记录一下 Nginx 的基本使用与建站配置,免得改的时候又忘记了。 (这里不涉及 hexo 博客的具体配置细节,有专门的笔记)

Nginx 基本使用

基本命令

常见操作要求在 root 用户下进行:

  1. 第一类操作
  • 启动:systemctl nginx start
  • 关闭:systemctl nginx stop
  • 重启:systemctl nginx restart
  1. 第二类操作
  • 测试:nginx -t,显示配置文件目录,检查 nginx.conf 是否有语法错误,并进行测试。
  • 重新加载配置:nginx -s reload,reload 命令会重新加载配置文件,此时 nginx 服务不会中断,服务启动,文件即加载成功。
  • 平稳地关闭:nginx -s quit
  • 迅速地关闭:nginx -s stop

配置逻辑

简单记录一下 Nginx 的配置逻辑:(root 用户直接 apt-get 安装,而非源码编译)nginx 配置文件全部位于 /etc/nginx/ 目录,其中值得关注的配置包括:

  • nginx.conf 主配置文件
  • sites-available/ 文件夹
  • sites-enable/ 文件夹

主配置文件 nginx.conf 会先导入一些模块,值得关注的是最后的两行

1
2
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;

通常情况下:

  • conf.d/ 空目录
  • sites-available/ 含义为可以启用的站点,默认含有一个文件 default
  • sites-enabled/ 含义为正在启用的站点,默认含有一个文件 default,sites-enabled/ 通常只是一个中转环节,包括若干个指向 sites-available/ 具体站点配置的软链接

建站配置

因为个人不是相关专业的,下面的只是自己的理解和记录,可能有的表述不够准确。

防火墙

由于使用的是云服务器,这里实际上涉及了两层防火墙:

  • 第一层是腾讯云提供的防火墙,可以在腾讯云的控制台进行修改
  • 第二层是系统防火墙,需要在系统上进行修改 (ufw)

防火墙主要关注:允许或禁止哪些 ip 哪些协议(TCP/UDP)访问哪些端口,腾讯云的防火墙只会管理入流量,对于出流量默认全部开放。

关于 IP 的基本知识:

  • 私网 IP 地址范围:
    • 10.0.0.0 ~ 10.255.255.255(A类私网地址)
    • 172.16.0.0 ~ 172.31.255.255(B类私网地址)
    • 192.168.0.0 ~ 192.168.255.255(C类私网地址)
  • 公网 IP 地址:所有非私网保留范围的 IP 地址均属于公网地址,(理想情况下)可直接在互联网上路由。

关于端口的基本知识:端口使用一个 16 位的数字表示,它的范围是 0~65535,包括:

  • 0 到 1023 是被知名服务(Well-Known Ports)使用的端口,例如 http 的 80,https 的 443
  • 从 1024 到 49151,它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。
  • 从 49152 到 65535,理论上,不应为服务分配这些端口。实际上,机器通常从 1024 起分配动态端口。

如果一个服务(进程)已经在监听某个端口,那么其它服务就不可以再使用。

几个常见的默认端口:

  • 80 端口 默认 http 网络服务
  • 443 端口 默认 https 网络服务
  • 22 端口 默认 Linux ssh 远程登陆
  • 3389 端口 默认 Windows 远程登陆

当前的腾讯云防火墙的规则如下,这里除了浏览器需要的默认端口 80 和 443,其它都进行了更改:

  • 80 端口允许
  • 443 端口允许
  • 22 和 3389 端口拒绝,这两个是 Linux 和 Windows 默认的远程登陆的默认端口。
  • 手动修改 ssh 通过一个特殊端口 xxxxx 登录。(这可以极大地提高云服务器的安全性)

系统防火墙可以使用 sudo ufw status 查看,规则输出例如:

如下:

1
2
3
4
5
6
7
8
9
10
11
12
Status: active

To                         Action      From
--                         ------      ----
xxxxx/tcp                  ALLOW       Anywhere
22/tcp                     DENY        Anywhere
80/tcp                     ALLOW       Anywhere
443/tcp                    ALLOW       Anywhere
xxxxx/tcp (v6)             ALLOW       Anywhere (v6)
22/tcp (v6)                DENY        Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
443/tcp (v6)               ALLOW       Anywhere (v6)

注:

  • 防火墙如果未启用,那么默认允许所有的进出访问。
  • 防火墙在启动状态下,缺省的默认规则是禁止。
  • 可以使用 ufw 相关命令进行规则的新建或删除,例如 ufw delete allow 22/tcp,对于规则的修改是实时生效的,不需要重启防火墙。(ufw 开启之前务必反复确认规则是什么,不然一不小心把所有端口禁止,ssh 远程登陆的端口也会被禁掉,只能去机房直接登陆,或者使用云平台的特殊手段登陆)

域名与 DNS

在腾讯云购买了域名,需要设置域名的 DNS 解析规则,将其指向云服务器的公网 ip。

SSL

为了支持 https 访问,可以给域名申请免费的 SSL 证书。

将申请得到的证书放在固定位置,在 Nginx 配置中需要提供文件的对应位置。

目前免费域名的 SSL 证书有效期只有两三个月,很麻烦,需要频繁更新。虽然有一些定期自动更新的服务,但是我没有使用。

Nginx 网站配置

包括如下几条配置:

  • default_403
  • example.xyz(这里以 example.xyz 代表实际域名)

将这些文件存放在 /etc/nginx/sites-available/ 中,然后在 /etc/nginx/sites-enabled/ 中创建同名的软链接指向对应的项。

default_403

使用下面的配置进行默认匹配,它起到兜底的效果:如果后续的其它规则都不符合,就会对应到当前的配置,从而默认 403 拒绝。(否则 Nginx 可能将第一个配置视作默认行为)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# Default server configuration
# 默认虚拟主机配置,用于禁用默认请求
server {
    listen 80 default_server;
    listen 443 default_server ssl;

    listen [::]:80 default_server;
    listen [::]:443 default_server ssl;

    server_name _;

    ssl_certificate /path/to/ssl/example.xyz_bundle.crt;
    ssl_certificate_key /path/to/ssl/example.xyz.key;

    return 403;
}

example.xyz

这就是当前的博客网站,配置文件如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
## example.xyz

map $http_user_agent $block_ua {
    default 0;

    # 常见抓取工具/爬虫
    ~*(Scrapy|Curl|HttpClient|Wget|LWP::Simple|BBBike|ApacheBench|WebBench|java/) 1;

    # 其他指定 UA 或空 UA
    ~*(FeedDemon|JikeSpider|Indy|Alexa|AhrefsBot|CrawlDaddy|Wget|Curl|Scrapy) 1;

    ~^$ 1;  # 空 UA
}


# http -> https
server {
    listen 80;
    listen [::]:80;

    server_name example.xyz www.example.xyz;

    return https://$host$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name example.xyz www.example.xyz;

    ssl_certificate /path/to/ssl/example.xyz_bundle.crt;
    ssl_certificate_key /path/to/ssl/example.xyz.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305';
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

    location / {
        root /path/to/open/blog;
        index index.html;

        if ($block_ua) {
            return 403;
        }

        limit_except GET HEAD POST {
            deny all;
        }

        try_files $uri $uri/ $uri.html  /404.html =404;
    }
}

解释:

  • 监听 80 端口的 example.xyzwww.example.xyz,并转到 443 端口
  • 监听 443 端口的 example.xyzwww.example.xyz
  • 设置网站根位置为 /path/to/open/blog,作为博客的根目录
  • 设置SSL证书位置为 /path/to/ssl/example.xyz_nginx
  • 禁止一些常见的爬虫,包括使用 curlwget 的直接访问