时间服务、日志服务、sudo;nginx模块
1搭建chrony时间服务器
安装:
yum install chrony -y
查看chrony的配置文件
rpm -ql chrony | grep "conf$"
vim /etc/chrony.conf
创新互联建站成立于2013年,是专业互联网技术服务公司,拥有项目做网站、网站建设网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元抚宁做网站,已为上家服务,为抚宁各地企业和个人服务,联系电话:18980820575
使用pool.ntp.org项目中的公共服务器。以server开,理论上你想添加多少时间服务器都可以。
Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
server 2.centos.pool.ntp.org iburst
server 3.centos.pool.ntp.org iburst
根据实际时间计算出服务器增减时间的比率,然后记录到一个文件中,在系统重启后为系统做出最佳时间补偿调整。
driftfile /var/lib/chrony/drift
chronyd根据需求减慢或加速时间调整,
在某些情况下系统时钟可能漂移过快,导致时间调整用时过长。
该指令强制chronyd调整时期,大于某个阀值时步进调整系统时钟。
只有在因chronyd启动时间超过指定的限制时(可使用负值来禁用限制)没有更多时钟更新时才生效。
makestep 1.0 3
将启用一个内核模式,在该模式中,系统时间每11分钟会拷贝到实时时钟(RTC)。
rtcsync
Enable hardware timestamping on all interfaces that support it.
通过使用hwtimestamp指令启用硬件时间戳
#hwtimestamp eth0
#hwtimestamp eth2
#hwtimestamp *
Increase the minimum number of selectable sources required to adjust
the system clock.
#minsources 2
指定一台主机、子网,或者网络以允许或拒绝NTP连接到扮演时钟服务器的机器
#allow 192.168.0.0/16
#deny 192.168/16
Serve time even if not synchronized to a time source.
local stratum 10
指定包含NTP验证密钥的文件。
#keyfile /etc/chrony.keys
指定日志文件的目录。
logdir /var/log/chrony
Select which information is logged.
#log measurements statistics tracking
服务器保持默认配置,关闭防火墙SELINUX
在另一台主机上,打开配置文件,注释掉其他服务器
server 192.168.159.131 iburst`
重启服务
systemctl restart chronyd
验证是否成功
chronyc sources -v
2.日志服务器的搭建,rsyslog
在服务器端的vim /etc/rsyslog.conf
添加如下,这是开启
$ModLoad imudp #引用udp协议的模块
$UDPServerRun 514 #设置udp协议使用端口
$ModLoad imtcp #引用udp协议
$InputTCPServerRun 514
在客户端添加如下*.info;mail.none;authpriv.none;cron.none @192.168.159.131
facitlity.priority 模式可在其他文档看到
3sudo
sudo:
1.进行修改配置文件不建议直接在主配置文件下; 2.授权的命令必须要格式一致,多一个"/"都会出错; 3.运行时必须使用sudo
为方便使用visudo 打开自定义的配置有自动加亮等特点 使用 export EDITOR=vim
2.系统管理员的身份实际依据的是uid=0
2.visudo -f /etc/sudoers.d/xx ; 切换用户后必须使用 sudo cmd ; centos5不支持扩展配置文件
3.%group 一旦某组授权了,其中的用户可以使用
4.使用pssh将自定义的sudo授权文件推送给多台主机,在各自服务器上进行修改并使用,不建议使用nfs,会出现用户发生更改等诸多问题~nfsnobody!!
5.将文件发往多台主机
pscp.pssh -A -h ip.txt /etc/sudoers.d/file /etc/sudoers.d/
4nginx相关模块
(部分来自其他师哥的博客)
配置文件:
主配置文件:/etc/nginx/nginx.conf
main配置段常见的配置指令
正常运行必备的配置
1、user
Syntax: user user [group];
Default: user nobody nobody;
Context: main
2、pid /PATH/TO/PID_FILE;
指定存储nginx主进程进程号码的文件路径;
3、include file | mask;
指明包含进来的其它配置文件;
4、load_module file;
指明要装载的动态模块;
优化性能相关的配置
1、worker_processes number | auto;
worker进程的数量(小于等于主机cpu的物理核心数;)
auto:当前主机物理CPU核心数;
2、worker_cpu_affinity cpumask ...;
worker_cpu_affinity auto [cpumask];把nginx进程绑定到指定cpu
CPU MASK:cpu掩码
3、worker_priority number;
指定worker进程的nice值,设定worker进程优先级;[-20,20]
4、orker_rlimit_nofile number;
worker进程所能够打开的文件数量上限
调试和定位问题的配置
1、daemon on|off;
是否以守护进程方式运行Nignx;
2、master_process on|off;
是否以master/worker模型运行nginx,默认on;
3、error_log file [level];错误日志等级
事件驱动相关的配置
1、worker_connections number;
每个worker进程所能够打开的最大并发连接数数量
2、use method;
指明并发连接请求的处理方法;
3、accept_mutex on | off;
处理新的连接请求的方法(on:worker轮流处理,Off:每个新请求都通知所有的worker进程)
与套接字相关的配置
1、server{...}:配置一个虚拟主机
server {
listen address[:PORT]|PORT;
server_name SERVER_NAME; #主机名(可使用通配符或正则表达式)
root /PATH/TO/DOCUMENT_ROOT;
proxy_pass http://ip; #反向代理
tcp_nodelay on | off #默认on,keepalive模式下数据包不会立即发送,而是等到数据包到最大时才一次性发出去,有利于解决网络堵塞
tcp_nopush on | off #sendfile模式下,是否等待应用层首部合并一起发送
sendfile on | off
}
定义路径相关的配置
1、root 资源路径映射
2、location 根据url进行对应配置
=:精确匹配;
~:正则表达式匹配,区分大小写;
~*:正则表达式匹配,不区分大小写;
^~:左侧匹配,不区分字符大小写;
不带符号:匹配起始于此uri的所有的url;
匹配优先级:=,^~,~/~*,不带符号
3、alias 路径别名
server{
listen 80;
server_name www.linux.io;
location ^~ /images/{
root /data/pictures/; #匹配/data/pictures/images
# alias /data/pictures/; #匹配/data/pictures/
}
4、index 默认资源
5、error_page 指定错误页
6、try_files
定义客户端请求的相关配置
1、keepalive_timeout
keepalive的超时时长,0表示禁止长连接(默认为75s)
2、keepalive_requests
一次长连接上允许请求资源的最大数量(默认为100)
3、keepalive_disable none | browser ...;
对哪种浏览器禁用长连接;
4、send_timeout ;
向客户端发送响应报文的超时时长(两次写操作之间的间隔时长)
5、client_body_buffer_size size;
用于接收客户端请求报文的body部分的缓冲区大小(默认16k),超出大小时,其将被暂存到磁盘上的由 client_body_temp_path指令所定义的位置;
6、client_body_temp_path path [level1 [level2 [level3]]];
设定用于存储客户端请求报文的body部分的临时存储路径及子目录结构和数量;
对客户端限制的相关配置
1、limit_rate rate;
限制响应给客户端的传输速率,单位是bytes/second,0表示无限制;
2、limit_except method ... { ... }
限制对指定的请求方法之外的其它方法的使用客户端;
文件操作优化的配置
1、aio on | off | threads[=pool];
是否启用aio功能;
2、directio size | off;
在Linux主机启用O_DIRECT标记,此处意味文件大于等于给定的大小时使用,例如directio 4m;
3、open_file_cache off;
open_file_cache max=N [inactive=time];
nginx可以缓存以下三种信息:
(1) 文件的描述符、文件大小和最近一次的修改时间;
(2) 打开的目录结构;
(3) 没有找到的或者没有权限访问的文件的相关信息;
max=N:可缓存的缓存项上限;达到上限后会使用LRU算法实现缓存管理;
inactive=time:缓存项的非活动时长,在此处指定的时长内未被命中的或命中的次数少于* * *
4、open_file_cache_min_uses指令所指定的次数的缓存项即为非活动项;
5、open_file_cache_valid time;
缓存项有效性的检查频率;默认为60s;
6、open_file_cache_min_uses number;
在open_file_cache指令的inactive参数指定的时长内,至少应该被命中多少次方可被归类为活动项;
7、open_file_cache_errors on | off;
是否缓存查找时发生错误的文件一类的信息;
ngx_http_access_module模块:
实现基于ip的访问控制功能
1、allow address | CIDR | unix: | all;
2、deny address | CIDR | unix: | all;
http, server, location, limit_except
ngx_http_auth_basic_module模块
实现基于用户的访问控制,使用basic机制进行用户认证;
1、auth_basic string | off;
2、auth_basic_user_file file;
ngx_http_stub_status_module模块
用于输出nginx的基本状态信息
1、stub_status ;
Active connections: 活动状态的连接数;
accepts:已经接受的客户端请求的总数;
handled:已经处理完成的客户端请求的总数;
requests:客户端发来的总的请求数;
Reading:处于读取客户端请求报文首部的连接的连接数;
Writing:处于向客户端发送响应报文过程中的连接数;
Waiting:处于等待客户端发出请求的空闲连接数;
ngx_http_log_module
模块以指定的格式写入请求日志
(1)log_format name string ...;
string可以使用nginx核心模块及其它模块内嵌的变量;
(2)access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];
access_log off;#关闭日志记录
(3)open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];
ngx_http_gzip_module:
压缩传输模块
(1)gzip on | off;
启用或禁用压缩响应
(2)gzip_comp_level level;
设置响应的GZIP压缩级别。可接受的值在1到9的范围内。
(3)gzip_disable regex ...;
禁用与“用户代理”标题字段匹配的任何指定正则表达式的请求响应的GZIPIP。
(4)gzip_min_length length;
启用压缩功能的响应报文大小阈值;
(5)gzip_buffers number size;
支持实现压缩功能时为其配置的缓冲区数量及每个缓存区的大小;
(6)gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;
nginx作为代理服务器接收到从被代理服务器发送的响应报文后,在何种条件下启用压缩功能的;
off:对代理的请求不启用
no-cache, no-store,private:表示从被代理服务器收到的响应报文首部的Cache-Control的值为此三者中任何一个,则启用压缩功能;
(7)gzip_types mime-type ...;
压缩过滤器,仅对此处设定的MIME类型的内容启用压缩功能;
ngx_http_ssl_module
(1) ssl on | off;
是否启用ssl
(2)ssl_certificate file;
当前虚拟主机使用PEM格式的证书文件;
(3)ssl_certificate_key file;
当前虚拟主机上与其证书匹配的私钥文件;
(4)ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];
支持ssl协议版本,默认为后三个;
(5)ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
builtin[:size]:使用OpenSSL内建的缓存,此缓存为每worker进程私有;
[shared:name:size]:在各worker之间使用一个共享的缓存;
(6)ssl_session_timeout time;
客户端一侧的连接可以复用ssl session cache中缓存 的ssl参数的有效时长;
ngx_http_rewrite_module
URL重定向,URL重写查找替换。将用户请求的URI基于regex所描述的模式进行检查,而后完成替换;
(1)rewrite regex replacement [flag]
将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为replacement指定的新的URI;
【注意】如果在同一级配置块中存在多个rewrite规则,那么会自下而下逐个检查;被某条件规则替换完成后,会重新一轮的替换检查,因此,隐含有循环机制;[flag]所表示的标志位用于控制此循环机制;
last(循环):重写完成后停止对当前URI在当前location中后续的其它重写操作,而后对新的URI启动新一轮重写检查;提前重启新一轮循环;
break(跳出循环):重写完成后停止对当前URI在当前location中后续的其它重写操作,而后直接跳转至重写规则配置块之后的其它配置;结束循环;
redirect:重写完成后以临时重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求;不能以http://或https://开头;
permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求;
(2)return返回
return code [text];
return code URL;
return URL;
停止处理并将指定的代码返回给客户端。
(3) rewrite_log on | off;
是否开启重写日志;
(4) if (condition) { ... }条件判断
引入一个新的配置上下文 ;条件满足时,执行配置块中的配置指令;server, location;
(5)set $variable value;
用户自定义变量 ;
ngx_http_referer_module
网站的合法引用,防止盗链
格式:valid_referers none | blocked | server_names | string ...;
定义referer首部的合法可用值;
none:请求报文首部没有referer首部;
blocked:请求报文的referer首部没有值;
server_names:参数,其可以有值作为主机名或主机名模式;
arbitrary_string:直接字符串,但可使用作通配符;
regular expression:被指定的正则表达式模式匹配到的字符串;要使用~打头,例如 ~..magedu.com;
标题名称:时间服务、日志服务、sudo;nginx模块
URL分享:http://azwzsj.com/article/pdisje.html