www
# id www
uid=501(www) gid=501(www) 组 =501(www)

#Nginx 的安装 #

开始下载 Nginx 并进行编译安装：

# cd /usr/local/src
# wget http://nginx.org/download/nginx-1.6.2.tar.gz
# tar zxf nginx-1.6.2.tar.gz
# cd nginx-1.6.2
# ./configure --prefix=/usr/local/nginx-1.6.2 --group=www --user=www --with-http_ssl_module --with-pcre --with-http_stub_status_module --with-http_gzip_static_module

Configuration summary
  + using system PCRE library
  + using system OpenSSL library
  + md5: using OpenSSL library
  + sha1: using OpenSSL library
  + using system zlib library

  nginx path prefix: "/usr/local/nginx-1.6.2"
  nginx binary file: "/usr/local/nginx-1.6.2/sbin/nginx"
  nginx configuration prefix: "/usr/local/nginx-1.6.2/conf"
  nginx configuration file: "/usr/local/nginx-1.6.2/conf/nginx.conf"
  nginx pid file: "/usr/local/nginx-1.6.2/logs/nginx.pid"
  nginx error log file: "/usr/local/nginx-1.6.2/logs/error.log"
  nginx http access log file: "/usr/local/nginx-1.6.2/logs/access.log"
  nginx http client request body temporary files: "client_body_temp"
  nginx http proxy temporary files: "proxy_temp"
  nginx http fastcgi temporary files: "fastcgi_temp"
  nginx http uwsgi temporary files: "uwsgi_temp"
  nginx http scgi temporary files: "scgi_temp"

# make && make install
# ln -s /usr/local/nginx-1.6.2/ /usr/local/nginx
# chown -R www:www /usr/local/nginx
# chown -R www:www /usr/local/nginx-1.6.2

把 Nginx 的 sbin 目录加入 PATH：

# vim /etc/profile

export PATH=$PATH:/usr/local/mysql/bin:$JAVA_HOME/bin:/usr/local/nginx/sbin

# source /etc/profile

查看 Nginx 的版本信息，并且检验上一步骤是否成功：

# nginx -V
nginx version: nginx/1.6.2
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx-1.6.2 --group=www --user=www --with-http_ssl_module --with-pcre --with-http_stub_status_module

至此，Nginx 已经安装完毕。

#Nginx 的启动 / 重启 / 关闭 #

给 Nginx 的 webapp 配置相关路径（这里是为了后面运维管理方便，可以把不同的 Web 项目放到该目录下）：

# mkdir -p /data/www

简单修改下配置文件：

# vim /usr/local/nginx/conf/nginx.conf

user  www;
worker_processes  1;
events {worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile      on;
    keepalive_timeout  65;
    gzip  on;
    server {listen       80;
        server_name  localhost;
        location / {
            root   html;
            index  index.html index.htm;
        }
    }
}

开始启动 Nginx：

# nginx

这个时候打开浏览器访问地址 http://youripaddress 应该可以看到：

CentOS 6.5 安装 Nginx-1.6.2 及安全配置

至此，Nginx 已经启动成功。

一般来说，当修改了 nginx.conf 配置文件后，可以直接重启让配置生效，重启之前一般检测下配置文件是否正确：

# nginx -t
nginx: the configuration file /usr/local/nginx-1.6.2/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx-1.6.2/conf/nginx.conf test is successful
# nginx -s reload

另外，重启也可以通过发信号的方式：

# kill -HUP ${master_pid}

关闭的命令如下：

# nginx -s quit
# nginx -s stop

注：quit 表示等请求结束后再关闭，stop 表示立刻关闭。

也可以通过发信号的方式来关闭：

# kill -QUIT ${nginx_master}
# kill -TERM ${nginx_master}
# kill -9 ${nginx_master}

注：-QUIT 表示从容停止，等所有请求结束后再关闭进程；TERM 则表示立刻关闭进程；- 9 表示强制关闭。

为了以后管理上的方便，我们这里写个启动脚本，以后就可以用 service 命令来启动，如下：

# vim /etc/init.d/nginxd

#!/bin/sh
# chkconfig: 2345 85 15
# description:Nginx Server

NGINX_HOME=/usr/local/nginx-1.6.2
NGINX_SBIN=$NGINX_HOME/sbin/nginx
NGINX_CONF=$NGINX_HOME/conf/nginx.conf
NGINX_PID=$NGINX_HOME/logs/nginx.pid

NGINX_NAME="Nginx"

. /etc/rc.d/init.d/functions

if [! -f $NGINX_SBIN ]
then
    echo "$NGINX_NAME startup: $NGINX_SBIN not exists! "
    exit
fi

start() {$NGINX_SBIN -c $NGINX_CONF
    ret=$?
    if [$ret -eq 0 ]; then
        action $"Starting $NGINX_NAME: " /bin/true
    else
        action $"Starting $NGINX_NAME: " /bin/false
    fi
}

stop() {kill `cat $NGINX_PID`
    ret=$?
    if [$ret -eq 0 ]; then
        action $"Stopping $NGINX_NAME: " /bin/true
    else
        action $"Stopping $NGINX_NAME: " /bin/false
    fi
}

restart() {
    stop
    start
}

check() {$NGINX_SBIN -c $NGINX_CONF -t
}


reload() {kill -HUP `cat $NGINX_PID` && echo "reload success!"
}

relog() {kill -USR1 `cat $NGINX_PID` && echo "relog success!"
}

case "$1" in
    start)
        start
        ;;
    stop)
        stop
        ;;
    restart)
        restart
        ;;
    check|chk)
        check
        ;;
    status)
        status -p $NGINX_PID
        ;;
    reload)
        reload
        ;;
    relog)
        relog
        ;;
    *)
        echo $"Usage: $0 {start|stop|restart|reload|status|check|relog}"
        exit 1
esac

# chmod +x /etc/init.d/nginxd
# chkconfig nginxd on

这样子就可以通过 service 来启动：

# service nginxd start

#Nginx 的安全配置 #

1、首先设置不允许目录浏览，默认配置即为不允许。

autoindex off

2、开启访问日志，nginx 中默认已开启，这里我们后续为了运维管理上的方便最好把日志单独放到 /data 目录下。

access_log /data/www/logs/localhost.access.log

3、确保目录的安全，由于 Nginx 使用的是 www 用户启动，黑客入侵服务器成功后将获得 www 用户的权限，所以需要确保网站 Web 目录和文件的属主与启动用户不同，防止网站被黑客恶意篡改和删除。网站 Web 目录和文件的属主可以设置为 root，其中 Web 目录权限统一设置为 755，Web 文件权限统一设置为 644。只有上传目录等可读写权限的目录可以被设置为 777，为了防止黑客上传木马到 777 权限目录中，还必须保证该 777 权限的目录没有执行脚本的权限。这里有两种情况处理：

1）对于使用 PHP 的业务，配置如下：

location ~* ^/data/www/logs/.*\.(php|php5)$ {deny all;}

注：当然最安全的还是给 PHP 的可执行目录采用白名单的方式，这个我们在 PHP 的安装一节中再详细介绍。

2）对于非使用 PHP 的业务（如 python、cgi 等），则需要禁止外部访问 777 目录，配置如下：

location ~ ^/data/www/logs/ {deny all;}

4、对于管理目录，需要限制访问的 IP 地址，比如这里限制访问 nginx 状态的：

server {location /nginx-admin {
        stub_status on;
        access_log logs/nginx-admin.log;
        allow 11.12.23.0/24;
        deny all;
    }

    location /admin {...}
}

注：上面配置的 11.12.23.0/24 指的就是当前运维客户端的 IP 地址段。

在允许 IP 的机器上输入地址应该可以看到：

CentOS 6.5 安装 Nginx-1.6.2 及安全配置

而不允许的用户访问应该是不可以的，会显示 403 错误，比如：

CentOS 6.5 安装 Nginx-1.6.2 及安全配置

5、把 Nginx 默认的首页等页面删除，使用业务自己的首页来顶替。

6、不允许 IP 直接访问服务器，这样的好处是怕当 IP 地址泄漏出去之后，被人用别的域名来指向了这个 IP 地址，可以设置让其返回 500 等错误码。比如：

server {listen        80 default;
    return 500;
}
server {listen        80;
    server_name   www.linuxidc.com tencent.com;
    root          /data/www/linuxidc;

    access_log    /data/logs/nginx/linuxidc.access.log;
    error_log     /data/logs/nginx/linuxidc.error.log;
}

注：上面的配置表示当使用 IP 地址直接访问时将出错，而使用域名访问时（比如请求 linuxidc.com 则正常）。

更多 Nginx 相关教程见以下内容：

CentOS 6.2 实战部署 Nginx+MySQL+PHP http://www.linuxidc.com/Linux/2013-09/90020.htm

搭建基于 Linux6.3+Nginx1.2+PHP5+MySQL5.5 的 Web 服务器全过程 http://www.linuxidc.com/Linux/2013-09/89692.htm

CentOS 6.3 下 Nginx 性能调优 http://www.linuxidc.com/Linux/2013-09/89656.htm

CentOS 6.3 下配置 Nginx 加载 ngx_pagespeed 模块 http://www.linuxidc.com/Linux/2013-09/89657.htm

Ubuntu 16.04 LTS 上安装 Nginx、MariaDB 和 HHVM 运行 WordPress http://www.linuxidc.com/Linux/2016-10/136435.htm

Nginx 安装配置使用详细笔记 http://www.linuxidc.com/Linux/2014-07/104499.htm

Linux（RHEL7.0）下安装 Nginx-1.10.2 http://www.linuxidc.com/Linux/2016-10/136484.htm

Nginx 日志过滤使用 ngx_log_if 不记录特定日志 http://www.linuxidc.com/Linux/2014-07/104686.htm

Nginx 的详细介绍：请点这里
Nginx 的下载地址：请点这里

本文永久更新链接地址：http://www.linuxidc.com/Linux/2016-12/137984.htm