NGINX NGINX Trac 3rd Party Modules Security Advisories CHANGES OpenResty ngx_lua Tengine 在线学习资源 NGINX 开发从入门到精通 NGINX Modules ngx_echo
这是一个创建于 3776 天前的主题,其中的信息可能已经有所发展或是发生改变。
本人对 HTTP 协议和 Nginx 比较有兴趣,下面是博客的几篇关于 Nginx 的文章,欢迎交流探讨。
另外,由于我的 Linode Tokyo 持续上不去,刚把博客迁回国内,正在关站备案中,请用 OSX 、 Android 、 iOS 、 Linux 访问(或者模拟 UA 为各大 Spider )。
本博客 Nginx 配置之安全篇
https://www.imququ.com/post/my-nginx-conf-for-security.html
本博客 Nginx 配置之性能篇
https://www.imququ.com/post/my-nginx-conf-for-wpo.html
Nginx 开始支持 HTTP/2 了
https://www.imququ.com/post/nginx-http2-patch.html
另外,由于我的 Linode Tokyo 持续上不去,刚把博客迁回国内,正在关站备案中,请用 OSX 、 Android 、 iOS 、 Linux 访问(或者模拟 UA 为各大 Spider )。
本博客 Nginx 配置之安全篇
https://www.imququ.com/post/my-nginx-conf-for-security.html
本博客 Nginx 配置之性能篇
https://www.imququ.com/post/my-nginx-conf-for-wpo.html
Nginx 开始支持 HTTP/2 了
https://www.imququ.com/post/nginx-http2-patch.html
第 1 条附言 2015-08-21 23:38:11 +08:00
 | 1 TakanashiAzusa 2015-08-21 14:16:28 +08:00 其实我比较好奇关站是因为备案要求还是- -因为模拟 UA 就可以开好像和没关没差啊。。 |
 | 2 kappa 2015-08-21 14:17:09 +08:00 @TakanashiAzusa 楼主的意思是 zf 傻逼只会用 IE 。。 |
 | 3 qgy18 OP @TakanashiAzusa 现在提交管局审核中,我猜想他们肯定都是用的 windows ,我针对 windows 直接返回了 404 。 另外,关站的要求是停止 web 服务,可以做域名解析,因为不只是 web 服务会用到域名。 |
 | 5 zhicheng/strong> 2015-08-21 14:18:53 +08:00 欢迎使用 TextArea.com 哦。 |
| 6 TakanashiAzusa 2015-08-21 14:19:19 +08:00 @qgy18 原来如此。。 3Q |
| 7 qgy18 OP @kappa 不一定哦,没准他们会用双核浏览器,那样也可能走 webkit 。所以为了保险, windows 一律 404. |
| 8 TakanashiAzusa 2015-08-21 14:19:43 +08:00 @kappa 主要我就是不清楚关站是不是 ZF 要求,所以问下:) |
| 9 qgy18 OP @zhicheng 多谢, textarea.com 一直有留意,真心觉得挺好的。不过我喜欢折腾,最近写的这个基于 nodejs 的博客个人还是挺满意的。 |
| 11 qgy18 OP @TakanashiAzusa http://help.aliyun.com/knowledge_detail/5974591.html 随手找了一个文档。 据说可以不关,但是页面上不能有任何违规内容(具体什么是违规,不会告诉你),当然也不能有任何评论互动的地方。 所以,一般都会推荐关站。 |
 | 12 kn007 2015-08-21 14:26:42 +08:00 为毛我看到的一群 404 |
 | 14 CodeDrift 2015-08-21 14:34:42 +08:00 机智的我 用了 chrome 选择  这个。然后就正常使用啦。不过感觉博主的网站很快呀! |
| 15 qgy18 OP |
 | 16 inmyfree 2015-08-21 14:46:55 +08:00 |
| 18 qgy18 OP @Anybfans 嗯,你不要关闭移动模式,因为关闭了 UA 模拟就不生效了,你只要取消 Device 下面那个复选框就可以了。 |
机智
 | 22 hcymk2 2015-08-21 15:00:50 +08:00 全部 404 了。 |
 | 24 blackeeper 2015-08-21 15:14:28 +08:00 文章写得不错! |
 | 25 horizon 2015-08-21 16:05:05 +08:00 顶 ququ |
 | 27 ccbikai PRO 我打开正常,一个同事打开 404 , 原来是 故意的 |
| 28 hcymk2 2015-08-21 17:36:13 +08:00 via Android @qgy18 User-Agent Mozilla/5.0 (X11; U; FreeBSD i386; de-CH; rv:1.9.2.8 ) Gecko/20100729 Firefox/3.6.8 这个看不了。。。 我再换个看下。 Opera/9.80 (Android 4.0.4; Linux; Opera Mobi/ADR-1205181138; U; pl ) Presto/2.10.254 Version/12.00 这个可以。 |
 | 32 virusdefender 2015-08-21 18:06:33 +08:00 楼主的博客我看过好几次了,印象深刻,每次都是秒开 |
 | 33 foru17 2015-08-21 18:07:44 +08:00 之前弄 nginx 的时候,发现了楼主博客,系列都学习了。 |
| 34 virusdefender 2015-08-21 18:11:35 +08:00 原来我就在你的服务器机房旁边啊 |
| 36 qgy18 OP @SkiTiSu 我也听说可以不关站了,但是一来现在身边还没有不关站的成功案例,二来我选在帝都备案,而帝都马上要月饼了。 so... |
 | 37 Had 2015-08-21 21:07:00 +08:00 @qgy18 楼主,换个证书吧... Comodo 进入 SHA2 时期后,证书链就多了一级... 建议考虑一下 RapidSSL (第一推荐)/AlphaSSL (便宜)或者上个 GeoTrust/GlobalSign/Digicert (贵) 其实也可以尝试一下 ECC 证书,基本上以上几家贵的都有提供... |
| 38 qgy18 OP |
 | 40 simodorg 2015-08-21 21:33:37 +08:00 之前 Gooogle 到这里,也来这学习过 nginx 。 |
| 41 qgy18 OP @simodorg 多一级意味着服务端发送的证书链就更大,建立 https 连接就更慢了。 --- 在给 Nginx 指定证书时,需要选择合适的证书链。因为浏览器在验证证书信任链时,会从站点证书开始,递归验证父证书,直至信任的根证书。这里涉及到两个问题: 1 )服务器证书是在握手期间发送的,由于 TCP 初始拥塞窗口的存在,如果证书太长很可能会产生额外的往返开销; 2 )如果服务端证书没包含中间证书,大部分浏览器可以正常工作,但会暂停验证并根据子证书指定的父证书 URL 自己获取中间证书。这个过程会产生额外的 DNS 解析、建立 TCP 连接等开销。 所以,服务端证书链的最佳实践是包含 站点证书 和 中间证书 两级。根证书已经内置于各大浏览器内,完全没必要再包含。下图是本博客的证书链,服务端证书包含了「 www.imququ.com 」站点证书和「 Thawte DV SSL CA 」中间证书。另外我测过:如果不包含中间证书, Firefox 之外的主流浏览器都能正常完成验证, Firefox 似乎不会自己去获取中间证书。 见: https://www.imququ.com/post/switch-to-https.html#toc-0 |
 | 42 dingyaguang117 2015-08-22 01:27:45 +08:00 via iPhone 赞 |
 | 43 guoqiao 2015-08-22 09:51:24 +08:00  1 @zhicheng 从你的回复中第一次知道了 TextArea.com, 简洁但不失考究, 非常不错. |
 | 45 wbsdty331 2015-08-23 08:49:22 +08:00 我的居然只有 B...貌似就出在加密方式 |
 | 48 xiqingongzi 2015-08-23 23:14:03 +08:00 学习了 |
 | 49 Soaper 2015-08-24 01:36:28 +08:00 马克 |
| 50 qgy18 OP @Had RapidSSL DV 没办法拿到 ECC ,但是我发现同样便宜的 Comodo PositiveSSL 却可以方便的拿 ECC ,只要 CSR 是 ECC 就可以了。 https://www.imququ.com?ua=linux 但是证书依然是四级,这一点郁闷。另外 windows xp 一律不支持 ECC ,也很头疼。 |
| 51 Had 2015-09-01 01:17:24 +08:00 @qgy18 所以就放弃 XP 用户吧。 要不就掏点钱,上 GeoTrust or Digicert or GlobalSign ,然后去拿 ECC 。 https://support.globalsign.com/customer/portal/articles/1995283-ecc-compatibility |
| 52 Had 2015-09-01 01:22:25 +08:00 @qgy18 另外,用了 ECC 就可以在 Cipher Suites 里面去掉: TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA 同时,现在的 ECC 证书链还是混合的证书链, GlobalSign 的 ECC Root Certs 前有这么个描述,当然实际我没有用过... https://support.globalsign.com/customer/portal/articles/1426602-globalsign-root-certificates 我在向 Digicert 申请一个纯 ECC 的证书链及证书,但是他们的客服老是误解我,都 reissue 了好多次了,我都不好意思了... |
| 53 Had 2015-09-01 01:53:11 +08:00 @qgy18 GeoTrust 的 ECC Root CA 测试页 https://ssltest42.ssl.symclab.com/ 两级! GlobalSign 256 https://2038r4.globalsign.com/ GlobalSign 384 https://2038r5.globalsign.com/ |
 | 54 isCyan 2015-09-03 08:59:18 +08:00 楼主的阿里云带宽多大?还是启用了某些特殊技能?访问这么快! |
 | 55 wujunze 2016-03-18 16:49:37 +08:00 博主网站备案成功没有? |
| 56 qgy18 OP |
 | 57 chinaiy 2016-11-24 10:07:10 +08:00 大大,看你博客配置完整篇一步一步操作,编译和安装 Nginx , make 的时候出现下面的错误,求助解决方法,谢谢 cc -c -pipe -O -W -Wall -Wpointer-arith -Wno-unused-parameter -Werror -g -I src/core -I src/event -I src/event/modules -I src/os/unix -I ../openssl/.openssl/include -I objs -I src/http -I src/http/modules -I src/http/v2 \ -o objs/addon/src/ngx_http_brotli_filter_module.o \ ../ngx_brotli/src/ngx_http_brotli_filter_module.c ../ngx_brotli/src/ngx_http_brotli_filter_module.c: In function ‘ ngx_http_brotli_body_filter ’: ../ngx_brotli/src/ngx_http_brotli_filter_module.c:272:9: error: ‘ BrotliEncoderInputBlockSize ’ is deprecated (declared at /usr/local/include/brotli/encode.h:87) [-Werror=deprecated-declarations] ctx->brotli_ring = BrotliEncoderInputBlockSize(ctx->encoder); ^ ../ngx_brotli/src/ngx_http_brotli_filter_module.c: In function ‘ ngx_http_brotli_filter_add_data ’: ../ngx_brotli/src/ngx_http_brotli_filter_module.c:498:5: error: ‘ BrotliEncoderCopyInputToRingBuffer ’ is deprecated (declared at /usr/local/include/brotli/encode.h:95) [-Werror=deprecated-declarations] BrotliEncoderCopyInputToRingBuffer(ctx->encoder, size, b->pos); ^ ../ngx_brotli/src/ngx_http_brotli_filter_module.c: In function ‘ ngx_http_brotli_filter_process ’: ../ngx_brotli/src/ngx_http_brotli_filter_module.c:534:5: error: ‘ BrotliEncoderWriteData ’ is deprecated (declared at /usr/local/include/brotli/encode.h:109) [-Werror=deprecated-declarations] if (!BrotliEncoderWriteData(ctx->encoder, ctx->last, ctx->flush, &size, ^ cc1: all warnings being treated as errors make[1]: *** [objs/addon/src/ngx_http_brotli_filter_module.o] Error 1 make[1]: Leaving directory `/root/nginx-1.11.5' make: *** [build] Error 2 |
| 58 qgy18 OP |
| 59 chinaiy 2016-11-25 08:41:58 +08:00 @qgy18 嗯,加上就可以了,有个奇怪的问题请教下大大,我配置好了后使用谷歌和火狐都可以访问,但 360 浏览器(快速模式)却不可以访问,后来我去掉 server 中的 http2 fastopen=3 reuseport ,只保留 listen 443 ssl , 360 就可以访问,不知道这个是什么原因? |
| 60 chinaiy 2016-12-12 12:12:45 +08:00 @qgy18 大大, Brotli 是不是又修改了,在阿里云的一台新服务器上按照 https://imququ.com/post/my-nginx-conf.html 这篇文章来设置,前面都没问题,到./configure --add-module=../ngx_brotli --add-module=../nginx-ct-1.3.1 --with-openssl=../openssl --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module 这里的时候就出行错误提示,加上--with-cc-opt=-Wno-deprecated-declarations 也是同样错误,错误提示: ./configure: error: Brotli library is missing from the ../ngx_brotli/deps/brotli directory. Please make sure that the git submodule has been checked out: cd ../ngx_brotli && git submodule update --init && cd /root/nginx-1.11.5 |
| 64 qgy18 OP @chinaiy 特意在虚拟机装了一个纯净的 Ubuntu 16.04.1 LTS server 测试,发现这个问题特别容易解决。 错误提示都告诉你要怎么做了。 git clone https://github.com/google/ngx_brotli.git cd ngx_brotli git submodule update --init cd ../ |
Select Language