阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Ubuntu下编译安装Nginx及相关设置

260次阅读
没有评论

共计 8105 个字符,预计需要花费 21 分钟才能阅读完成。

Ubuntu 下编译安装 Nginx 及相关设置

一、基本的编译与安装

1、安装依赖项

sudo apt-get update
sudo apt-get install build-essential zlib1g-dev libpcre3 libpcre3-dev libssl-dev libxslt1-dev libxml2-dev libgd2-xpm-dev libgeoip-dev libgoogle-perftools-dev libperl-dev libtool
sudo apt-get install openssl

2、下载新版本,到官网复制下载链接

wget http://nginx.org/download/nginx-1.13.5.tar.gz

3、解压

tar -zxvf nginx-1.13.5.tar.gz

4、编译安装

# 进入解压目录:cd nginx-1.13.5
# 配置:这里额外安装几个模块
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-stream --with-mail=dynamic

# 编辑 nginx:sudo make
# 安装 nginx:sudo make install
# 启动 nginx:sudo /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
#注意:-c 指定配置文件的路径,不加的话,nginx 会自动加载默认路径的配置文件,可以通过 - h 查看帮助命令。# 查看 nginx 进程:ps -ef|grep nginx

# 建立软链接(由于/usr/local/bin 包含于 $PATH 当中,这样就不需要额外的设置环境变量了,这意味着可以在其他路径下直接运行 nginx 命令)sudo ln -s /opt/dotnet/dotnet /usr/local/bin #(创建链接)

 编译选项说明:

–prefix=path 如果在编译的不指定安装位置,那么默认的位置 /usr/local/nginx 目录
–sbin-path=path 设置 nginx 执行脚本的位置,这里如果设置在 path 变量里面,就可以在 bash 环境下,任意使用 nginx 命令,默认位置 prefix/sbin/nginx  注意这里的 prefix 是在配置文件里面配置的路径
–conf-path=path 配置 nginx 配置文件的路径,如果不指定这个选项,那么配置文件的默认路径就会是 prefix/conf/nginx.conf
–pid-path =path 配置 nginx.pid file 的路径,一般来说,进程在运行的时候的时候有一个进程 id,这个 id 会保存在 pid file 里面,默认的 pid file 的放置位置是 prefix/logs/nginx.pid
–error-log-path=path 设置错误日志的存放路径,如果不指定,就默认 prefix/logs/error.log
–http-log-path= path 设置 http 访问日志的路径,如果不指定,就默认 prefix/logs/access.log
–user=name 设置默认启动进程的用户,如果不指定,就默认 nobody
–group=name 设置这个用户所在的用户组,如果不指定,依然是 nobody
–with-http_ssl_module 开启 HTTP SSL 模块,使 NGINX 可以支持 HTTPS 请求。需要安装了 OPENSSL 
–with-http_flv_module 
–with-http_stub_status_module 启用 “server status” 页
–without-http_gzip_module 禁用 ngx_http_gzip_module. 如果启用,需要 zlib
–without-http_ssi_module 禁用 ngx_http_ssi_module 
–without-http_referer_module 禁用 ngx_http_referer_module 
–without-http_rewrite_module 禁用 ngx_http_rewrite_module. 如果启用需要 PCRE。
–without-http_proxy_module 禁用 ngx_http_proxy_module 
–without-http_fastcgi_module 禁用 ngx_http_fastcgi_module 
–without-http_memcached_module 禁用 ngx_http_memcached_module 
–without-http_browser_module 禁用 ngx_http_browser_module 
–http-proxy-temp-path=PATH 设置路径到 the http proxy temporary files 
–http-fastcgi-temp-path=PATH 设置路径到 Set path to the http fastcgi temporary files 
–without-http 禁用 HTTP server
–with-mail 启用 IMAP4/POP3/SMTP 代理模块 
–with-mail_ssl_module 启用 ngx_mail_ssl_module 
–with-openssl=DIR 设置路径到 OpenSSL library sources 
–with-stream 用来实现四层协议的转发、代理或者负载均衡等

二、ssl 的相关配置

1、使用自己生成的证书(仅作测试或加密数据用,不被主流浏览器支持)

# 建立服务器私钥(过程需要输入密码,请记住这个密码)生成 RSA 密钥
sudo openssl genrsa -des3 -out testcert.key 1024  
# 生成一个证书请求   
# 需要依次输入国家,地区,组织,email。# 最重要的是有一个 common name,可以写你的名字或者域名。如果为了 https 申请(不使用自己生成的证书,向 CA 申请),这个必须和域名吻合,否则会引发浏览器警报。生成的 csr 文件交给 CA 签名后形成服务端自己的证书
sudo openssl req -new -key testcert.key -out testcert.csr
# 生成不需要密码的 key
sudo openssl rsa -in testcert.key -out testcert_nopwd.key  
# 生成 crt 文件
sudo openssl x509 -req -days 365 -in testcert.csr -signkey testcert_nopwd.key -out testcert.crt

之后将 testcert_nopwd.key、testcert.csr、testcert.crt 文件 复制到 /etc/ssl/certs 目录下

然后配置 nginx.conf 文件

由于在编译中设置的路径是 /usr/local/nginx,因此该文件位于 /usr/local/nginx/conf 目录下。
打开改文件,在 http 模块作如下设置:
ssl_certificate /etc/ssl/certs/testcert.crt;
ssl_certificate_key /etc/ssl/certs/testcert.key;

 具体的代码:

http {
    include       proxy.conf;
    include       mime.types;
    default_type  application/octet-stream;  

    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
    server_tokens off;
    
    sendfile        on;
    #tcp_nopush     on;
   
    keepalive_timeout  29;
    client_body_timeout 10; 
    client_header_timeout 10; 
    send_timeout 10;
    #gzip  on;

    # mvctest 是一个名称,与具体的程序相关
    upstream mvctest{server localhost:5000;
    }

    server {listen       80;
        add_header Strict-Transport-Security max-age=15768000;
        return 301 https://$host$request_uri;
    }

    server {listen *:443    ssl;
        server_name     localhost;
        ssl_certificate /etc/ssl/certs/testcert.crt;
        ssl_certificate_key /etc/ssl/certs/testcert.key;
        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
        ssl_ecdh_curve secp384r1;
        ssl_session_cache shared:SSL:10m;
        ssl_session_tickets off;
        ssl_stapling on; #ensure your cert is capable
        ssl_stapling_verify on; #ensure your cert is capable

        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        add_header X-Frame-Options SAMEORIGIN;
        add_header X-Content-Type-Options nosniff;

        #Redirects all traffic
        location / {proxy_pass  http://localhost:5000;
            limit_req   zone=one burst=10 nodelay;
            limit_req_status 503;
        }
    }

}

上面定义的区域名称为 one(zone=one),分配内存大小为 10m(如果限制域的存储空间耗尽了,对于后续所有请求,服务器都会返回 503),
同一个 ip($binary_remote_addr)平均处理的请求频率不能超过每秒 5 次(rate=5r/s);如果超过每秒 5 次但超过的请求数量小于等于 10(burst=10)时,会延迟请求。
如果超过每秒 5 次的请求数超过 10,则立即返回 503(limit_req_status 503)给客户端

2、申请证书
常用免费证书:https://letsencrypt.org/
通常来说,将 CSR 文件(生成方式同上,或者按照 CA 的要求)就是你需要提交给 SSL 认证机构的,当你的域名或组织通过验证后,认证机构就会颁发给你两个文件:test_com.crt 和 test_com.ca-bundle
而 test_com.key 是需要用在 Nginx 配置里和 test_com.crt、test_com.ca-bundle 配合使用的,需要好好保管。

# 使用 cat 命令生成
cat test_com.crt  test_com.ca-bundle > test_com.pem

最终得到两个文件:test_com.key 和 test_com.pem,为了统一位置,可以把这二个文件都移动到 /etc/ssl/private 目录或者 /etc/ssl/cert 目录。
然后可以修改 nginx.conf 文件, 如下:

server {  
    #...
    ssl on;
    ssl_certificate /etc/ssl/private/test_com.pem;
    ssl_certificate_key /etc/ssl/private/test_com.key;
    #...

}

同使用自生成证书基本一样,只是重新替换为认证机构颁发的证书而已。

3、迪菲-赫尔曼密钥交换
以上这么做并不安全,默认是 SHA-1 形式,而现在主流的方案应该都避免 SHA-1,为了确保更强的安全性,我们可以采取迪菲-赫尔曼密钥交换
首先,进入 /etc/ssl/certs 目录,执行命令 sudo  openssl dhparam -out dhparam.pem 4096 生成一个 dhparam.pem 

test@test-VirtualBox:/etc/ssl/certs$ sudo  openssl dhparam -out dhparam.pem 4096
[sudo] test 的密码:Generating DH parameters, 4096 bit long safe prime, generator 2
This is going to take a long time
# ... 会等一段时间,与机器性能有关...
#完成后可以查看生成的文件
test@test-VirtualBox:~$ cd /etc/ssl/certs/
test@test-VirtualBox:/etc/ssl/certs$ ll dhparam.pem 
-rw-r--r-- 1 root root 769 9 月  27 11:49 dhparam.pem

修改 nginx.conf 文件, 添加 ssl_dhparam /etc/ssl/certs/dhparam.pem; 即可

ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

三、启动相关

1、常用命令

# 启动 Nginx
/usr/local/nginx/sbin/nginx 
./sbin/nginx 
#停止 Nginx
./sbin/nginx -s stop 
./sbin/nginx -s quit
# - s 都是采用向 Nginx 发送信号的方式。#Nginx 重新加载配置
./sbin/nginx -s reload
#指定配置文件
./sbin/nginx -c /usr/local/nginx/conf/nginx.conf
#- c 表示 configuration,指定配置文件
#查看 Nginx 版本
./sbin/nginx -v
#帮助
./sbin/nginx -h
./sbin/nginx -?

2、自动启动
编译安装需要自己进行设置方可自动启动

# 设置 nginx 自启动,在 /lib/systemd/system/ 目录下创建一个服务文件
vim /lib/systemd/system/nginx.service

内容如下:

[Unit]
Description=nginx - high performance web server
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s stop

[Install]
WantedBy=multi-user.target

文件说明
[Unit] 部分
Description: 描述服务
After: 依赖,当依赖的服务启动之后再启动自定义的服务

[Service]部分
Type=forking 是后台运行的形式
ExecStart 为服务的具体运行命令(需要根据路径适配)
ExecReload 为重启命令(需要根据路径适配)
ExecStop 为停止命令(需要根据路径适配)
PrivateTmp=True 表示给服务分配独立的临时空间
注意:启动、重启、停止命令全部要求使用绝对路径

[Install]部分
服务安装的相关设置,可设置为多用户

# 设置了自启动后,任意目录下执行
systemctl enable nginx.service
# 启动 nginx 服务
systemctl start nginx.service
# 设置开机自动启动
systemctl enable nginx.service
# 停止开机自动启动
systemctl disable nginx.service
# 查看状态
systemctl status nginx.service
# 重启服务
systemctl restart nginx.service
# 查看所有服务
systemctl list-units --type=service

四、可能遇到的问题
nginx: [emerg] SSL_CTX_use_PrivateKey_file(“/etc/ssl/certs/testcert.key”) failed (SSL: error:0906406D:PEM routines:….
nginx 启动的时候需要输入证书密码,解决办法是可以使用私钥来生成解密后的 key 来代替,效果是一样的(就跟 ssh 连接差不多),达到免密码重启的效果:
openssl rsa -in testcert.key -out untestcert.key
接下来你只需要在 nginx 里面使用新的 untestcert.key 即可使用 https 连接了。

nginx: [emerg] zero size shared memory zone “oneip”
出现此错误都是因为在未指定 limit_req_zone 指定就使用了 limit_req 指令的原因(或者 limit_req 中的 name 值和 limit_req_zone 中定义的 name 值不一致)。

Nginx 403 forbidden 的解决办法  http://www.linuxidc.com/Linux/2017-08/146084.htm

CentOS 7 下 Nginx 服务器的安装配置  http://www.linuxidc.com/Linux/2017-04/142986.htm

CentOS 上安装 Nginx 服务器实现虚拟主机和域名重定向  http://www.linuxidc.com/Linux/2017-04/142642.htm

CentOS 6.8 安装 LNMP 环境(Linux+Nginx+MySQL+PHP)http://www.linuxidc.com/Linux/2017-04/142880.htm

Linux 下安装 PHP 环境并配置 Nginx 支持 php-fpm 模块  http://www.linuxidc.com/Linux/2017-05/144333.htm

Nginx 服务的 SSL 认证和 htpasswd 认证  http://www.linuxidc.com/Linux/2017-04/142478.htm

Ubuntu 16.04 上启用加密安全的 Nginx Web 服务器  http://www.linuxidc.com/Linux/2017-07/145522.htm

Linux 中安装配置 Nginx 及参数详解  http://www.linuxidc.com/Linux/2017-05/143853.htm

Nginx 日志过滤 使用 ngx_log_if 不记录特定日志 http://www.linuxidc.com/Linux/2014-07/104686.htm

CentOS 7.2 下 Nginx+PHP+MySQL+Memcache 缓存服务器安装配置  http://www.linuxidc.com/Linux/2017-03/142168.htm

CentOS6.9 编译安装 Nginx1.4.7  http://www.linuxidc.com/Linux/2017-06/144473.htm

Nginx 的详细介绍:请点这里
Nginx 的下载地址:请点这里

本文永久更新链接地址:http://www.linuxidc.com/Linux/2017-09/147157.htm

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-21发表,共计8105字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中