Nginx on Ricky

Selectively Disabling HTTP/1.0 and HTTP/1.1

Tue, 03 Feb 2026 09:41:12 +0800

Selectively Disabling HTTP/1.0 and HTTP/1.1

http {

 ...

 # Check for text-based browsers
 map $http_user_agent $is_text_browser {
 default 0;

 # Text-Based Browsers (not exhaustive)
 "~*^w3m" 1;
 "~*^Links" 1;
 "~*^ELinks" 1;
 "~*^lynx" 1;

 # Bots (not exhaustive)
 "~*Googlebot" 1;
 "~*bingbot" 1;
 "~*Yahoo! Slurp" 1;
 "~*DuckDuckBot" 1;
 "~*YandexBot" 1;
 "~*Kagibot" 1;
 }

 # Check if request is HTTP/1.X
 map $server_protocol $is_http1 {
 default 0;
 "HTTP/1.0" 1;
 "HTTP/1.1" 1;
 }

 # If Request is not text-based browser,
 # and is HTTP/1.X, set the http1_and_unknown variable
 # to 1, which is equivalent to "true"
 map "$is_http1:$is_text_browser" $http1_and_unknown {
 default 0;
 "1:0" 1;
 }

 ...

}

使用 Fail2Ban + nftables 強化伺服器

Mon, 08 Dec 2025 16:45:51 +0800

使用 Fail2Ban + nftables 強化伺服器

NGINX 原生 ACME 支持：从根本上重塑 TLS 自动化部署

Mon, 20 Oct 2025 16:31:00 +0800

NGINX 原生 ACME 支持：从根本上重塑 TLS 自动化部署

`ngx_http_acme_module`

NGINX 1.25.1

pre-install

# 在 Debian/Ubuntu 系统上安装基础编译工具和 NGINX 依赖
sudo apt update
sudo apt install build-essential libpcre3-dev zlib1g-dev libssl-dev pkg-config libclang-dev git -y

# 安装 Rust 工具链 (cargo 和 rustc)
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
source $HOME/.cargo/env

mkdir -pv /app/nginx/{logs,conf,cache, acme} /app/nginx-build
cd /app/nginx-build

# 克隆 ACME 模块的源码
git clone https://github.com/nginx/nginx-acme.git /app/nginx-build/nginx-acme
# 或者
# git clone git@github.com:nginx/nginx-acme.git /app/nginx-build/nginx-acme

# 下载 NGINX 源码（请替换为您需要的版本）
wget https://nginx.org/download/nginx-1.28.0.tar.gz
tar -zxf nginx-1.28.0.tar.gz

compile

cd nginx-1.28.0
./configure \
 --prefix=/app/nginx \
 --error-log-path=/app/nginx/error.log \
 --http-log-path=/app/nginx/access.log \
 --pid-path=/app/nginx/nginx.pid \
 --lock-path=/app/nginx/nginx.lock \
 --http-client-body-temp-path=/app/nginx/cache/client_temp \
 --http-proxy-temp-path=/app/nginx/cache/proxy_temp \
 --http-fastcgi-temp-path=/app/nginx/cache/fastcgi_temp \
 --http-uwsgi-temp-path=/app/nginx/cache/uwsgi_temp \
 --http-scgi-temp-path=/app/nginx/cache/scgi_temp \
 --user=nginx \
 --group=nginx \
 --with-compat \
 --with-file-aio \
 --with-threads \
 --with-http_addition_module \
 --with-http_auth_request_module \
 --with-http_dav_module \
 --with-http_flv_module \
 --with-http_gunzip_module \
 --with-http_gzip_static_module \
 --with-http_mp4_module \
 --with-http_random_index_module \
 --with-http_realip_module \
 --with-http_secure_link_module \
 --with-http_slice_module \
 --with-http_ssl_module \
 --with-http_stub_status_module \
 --with-http_sub_module \
 --with-http_v2_module \
 --with-http_v3_module \
 --with-mail \
 --with-mail_ssl_module \
 --with-stream \
 --with-stream_realip_module \
 --with-stream_ssl_module \
 --with-stream_ssl_preread_module \
 --with-cc-opt='-g -O2 -ffile-prefix-map=/home/builder/debuild/nginx-1.28.0/debian/debuild-base/nginx-1.28.0=. -fstack-protector-strong -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' \
 --with-ld-opt='-Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie' \
 --add-dynamic-module=/app/nginx-build/nginx-acme

make && \
 make modules && \
 make install

# 运行配置脚本，这里的关键是 --add-dynamic-module
# 注意：您需要在这里包含您当前 NGINX 已有的所有编译参数，可以通过 nginx -V 查看
# 编译模块，注意是 make modules 而不是 make install

config

# /app/nginx/conf/nginx.conf
user nginx;
error_log error.log debug;
pid nginx.pid;

load_module modules/ngx_http_acme_module.so;

events {
 worker_connections 1024;
 multi_accept on;
}

http {
 include mime.types;
 default_type application/octet-stream;
 log_format main '$remote_addr - $remote_user [$time_local] "$host" "$request" '
 '$status $body_bytes_sent "$http_referer" '
 '"$http_user_agent" "$http_x_forwarded_for"';

 access_log access.log main;
 sendfile on;
 tcp_nopush on;
 charset utf-8;
 keepalive_timeout 65;
 gzip on;

 resolver 8.8.8.8 1.1.1.1;
 # 定义一个名为 letsencrypt 的 ACME 颁发机构实例
 acme_issuer letsencrypt {
 # 指定 ACME 服务提供商的目录 URL，这里是 Let's Encrypt 的生产环境
 uri https://acme-v02.api.letsencrypt.org/directory;
 # 提供一个联系邮箱，用于接收 CA 的重要通知（如证书即将过期）
 contact mailto:security-alerts@aidig.co;
 # 指定状态文件的存储路径，用于保存 ACME 账户密钥，非常重要
 state_path acme/letsencrypt;
 # 同意服务条款，对于 Let's Encrypt 等 CA 这是必需的步骤
 accept_terms_of_service;
 }
 # 可选指令 acme_shared_zone，用于存储所有配置的证书颁发者的证书、私钥和挑战数据。该区域默认大小为 256K，可根据需要增加
 acme_shared_zone zone=acme_shared:1M;

 server {
 listen 443 ssl;
 server_name ssl.aidig.co;

 # 步骤一：声明此 server 块启用 ACME，并指定使用上面定义的 letsencrypt 颁发机构
 acme_certificate letsencrypt;
 # 步骤二：使用动态变量加载由 ACME 模块在内存中管理的证书和私钥
 ssl_certificate $acme_certificate;
 ssl_certificate_key $acme_certificate_key;
 ssl_certificate_cache max=2; # required ngx 1.27.4+

 location / {
 default_type text/plain;
 return 200 'OK';
 }
 }

 server {
 listen 80 default_server;
 server_name _;

 # ACME 模块会自动处理 /.well-known/acme-challenge/ 的请求，此 location 用于处理所有其他请求
 location / {
 return 301 https://$host$request_uri;
 }
 }
}

降低家用 Web 服務被通報的機率

Thu, 02 Oct 2025 09:54:00 +0800

降低家用 Web 服務被通報的機率
透過明文協議嘗試請求 HTTPS 服務時，Nginx 會回傳特殊的 497 狀態碼。若發生此錯誤，我們希望 Nginx 直接關閉連線，不回傳任何回應。這需要另一個非標準狀態碼 444。綜合兩種狀態碼，我們需要在 server 中加入如下設定：

error_page 497 @close;

location @close {
 return 444;
}

使用 error_page 指令為 497 狀態碼設定虛擬路徑 @close，Nginx 在處理 @close 時發現要回傳 444，於是直接關閉連線。

此時你再用 curl 造訪對應埠口會看到如下錯誤：

curl http://example.zz.ac:5678 curl: (52) Empty reply from server

server {
 listen 5678 ssl;
 listen [::]:5678 ssl;

 server_name example.zz.ac;

 ssl_certificate ...;
 ssl_certificate_key ..;

 error_page 497 @close;

 location @close {
 return 444;
 }
 ...
}
server {
 listen 5678 ssl default_server;;
 listen [::]:5678 ssl default_server;;

 server_name _;

 ssl_certificate ...;
 ssl_certificate_key ..;

 return 444;
}

Nginx if 避坑指南

Sat, 15 Jun 2024 19:55:10 +0800

if 指令由 rewrite 模块提供，显然它主要是用于 URL 重写领域。典型的 if 用法如下：

http {
 server {
 listen 8080;

 if ($http_user_agent ~ MSIE) {
 rewrite ^(.*)$ /msie/$1 break;
 }

 if ($request_method = POST) {
 return 405;
 }
 }
}

上例中第一个 if 检查如果 user agent 字符串中包含 MSIE，就把 URL 重写为 /msie 开头的路径，这样就可以给微软的 IE 浏览器提供特供版本内容。

第二个 if 检查当前请求的 HTTP 方法，如果是 POST 请求则直接返回 405 状态码。

以上就是 if 最典型的用法，也是 Nginx 最初设想的用法～但很快就被用户玩坏了 😂

天下苦静态配置久矣，Nginx 终于支持动态配置了 👏 这个 if 不就是 c 语言里的条件判断吗？大家玩起来 🎢

Avoiding the Top 10 NGINX Configuration Mistakes - NGINX

Fri, 16 Sep 2022 15:22:23 +0800

Avoiding the Top 10 NGINX Configuration Mistakes - NGINX

1) 每個 worker 的檔案描述元（FD）不夠

問題點

worker_connections 只限制 單一 worker 可同時開啟的連線數（預設 512）。
但每個連線/檔案/暫存檔/日誌都會消耗 檔案描述元（FD），而 OS 預設每個 process 常見是 1024。
常見錯誤：只調大 worker_connections，卻沒有同步提高 FD 限制，導致 worker 提早耗盡 FD。

修正方式

在 main context 設定 worker_rlimit_nofile，至少為 worker_connections 的 2 倍（經驗值）。
同時確認系統總 FD 上限 fs.file-max 足夠： worker_rlimit_nofile * worker_processes 要明顯小於 fs.file-max。

# main context
worker_connections 1024; # 在 events {} 內
worker_rlimit_nofile 2048; # 在 main context

補充

NGINX 當 proxy 時：client 連線 1 FD + upstream 連線 1 FD，可能還需要暫存檔 1 FD。
若被 DoS 打滿 FD，甚至可能無法登入機器處置，因此要預留系統餘裕。

2) `error_log off` 其實沒有關閉 error log

問題點

error_log 不支援 off 參數。
寫成 error_log off; 會讓 NGINX 產生一個名為 off 的檔案（通常在 /etc/nginx/）。

修正方式（不建議真的關閉）

若真的必須停寫 error log（例如磁碟極度有限），改導到 /dev/null 並限制等級：

# main context
error_log /dev/null emerg;

補充

這條生效前，NGINX 啟動/ reload 驗證設定的過程仍可能先寫到預設路徑（常見 /var/log/nginx/error.log）。
可用啟動參數 nginx -e <error_log_location> 指定啟動階段的 error log 位置。

3) 沒有對 upstream 啟用 keepalive（導致連線/來源埠耗盡）

問題點

預設：NGINX 對 upstream 每個 request 都新建連線，連線建立/關閉都有成本。
高流量時會放大 OS 資源消耗；且連線關閉後會進入 TIME-WAIT，可能導致 來源埠（ephemeral ports）耗盡，進而無法建立新連線。

修正方式

(A) 在每個 upstream {} 內加 keepalive

實戰經驗整理的 25 個 Nginx 技巧

Wed, 10 Aug 2022 12:27:28 +0800

實戰經驗整理的 25 個 Nginx 技巧
server_tokens off;
ssl_protocols TLSv1.2 TLSv1.3;
停用不需要的 HTTP 方法

 location / {
 limit_except GET HEAD POST { deny all; }
 }

啟用基於 sysctl 的保護

net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1

防止圖片外連

location /images/ {
 valid_referers none blocked www.domain.com domain.com;
 if ($invalid_referer) {
 return 403;
 }
}

add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Nginx 使用 split_clients 进行简易 A/B 测试

Mon, 04 Jul 2022 14:36:23 +0800

Nginx 使用 split_clients 进行简易 A/B 测试

ngx_http_split_clients_module

configure

这里举例，我们想要 20% 的用户跳转到网址 https://example.com/，30% 的用户跳转到网址 https://example.org/，剩下的跳转到网址 https://examle.edu/

split_clients "${remote_addr}AAA" $variant {
 20% https://example.com/;
 30% https://example.org/;
 * https://example.edu/;
}

server {
 listen 80;
 listen [::]:80;
 server_name _;

 return 302 ${variant};
}

上述例子中，按照访客请求的 IP 地址加上 AAA 字符串会使用 MurmurHash2 转换成数字，如果得出的数字在前 20%，那么 $variant 值为 https://example.com/，相应的在中间 30% 区间的值为 https://example.org/，其他的为 https://example.edu/。

指定不同的目录

root /var/www/${variant};

指定不同的首页

index index-${variant}.html;

Nginx怎样隐藏上游错误

Mon, 27 Dec 2021 15:47:12 +0800

Nginx 怎样隐藏上游错误

Nginx 允许对以下 7 种可以进行重试的错误码启用 next upstream 功能

403 Forbidden
404 Not Found
429 Too Many Requests
500 Internal Server Error
502 Bad Gateway
503 Server Unavailable
504 Gateway Timeout

当上游返回 404 错误时，改为通过 200 返回一张找不到资源的图片

此时，可以通过 proxy_intercept_errors 指令完成这一功能当 proxy_intercept_errors 开启后，对于上游返回的大于等于 300 响应码的请求，都可以基于 error_page 指令继续处理

location /ih {
 proxy_pass http://ihBackend;
 proxy_intercept_errors on;
 error_page 404 = /404.html;
}
location = /404.html {
 alias html/404_not_found.html;
}

Nginx 筆記

Fri, 19 Nov 2021 14:35:58 +0800

紀錄 Nginx 設定檔及說明

檔案結構

.
├── geoip.conf
├── nginx.conf
├── sites-available
│ ├── default.conf
├── sites-enabled
│ ├── default.conf -> ../sites-available/default.conf
├── upstream.conf

geoip.conf

## module: ngx_http_geoip2_module
## https://github.com/leev/ngx_http_geoip2_module
## 讀取 GeoIP 資料庫，並進行變數設定
geoip2 /usr/share/GeoIP/GeoLite2-Country.mmdb {
 auto_reload 60m;
 $geoip2_metadata_country_build metadata build_epoch;
 ## 自定義 $geoip2_data_country_code 值為 $remote_addr 對應的 ISO 3116 規範的國碼
 $geoip2_data_country_code source=$remote_addr country iso_code;
 ## 自定義 $geoip2_data_country_name 值為對應的英文城市名
 $geoip2_data_country_name country names en;
}

upstream.conf

## module: ngx_http_upstream_module
## 定義 server 組別
upstream to_nodejs1 {
 ## server address [parameters]; 定義 server
 ## parameters:
 ## weight=number 定義權重，預設為 1
 ## max_fails=number 設定到 upstream server 的最大重試次數，預設為 1
 ## fail_timeout=time 設定到達 max_fails 次數之後，暫停向此 upstream server 傳送請求的時間，預設為 10 秒
 ## backup 標記此 upstream server 為備用，當其他 upstream server 不可用時，此 upstream server 可接受請求
 ## down 標記此 upstream server 為不可用
 server 10.7.0.12:90 max_fails=3 fail_timeout=5s;
 server 10.7.0.12:91 max_fails=3 fail_timeout=5s backup;
}

upstream to_nodejs2 {
 server 10.7.0.12:92 max_fails=3 fail_timeout=5s;
 server 10.7.0.12:93 max_fails=3 fail_timeout=5s backup;
}

upstream to_nodejs95 {
 server 10.7.0.12:95 max_fails=3 fail_timeout=5s;
}

## module: ngx_http_map_module
## map string $variable { ... } 建立一個新的變數
map $arg_agent $game_api {
 ## $arg_agent 請求中 agent 的值(https://abc.com/?agent=123)
 ## agent=60037, $game_api 的值為 to_nodejs95
 60037 to_nodejs95;
 ## agent 結尾是 1, 2, 3, 或是 4, $game_api 的值為 to_nodejs1
 ~*1$ to_nodejs1;
 ~*2$ to_nodejs1;
 ~*3$ to_nodejs1;
 ~*4$ to_nodejs1;
 ## 若 agent 不符合上開規則，預設 $game_api 的值為 to_nodejs2
 default to_nodejs2;
}

default.conf

## module: ngx_http_limit_req_module
## 限制請求處理
## limit_req_zone key zone=name:size rate=rate [sync]; 定義限制請求的規則
limit_req_zone $binary_remote_addr$server_name zone=websocket:10m rate=1r/m;
## limit_req_status code; 設定被拒絕連線的 HTTP 狀態碼，預設為 503
limit_req_status 502;

## 設定虛擬主機
server {
 ## listen port [default_server] [ssl] [http2 | spdy] [proxy_protocol] [setfib=number] [fastopen=number] [backlog=number] [rcvbuf=size] [sndbuf=size] [accept_filter=filter] [deferred] [bind] [ipv6only=on|off] [reuseport] [so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];
 ## 設定監聽的埠口，預設為 *:80
 ## 下方設定為監聽 80 port，且為預設的虛擬主機
 listen 80 default_server;
 ## server_name name ...; 設定虛擬主機名，可使用正則表示式，預設為 ""
 server_name _;

 access_log logs/default/default.log json;
 error_log logs/default/default.error.log warn;

 ## module: ngx_http_access_module
 ## allow address | CIDR | unix: | all; 允許 IP 訪問
 allow 1.1.1.1;
 ## deny address | CIDR | unix: | all; 禁止 IP 訪問
 deny 12.34.56.78;

 ## 設定請求訪問的根資料夾
 root /usr/share/nginx/html;
 ## limit_req zone=name [burst=number] [nodelay | delay=number]; 設定限制請求的規則 zone
 limit_req zone=websocket nodelay;
 ## limit_req_log_level info | notice | warn | error; 設定被拒絕連線的請求日誌等級，預設為 error
 limit_req_log_level warn;

 ## location [ = | ~ | ~* | ^~ ] uri { ... }
 ## location @name { ... } 依據請求的 URI 配置
 location / {
 default_type application/json;
 ## 返回 HTTP 狀態碼 200，並包含字串
 return 200 '{"Code": "$status", "IP": "$remote_addr"}';
 }
}


server {
 ## 下方設定為監聽 443 port，且為預設的虛擬主機，所有連線都使用 SSL
 listen 443 default_server ssl;
 server_name _;

 access_log logs/default/default.log json;
 error_log logs/default/default.error.log warn;
 ## module: ngx_http_ssl_module
 ## 設定 PEM 格式的證書
 ssl_certificate /etc/ssl/hddv1.com.crt;
 ## 設定 PEM 格式的密鑰
 ssl_certificate_key /etc/ssl/hddv1.com.key;
 ## 設定 SSL 版本，預設為 TLSv1 TLSv1.1 TLSv1.2
 ssl_protocols TLSv1.2 TLSv1.3;
 ## 設定啟用的加密方法，預設為 HIGH:!aNULL:!MD5
 ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:HIGH:!RC2:!RC4:!aNULL:!eNULL:!LOW:!IDEA:!DES:!TDES:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!EXPORT:!ANON";
 ## 為 DHE 加密法指定帶有 DH 參數的文件
 ssl_dhparam /etc/ssl/dhparams.pem;
 ## 是否優先使用 server 的加密法，預設為 off
 ssl_prefer_server_ciphers on;
 ## ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
 ## 設定緩存及大小，預設為 none
 ssl_session_cache shared:SSL:1m;
 ## 設定 session 可重複使用的時間，預設為 5 分鐘
 ssl_session_timeout 5m;
 add_header X-Frame-Options "SAMEORIGIN";
 add_header X-XSS-Protection "1; mode=block";
 add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";

 root /usr/share/nginx/html;
 limit_req zone=websocket nodelay;
 limit_req_log_level warn;
 default_type application/json;

 location / {
 default_type application/json;
 return 200 '{"Code": "$status", "IP": "$remote_addr"}';
 }
}

nginx.conf

## module: ngx_core_module
## worker_processes number | auto; 啟動 Nginx worker 程序數量, 設定 auto 即和 CPU 的數量相等
worker_processes auto;
## worker_rlimit_nofile number; Nginx worker 程序最大打開文件數，預設為系統 RLIMIT_NOFILE
worker_rlimit_nofile 131072;
## worker_shutdown_timeout time; 設定關閉超時時間，當執行 reload 或是其他相關指令，超過 time 時間之後，Nginx 會主動關閉所有受影響的 worker
worker_shutdown_timeout 60;

## error_log file [level]; 設定錯誤日誌寫入位置
## debug, info, notice, warn, error, crit, alert, emerg
error_log logs/error.log warn;

## pid file; 主程序 ID 文件位置
pid logs/nginx.pid;

## module: ngx_core_module
## 設定連線處理相關
events {
 ## worker_connections number; 單個 Nginx worker 程序的最大並發連接數，預設為 512，需要小於 worker_rlimit_nofile
 ## 最大連接數 = worker_connections * worker_processes
 worker_connections 102400;

 ## accept_mutex on | off; 預設為 off
 ## 只有一個新連線進入，如果設定為 on，只有一個 worker 會接受連線，其餘持續休眠
 ## 如果設定為 off，所有 worker 會被喚醒，只有一個 worker 會接受連線，其餘重新休眠
 ## 業務上使用 TCP 長連線、流量大，off 的效能以及 QPS 表現較佳
 accept_mutex off;

 ## multi_accept on | off; 是否同時接受所有的請求，預設為 off
 multi_accept on;
}

## module: ngx_http_core_module
## 設定 HTTP server 相關
http {
 ## module: ngx_core_module
 ## include file | mask; 使用文件中的設定
 ## 下方為設定 MIME 類型,類型由 mime.type 文件定義
 include mime.types;

 ## default_type mime-type; 定義默認 MIME 類型，預設為 text/plain
 default_type application/octet-stream;
 ## server_names_hash_max_size size; 設定 server_name 的 hash 表最大值，預設為 512 kb
 server_names_hash_max_size 2048;
 ## 設定 server_name 的 hash 表的大小，用於快速找到對應的 server_name，預設值取決於 CPU 的 L1 cache
 server_names_hash_bucket_size 256;
 ## server_tokens on | off | build | string; 是否在 Nginx 錯誤頁面顯示 Nginx 版本，預設為 on
 server_tokens off;
 ## 是否在錯誤日誌記錄 404
 log_not_found off;
 ## 是否啟用 sendfile() 提高文件傳輸效率，預設為 off
 sendfile on;
 ## 文件是否使用完整封包發送，預設為 off
 tcp_nopush on;
 ## 數據是否儘快傳送，預設為 on
 tcp_nodelay on;
 ## 設定長連線持續秒數，超過時間 Nginx 會主動關閉連線，預設為 75
 keepalive_timeout 70;
 ## client_max_body_size size; 設定請求允許最大的 body 大小
 client_max_body_size 64M;

 ## module: ngx_http_gzip_module
 ## 是否啟用 gzip 壓縮，預設為 off
 gzip on;
 ## 設定要壓縮的 Content-Length 最小值，預設為 20
 gzip_min_length 1k;
 ## 設定壓縮緩衝大小，預設為一頁記憶體
 ## gzip_buffers number size;
 gzip_buffers 4 32k;
 ## 設定壓縮等級，範圍 1 ~ 9，預設為 1
 gzip_comp_level 7;
 ## 設定要壓縮的 MIME 類型，預設為 text/html
 gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php application/json;
 ## 是否在 HTTP response header 增加 Vary: Accept-Encoding，預設為 off
 gzip_vary on;
 ## 針對特定 User-Agent 禁用壓縮
 ## 下方為設定禁用 IE 6
 gzip_disable "MSIE [1-6]\.";

 ## resolver address ... [valid=time] [ipv6=on|off] [status_zone=zone]; 使用指定的 NS 解析 server_name, upstream server 等
 resolver 114.114.114.114 8.8.8.8 1.1.1.1;

 ## module: ngx_http_headers_module
 ## add_header name value [always]; 在 HTTP response header 增加欄位
 ## 下方為設定允許跨域
 add_header Access-Control-Allow-Origin *;
 add_header Access-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
 add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
 add_header Access-Control-Expose-Headers 'WWW-Authenticate,Server-Authorization,User-Identity-Token';

 ## module: ngx_http_realip_module
 ## set_real_ip_from address | CIDR | unix:; 設定信任的可被替代的伺服器 IP，如反向代理伺服器
 set_real_ip_from 10.0.0.0/8;
 set_real_ip_from 172.16.0.0/12;
 set_real_ip_from 192.168.0.0/16;
 ## real_ip_header field | X-Real-IP | X-Forwarded-For | proxy_protocol; 定義使用哪個標頭取代獲取到的 client IP，預設為 X-Real-IP
 real_ip_header X-Forwarded-For;
 ## 將 real_ip_header 設定的標頭中，「最後一個非信任伺服器 IP」或是「最後一個 IP」當成真實 IP，預設為 off
 real_ip_recursive on;

 ## module: ngx_http_log_module
 ## log_format name [escape=default|json|none] string ...; 設定日誌格式
 log_format json escape=json '{"@timestamp":"$time_iso8601",'
 '"@source":"$server_addr",'
 '"ip":"$http_x_forwarded_for",'
 '"client":"$remote_addr",'
 '"request_method":"$request_method",'
 '"scheme":"$scheme",'
 '"domain":"$server_name",'
 '"client_host":"$host",'
 '"referer":"$http_referer",'
 '"request":"$request_uri",'
 '"args":"$args",'
 '"sent_bytes":$body_bytes_sent,'
 '"status":$status,'
 '"responsetime":$request_time,'
 '"upstreamtime":"$upstream_response_time",'
 '"upstreamaddr":"$upstream_addr",'
 '"http_user_agent":"$http_user_agent",'
 '"Country":"$geoip2_data_country_name",'
 '"State":"$geoip2_data_state_name",'
 '"City":"$geoip2_data_city_name",'
 '"all_agent":"$arg_agent",'
 '"dfw_agent":"$arg_proxy",'
 '"nw2_agent":"$arg_channel",'
 '"https":"$https"'
 '}';
 log_format main '$remote_addr - $remote_user [$time_local] "$request" '
 '$status $body_bytes_sent "$http_referer" '
 '"$http_user_agent" "$http_x_forwarded_for"';
 ## access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]]; 設定日誌寫入位置以及使用的日誌名稱
 ## access_log off; 不紀錄日誌
 access_log logs/access.log json;
}

Nginx 出現 500 Error 修復 (too many open file, connection)

Sat, 09 Oct 2021 11:51:06 +0800

Nginx 出現 500 Error 修復 (too many open file, connection)

Nginx 出現 500 Error, 錯誤訊息只能從 Log 查到, 有遇到下述兩種狀況:

socket() failed (24: Too many open files) while connecting to upstream

$ sudo su - www-data
$ ulimit -n # 看目前系統設定的限制 (ulimit -a # 可查看全部參數)
1024

# vim /etc/security/limits.conf # 由此檔案設定 nofile (nofile - max number of open files) 的大小
# 增加/修改 下述兩行
* soft nofile 655360
* hard nofile 655360

ulimit -n # 登出後, 在登入, 執行就會出現此值
655360

# 若 ulimit -n 沒出現 655360 的話, 可使用 ulimit -n 655360 # 強制設定
# 再用 ulimit -n 或 ulimit -Sn (驗證軟式設定)、ulimit -Hn (驗證硬式設定) 檢查看看(或 ulimit -a).

# 從系統面另外計算 + 設定
lsof | wc -l # 計算開啟檔案數量
sudo vim /etc/sysctl.conf
fs.file-max = 3268890
sudo sysctl -p

512 worker_connections are not enough while connecting to upstream

# /etc/nginx/nginx.conf
worker_connections 10240;

# 參考 Nginx CoreModule
# worker_processes 2;
# worker_rlimit_nofile 10240;
# events {
# # worker_connections 10240;
# }

# Nginx 的 connection 增加後, 整體速度會變慢很多, 主要原因是 php-cgi 不夠用, 所以要作以下調整.

# php-cgi was started with phpfcgid_children="10" and phpfcgid_requests="500"
# ab was run on another server, connect via a switch using GBit ethernet
# http://till.klampaeckel.de/blog/archives/30-PHP-performance-III-Running-nginx.html

# vim /etc/nginx/nginx.conf
worker_connections 10240;
worker_rlimit_nofile

# vim /etc/init.d/php-fcgi
PHP_FCGI_CHILDREN=15
PHP_FCGI_MAX_REQUESTS=1000
改成
PHP_FCGI_CHILDREN=512 # 或 150 慢慢加, 注意 MySQL connection 是否夠用
PHP_FCGI_MAX_REQUESTS=10240

# 上述文章的 phpfcgid_stop(), 寫得還不錯, 有需要可以用看看.
# phpfcgid_stop() {
# echo "Stopping $name."
# pids=`pgrep php-cgi`
# pkill php-cgi
# wait_for_pids $pids
# }

Nginx - request_time和upstream_response_time详解

Fri, 14 May 2021 16:04:04 +0800

Nginx - request_time 和 upstream_response_time 详解

time definition

request_time

从接受用户请求的第一个字节到发送完响应数据的时间，即$request_time 包括接收客户端请求数据的时间、后端程序响应的时间、发送响应数据给客户端的时间(不包含写日志的时间)。

upstream_response_time

从 Nginx 向后端建立连接开始到接受完数据然后关闭连接为止的时间

upstream_connect_time

跟后端 server 建立连接的时间，如果是到后端使用了加密的协议，该时间将包括握手的时间。

upstream_header_time

接收后端 server 响应头的时间

如果把整个过程补充起来的话应该是：

［1用户请求］［2建立 Nginx 连接］［3发送响应］［4接收响应］［5关闭 Nginx 连接］

那么 upstream_response_time 就是 2+3+4+5
但是一般这里面可以认为 ［5关闭 Nginx 连接］ 的耗时接近 0
所以 upstream_response_time 实际上就是 2+3+4
而 request_time 是 1+2+3+4
二者之间相差的就是 ［1用户请求］的时间。

upstream_response_time 比 request_time 大

https://forum.nginx.org/read.php?21,284448,284450#msg-284450

$upstream_response_time 由 clock_gettime(CLOCK_MONOTONIC_COARSE)计算，默认情况下，它可以过去 4 毫秒，相反，$request_time 由 gettimeofday()计算。所以最终 upstream_response_time 可能比 response_time 更大。

通过 Nginx 绕过 X-Frame-Options 限制

Mon, 26 Apr 2021 17:39:33 +0800

通过 Nginx 绕过 X-Frame-Options 限制

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面是否可以在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免 Clickjacking 攻击。通过 Nginx 的作为正向代理，我们可以绕过 X-Frame-Options 限制成功的将第三方网页嵌入到自己的页面中。

X-Frame-Options 响应头有三个可能的值：

deny: 表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。
sameorigin: 表示该页面可以在相同域名页面的 frame 中展示。
allow-from uri: 表示该页面可以在指定来源的 frame 中展示。

在 Chrome 尝试加载 frame 的内容时，如果 X-Frame-Options 响应头设置为禁止访问，那么 Chrome 会在控制台中显示如下错误。 Refuse to display 'http://192.168.20.101:8080' in a frame because it set 'X-Frame-Options' to 'deny'.

server {
 listen 8080;
 location / {
 proxy_hide_header X-Frame-Options;
 proxy_pass http://{target};
 }
}

这也当请求 http://{proxy_server}:8080 时，nginx 会做代理转发到 http://{target}，同时在返回结果的时候会隐藏掉 X-Frame-Options 相应头，这样我们自己的网页就能正常通过 iFrame 载入目标网页了。

Setting up JWT Authentication

Fri, 23 Apr 2021 11:13:34 +0800

Nginx SSL/TLS configuration with TLSv1.2 and TLSv1.3 - ECDHE and strong ciphers suite (Openssl 1.1.1)

Fri, 22 Jan 2021 13:49:17 +0800

Nginx SSL/TLS configuration with TLSv1.2 and TLSv1.3 - ECDHE and strong ciphers suite (Openssl 1.1.1)

ssl.conf

##
# SSL Settings (TLSv1.2 and TLSv1.3)
##
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS13+AESGCM+AES128:EECDH+AES128';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d;
ssl_session_tickets off;
ssl_ecdh_curve X25519:sect571r1:secp521r1:secp384r1

universal-ssl.conf

##
# SSL Settings (TLSv1.0 + TLSv1.1 + TLSv1.2 + TLSv1.3)
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS13+AESG+AES128:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES25GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-R-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-S:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d;
ssl_session_tickets off;
ssl_ecdh_curve X25519:sect571r1:secp521r1:secp384r1;

2020年，最新NGINX的ngx_http_geoip2模块以精准禁止特定国家或者地区IP访问

Tue, 27 Oct 2020 15:44:48 +0800

安装 geoip2 lib

cd /usr/local/src
rm -f libmaxminddb-1.4.2.tar.gz
wget https://github.com/maxmind/libmaxminddb/releases/download/1.4.2/libmaxminddb-1.4.2.tar.gz
tar -xzf libmaxminddb-1.4.2.tar.gz
cd libmaxminddb-1.4.2
yum install gcc gcc-c++ make -y
./configure
make
make check
sudo make install

echo '/usr/local/lib' > /etc/ld.so.conf.d/geoip.conf
sudo ldconfig

下载 ngx_http_geoip2_module 模块

cd /usr/local/src
wget https://github.com/leev/ngx_http_geoip2_module/archive/3.3.tar.gz
tar -xzf 3.3.tar.gz
mv ngx_http_geoip2_module-3.3 ngx_http_geoip2_module

# nginx集成
cd /usr/local/src
wget http://nginx.org/download/nginx-1.16.1.tar.gz
tar -zxf nginx-1.16.1.tar.gz
cd nginx-1.16.1
useradd -M -s /sbin/nologin www


yum install gcc gcc-c++ make pcre-devel zlib-devel openssl-devel -y
./configure --user=www --group=www --prefix=/usr/local/nginx \
--with-ld-opt="-Wl,-rpath -Wl,/usr/local/lib" \
--with-http_sub_module \
--with-http_realip_module \
--with-http_gzip_static_module \
--with-http_ssl_module \
--with-http_v2_module \
--add-module=/usr/local/src/ngx_http_geoip2_module

make
make install

geoip2 IP 地址库下载

2020 年最新 GeoLite2-City.mmdb 无法直接下载，必须注册 maxmind 账号

使用 Nginx HTTPS 與 Basic Auth 反向代理 VMware ESXi 6.5 修復 VMRC /screen

Sat, 17 Oct 2020 12:31:02 +0800

使用 Nginx HTTPS 與 Basic Auth 反向代理 VMware ESXi 6.5 修復 VMRC /screen

server {
 listen 80;
 server_name esxi.hackion.com;
 return 301 https://$server_name$request_uri;
}

server {
 listen 443 ssl;
 server_name esxi.hackion.com;

 ssl_certificate /mycert.crt;
 ssl_certificate_key /mykey.key;

 location / {
 auth_basic "Restricted Content";
 auth_basic_user_file /etc/nginx/.htpasswd;

 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header Origin '';
 proxy_set_header Authorization ''; #Don't pass the Nginx Basic Auth to ESXi or it will break VMRC.
 proxy_pass_header X-XSRF-TOKEN;
 proxy_pass https://esxi_server;
 proxy_send_timeout 300;
 proxy_read_timeout 300;
 send_timeout 300;
 client_max_body_size 1000m;

 # enables WS support
 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";
 }
}

server {
 listen 443 ssl http2;

 # ssl_certificate and ssl_certificate_key are required
 ssl_certificate /etc/letsencrypt/live/myletsencryptdomain/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/myletsencryptdomain/privkey.pem;

 include /etc/nginx/snippets/ssl-params.conf;
 # removed DH params as my ssl-params.conf specifies to only use ECDHE key exchange.

 server_name fqdn.extern;

 location / {
 proxy_set_header Host $http_host;
 proxy_set_header X-Real-IP $remote_addr;

 proxy_ssl_verify off; # No need on isolated LAN
 proxy_pass https://vcenter.ip; # esxi IP Address

 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";

 proxy_buffering off;
 client_max_body_size 0;
 proxy_read_timeout 36000s;

 proxy_redirect https://fqdn.local/ https://fqdn.extern/; # read comment below
 # replace vcenter-hostname with your actual vcenter's hostname, and esxi with your nginx's server_name.
 }

 location /websso/SAML2 {
 proxy_set_header Host fqdn.local; # your actual vcenter's hostname
 proxy_set_header X-Real-IP $remote_addr;

 proxy_ssl_verify off; # No need on isolated LAN
 proxy_pass https://vcenter.ip; # esxi IP Address

 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";

 proxy_buffering off;
 client_max_body_size 0;
 proxy_read_timeout 36000s;
 proxy_ssl_session_reuse on;

 proxy_redirect https://fqdn.local/ https://fqdn.extern/; # read comment below
 # replace vcenter-hostname with your actual vcenter's hostname, and esxi with your nginx's server_name.
 }
}

nginx 添加第三方nginx_upstream_check_module 模块实现健康状态检测

Sun, 26 Apr 2020 20:05:37 +0800

nginx.conf

 http {
 upstream cluster {
 # simple round-robin
 server 192.168.0.1:80;
 server 192.168.0.2:80;

 check interval=5000 rise=1 fall=3 timeout=4000;
 #check interval=3000 rise=2 fall=5 timeout=1000 type=ssl_hello;
 #check interval=3000 rise=2 fall=5 timeout=1000 type=http;
 #check_http_send "HEAD / HTTP/1.0\r\n\r\n";
 #check_http_expect_alive http_2xx http_3xx;
 }
...

 check
 syntax: *check interval=milliseconds [fall=count] [rise=count]
 [timeout=milliseconds] [default_down=true|false]
 [type=tcp|http|ssl_hello|mysql|ajp|fastcgi]*

 默认配置：interval=3000 fall=5 rise=2 timeout=1000 default_down=true type=tcp*
...

interval：检测间隔 3 秒
fall: 连续检测失败次数 5 次时，认定 relaserver is down
rise: 连续检测成功 2 次时，认定 relaserver is up
timeout: 超时 1 秒
default_down: 初始状态为 down,只有检测通过后才为 up
type: 检测类型方式 tcp
1. tcp :tcp 套接字,不建议使用，后端业务未 100%启动完成,前端已经放开访问的情况
2. ssl_hello：发送 hello 报文并接收 relaserver 返回的 hello 报文
3. http: 自定义发送一个请求，判断上游 relaserver 接收并处理
4. mysql: 连接到 mysql 服务器，判断上游 relaserver 是否还存在
5. ajp: 发送 AJP Cping 数据包，接收并解析 AJP Cpong 响应以诊断上游 relaserver 是否还存活(AJP tomcat 内置的一种协议)
6. fastcgi: php 程序是否存活

example

Nginx 如何防禦 DDoS 攻擊？

Fri, 20 Dec 2019 09:42:50 +0800

ngx_http_limit_req_module

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;

使用 Nginx 和 mod_pagespeed 自動將圖片轉換為 WebP 並輸出

Mon, 07 Oct 2019 10:35:22 +0800

使用 Nginx 和 mod_pagespeed 自動將圖片轉換為 WebP 並輸出

編譯 ngx_pagespeed

首先確保 Nginx 有 --with-compat 編譯參數，這樣就不需要按照一些奇怪的教學讓大家從頭開始編譯 Nginx

incubator: https://github.com/apache/incubator-pagespeed-ngx.git

# 切換到 nginx 原始碼目錄下開始設定編譯環境
./configure --with-compat --add-dynamic-module=../incubator-pagespeed-ngx

# 編譯 modules
make modules

# 將編譯好的 module 放到 nginx 目錄下
sudo cp objs/ngx_pagespeed.so /etc/nginx/modules/

# 建立快取資料夾以存放自動轉換的圖片
sudo mkdir -p /var/ngx_pagespeed_cache
sudo chown -R www-data:www-data /var/ngx_pagespeed_cache

load_module modules/ngx_pagespeed.so;


# enable pagespeed module on this server block
pagespeed on;

# Needs to exist and be writable by nginx. Use tmpfs for best performance.
pagespeed FileCachePath /var/ngx_pagespeed_cache;

# Ensure requests for pagespeed optimized resources go to the pagespeed handler
# and no extraneous headers get set.
location ~ "\.pagespeed\.([a-z]\.)?[a-z]{2}\.[^.]{10}\.[^.]+" {
 add_header "" "";
}
location ~ "^/pagespeed_static/" { }
location ~ "^/ngx_pagespeed_beacon$" { }

pagespeed RewriteLevel CoreFilters;

其中最後一段（pagespeed RewriteLevel CoreFilters;）表示啟用的最佳化方式，包含一些基礎的最佳化，例如：

用 Nginx 強制檔案下載

Mon, 19 Aug 2019 12:12:32 +0800

用 Nginx 強制檔案下載

add_header Content-Disposition 'attachment;';

server {
 listen 80;
 server_name my.domain.com;
 location ~ ^.*/(?P<request_basename>[^/]+\.(mp3))$ {
 root /path/to/mp3/
 add_header Content-Disposition 'attachment; filename="$request_basename"';
 }
}

{
 listen 80;
 server_name backup.baifu-tech.net;
 root /data/backup/rechargecent-mago;
 location / {
 auth_basic "baifu backup center";
 auth_basic_user_file /etc/nginx/ssl/htpasswd;
 autoindex on;
 autoindex_exact_size off;
 autoindex_localtime on;
 }
}

Nginx 請求處理流程你了解嗎？

Thu, 07 Mar 2019 14:05:55 +0800

Nginx 請求處理流程你了解嗎？

11 個處理階段

1）NGX_HTTP_POST_READ_PHASE：

接收到完整的 HTTP 標頭後處理的階段，位於 URI 重寫之前。實際上很少有模組會註冊在該階段，預設情況下會被跳過。

2）NGX_HTTP_SERVER_REWRITE_PHASE：

在 URI 與 location 匹配前修改 URI 的階段，用於重新導向。該階段執行 server 區塊內、location 區塊外的重寫指令。在讀取請求標頭的過程中，nginx 會根據 host 及埠號找到對應的虛擬主機設定。

3）NGX_HTTP_FIND_CONFIG_PHASE：

根據 URI 尋找匹配的 location 設定項階段，使用重寫後的 URI 來查找對應的 location。需要注意的是該階段可能會被執行多次，因為也可能有 location 級別的重寫指令。

4）NGX_HTTP_REWRITE_PHASE：

上一階段找到 location 後再次修改 URI，屬於 location 級別的 URI 重寫階段，也可能會被執行多次。

5）NGX_HTTP_POST_REWRITE_PHASE：

防止重寫 URL 後導致的死循環，屬於 location 重寫的下一階段，用來檢查上階段是否有 URI 重寫，並根據結果跳轉到合適的階段。

6）NGX_HTTP_PREACCESS_PHASE：

下一階段之前的準備，屬於存取權限控制的前一階段。一般也用於存取控制，例如限制存取頻率、連線數等。

7）NGX_HTTP_ACCESS_PHASE：

讓 HTTP 模組判斷是否允許請求進入 Nginx 伺服器的存取控制階段，例如基於 IP 白名單/黑名單、使用者名稱密碼等的權限控制。

8）NGX_HTTP_POST_ACCESS_PHASE：

存取控制的後一階段，根據上一階段的執行結果進行處理，向使用者送出拒絕服務的錯誤碼，用來回應上一階段的拒絕。

9）NGX_HTTP_TRY_FILES_PHASE：

為存取靜態檔案資源而設置，try_files 指令的處理階段。如果沒有設定 try_files 指令，該階段會被跳過。

10）NGX_HTTP_CONTENT_PHASE：

Nginx 访问日志中记录毫秒级别的时间精度

Tue, 24 Jul 2018 18:31:42 +0800

Nginx 的 access log 可以记录毫秒级的时间戳，但是是以 EPOCH 开始的毫秒数，比如 1503544071.865, 另一个变量 $time_local 记录的是秒级别的时间格式，比如 24/Aug/2017:11:07:51 +0800，在业务量大的时候，我们需要记录毫秒精度的时间格式，比如 24/Aug/2017:11:07:51.865 +0800, 这个可以通过 Lua 实现。

首先需要在 nginx.conf 中定义一个变量，叫做 time_millis，并初始化为空。类似于使用 auto-ssl 获取证书的时候需要指定一个 fallback 的自签证书。

 map $host $time_millis {
 default '';
 }

如果不定义这个变量，在 log_format 中引用的时候会报错。

使用 Lua 获取毫秒数，并追加到 $time_local 的末尾。

 log_by_lua_block {
 millis = string.gsub(ngx.var.msec, "(%d+).(%d+)", "%2")
 ngx.var.time_millis = string.gsub(ngx.var.time_local, "(.+) (.+)", "%1." .. millis .. " %2")
 }

在 log_format 中将 $time_local 改为 $time_millis

http {
 map $host $time_millis {
 default '';
 }

 log_by_lua_block {
 millis = string.gsub(ngx.var.msec, "(%d+).(%d+)", "%2")
 ngx.var.time_millis = string.gsub(ngx.var.time_local, "(.+) (.+)", "%1." .. millis .. " %2")
 }

 log_format main '$remote_addr - $remote_user [$time_millis] "$request" '
 '$status $body_bytes_sent "$http_referer" '
 '"$http_user_agent" $msec "$http_x_forwarded_for" $host $request_time $upstream_response_time $scheme "$request_body"';
}

與 DDoS 奮戰：nginx, iptables 與 fail2ban

Fri, 20 Jul 2018 18:47:42 +0800

與 DDoS 奮戰：nginx, iptables 與 fail2ban

Nginx on Ricky

Selectively Disabling HTTP/1.0 and HTTP/1.1

使用 Fail2Ban + nftables 強化伺服器

NGINX 原生 ACME 支持：从根本上重塑 TLS 自动化部署

ngx_http_acme_module

pre-install

compile

config

降低家用 Web 服務被通報的機率

Nginx if 避坑指南

Avoiding the Top 10 NGINX Configuration Mistakes - NGINX

1) 每個 worker 的檔案描述元（FD）不夠

問題點

修正方式

補充

2) error_log off 其實沒有關閉 error log

問題點

修正方式（不建議真的關閉）

補充

3) 沒有對 upstream 啟用 keepalive（導致連線/來源埠耗盡）

問題點

修正方式

實戰經驗整理的 25 個 Nginx 技巧

Nginx 使用 split_clients 进行简易 A/B 测试

ngx_http_split_clients_module

configure

指定不同的目录

指定不同的首页

Nginx怎样隐藏上游错误

Nginx 允许对以下 7 种可以进行重试的错误码启用 next upstream 功能

当上游返回 404 错误时，改为通过 200 返回一张找不到资源的图片

Nginx 筆記

紀錄 Nginx 設定檔及說明

檔案結構

geoip.conf

upstream.conf

default.conf

nginx.conf

Nginx 出現 500 Error 修復 (too many open file, connection)

socket() failed (24: Too many open files) while connecting to upstream

512 worker_connections are not enough while connecting to upstream

Nginx - request_time和upstream_response_time详解

time definition

upstream_response_time 比 request_time 大

通过 Nginx 绕过 X-Frame-Options 限制

Setting up JWT Authentication

Nginx SSL/TLS configuration with TLSv1.2 and TLSv1.3 - ECDHE and strong ciphers suite (Openssl 1.1.1)

ssl.conf

universal-ssl.conf

2020年，最新NGINX的ngx_http_geoip2模块以精准禁止特定国家或者地区IP访问

安装 geoip2 lib

下载 ngx_http_geoip2_module 模块

geoip2 IP 地址库下载

使用 Nginx HTTPS 與 Basic Auth 反向代理 VMware ESXi 6.5 修復 VMRC /screen

nginx 添加第三方nginx_upstream_check_module 模块实现健康状态检测

Nginx 如何防禦 DDoS 攻擊？

ngx_http_limit_req_module

使用 Nginx 和 mod_pagespeed 自動將圖片轉換為 WebP 並輸出

編譯 ngx_pagespeed

用 Nginx 強制檔案下載

Nginx 請求處理流程你了解嗎？

11 個處理階段

Nginx 访问日志中记录毫秒级别的时间精度

與 DDoS 奮戰：nginx, iptables 與 fail2ban

`ngx_http_acme_module`

2) `error_log off` 其實沒有關閉 error log