• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>
            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>

            Nginx工作原理和優化、漏洞 (轉)

            (peakflys注:本篇文章轉自http://blog.csdn.net/hguisu/article/details/8930668)

            1.  Nginx的模塊與工作原理

            Nginx由內核和模塊組成,其中,內核的設計非常微小和簡潔,完成的工作也非常簡單,僅僅通過查找配置文件將客戶端請求映射到一個location block(location是Nginx配置中的一個指令,用于URL匹配),而在這個location中所配置的每個指令將會啟動不同的模塊去完成相應的工作。

            Nginx的模塊從結構上分為核心模塊、基礎模塊和第三方模塊:

            核心模塊:HTTP模塊、EVENT模塊和MAIL模塊

            基礎模塊:HTTP Access模塊、HTTP FastCGI模塊、HTTP Proxy模塊和HTTP Rewrite模塊,

            第三方模塊:HTTP Upstream Request Hash模塊、Notice模塊和HTTP Access Key模塊。

            用戶根據自己的需要開發的模塊都屬于第三方模塊。正是有了這么多模塊的支撐,Nginx的功能才會如此強大。

            Nginx的模塊從功能上分為如下三類。

            Handlers(處理器模塊)。此類模塊直接處理請求,并進行輸出內容和修改headers信息等操作。Handlers處理器模塊一般只能有一個。

            Filters (過濾器模塊)。此類模塊主要對其他處理器模塊輸出的內容進行修改操作,最后由Nginx輸出。

            Proxies (代理類模塊)。此類模塊是Nginx的HTTP Upstream之類的模塊,這些模塊主要與后端一些服務比如FastCGI等進行交互,實現服務代理和負載均衡等功能。

            圖1-1展示了Nginx模塊常規的HTTP請求和響應的過程。


                                   圖1-1展示了Nginx模塊常規的HTTP請求和響應的過程。

            Nginx本身做的工作實際很少,當它接到一個HTTP請求時,它僅僅是通過查找配置文件將此次請求映射到一個location block,而此location中所配置的各個指令則會啟動不同的模塊去完成工作,因此模塊可以看做Nginx真正的勞動工作者。通常一個location中的指令會涉及一個handler模塊和多個filter模塊(當然,多個location可以復用同一個模塊)。handler模塊負責處理請求,完成響應內容的生成,而filter模塊對響應內容進行處理。

            Nginx的模塊直接被編譯進Nginx,因此屬于靜態編譯方式。啟動Nginx后,Nginx的模塊被自動加載,不像Apache,首先將模塊編譯為一個so文件,然后在配置文件中指定是否進行加載。在解析配置文件時,Nginx的每個模塊都有可能去處理某個請求,但是同一個處理請求只能由一個模塊來完成。 

            在工作方式上,Nginx分為單工作進程和多工作進程兩種模式。在單工作進程模式下,除主進程外,還有一個工作進程,工作進程是單線程的;在多工作進程模式下,每個工作進程包含多個線程。Nginx默認為單工作進程模式。

            2.  Nginx+FastCGI運行原理

            1、什么是 FastCGI

            FastCGI是一個可伸縮地、高速地在HTTP server和動態腳本語言間通信的接口。多數流行的HTTP server都支持FastCGI,包括Apache、Nginx和lighttpd等。同時,FastCGI也被許多腳本語言支持,其中就有PHP。

            FastCGI是從CGI發展改進而來的。傳統CGI接口方式的主要缺點是性能很差,因為每次HTTP服務器遇到動態程序時都需要重新啟動腳本解析器來執行解析,然后將結果返回給HTTP服務器。這在處理高并發訪問時幾乎是不可用的。另外傳統的CGI接口方式安全性也很差,現在已經很少使用了。

            FastCGI接口方式采用C/S結構,可以將HTTP服務器和腳本解析服務器分開,同時在腳本解析服務器上啟動一個或者多個腳本解析守護進程。當HTTP服務器每次遇到動態程序時,可以將其直接交付給FastCGI進程來執行,然后將得到的結果返回給瀏覽器。這種方式可以讓HTTP服務器專一地處理靜態請求或者將動態腳本服務器的結果返回給客戶端,這在很大程度上提高了整個應用系統的性能。

            2、Nginx+FastCGI運行原理

            Nginx不支持對外部程序的直接調用或者解析,所有的外部程序(包括PHP)必須通過FastCGI接口來調用。FastCGI接口在Linux下是socket(這個socket可以是文件socket,也可以是ip socket)。

            wrapper:為了調用CGI程序,還需要一個FastCGI的wrapper(wrapper可以理解為用于啟動另一個程序的程序),這個wrapper綁定在某個固定socket上,如端口或者文件socket。當Nginx將CGI請求發送給這個socket的時候,通過FastCGI接口,wrapper接收到請求,然后Fork(派生)出一個新的線程,這個線程調用解釋器或者外部程序處理腳本并讀取返回數據;接著,wrapper再將返回的數據通過FastCGI接口,沿著固定的socket傳遞給Nginx;最后,Nginx將返回的數據(html頁面或者圖片)發送給客戶端。這就是Nginx+FastCGI的整個運作過程,如圖1-3所示。

                   


                  所以,我們首先需要一個wrapper,這個wrapper需要完成的工作:

            1. 通過調用fastcgi(庫)的函數通過socket和ningx通信(讀寫socket是fastcgi內部實現的功能,對wrapper是非透明的)
            2. 調度thread,進行fork和kill
            3. 和application(php)進行通信

            3、spawn-fcgi與PHP-FPM

                   FastCGI接口方式在腳本解析服務器上啟動一個或者多個守護進程對動態腳本進行解析,這些進程就是FastCGI進程管理器,或者稱為FastCGI引擎。 spawn-fcgi與PHP-FPM就是支持PHP的兩個FastCGI進程管理器。因此HTTPServer完全解放出來,可以更好地進行響應和并發處理。
                   
                   spawn-fcgi與PHP-FPM的異同:
                   1)spawn-fcgi是HTTP服務器lighttpd的一部分,目前已經獨立成為一個項目,一般與lighttpd配合使用來支持PHP。但是ligttpd的spwan-fcgi在高并發訪問的時候,會出現內存泄漏甚至自動重啟FastCGI的問題。即:PHP腳本處理器當機,這個時候如果用戶訪問的話,可能就會出現白頁(即PHP不能被解析或者出錯)。
                   2)Nginx是個輕量級的HTTP server,必須借助第三方的FastCGI處理器才可以對PHP進行解析,因此其實這樣看來nginx是非常靈活的,它可以和任何第三方提供解析的處理器實現連接從而實現對PHP的解析(在nginx.conf中很容易設置)。nginx也可以使用spwan-fcgi(需要一同安裝lighttpd,但是需要為nginx避開端口,一些較早的blog有這方面安裝的教程),但是由于spawn-fcgi具有上面所述的用戶逐漸發現的缺陷,現在慢慢減少用nginx+spawn-fcgi組合了。

                   由于spawn-fcgi的缺陷,現在出現了第三方(目前已經加入到PHP core中)的PHP的FastCGI處理器PHP-FPM,它和spawn-fcgi比較起來有如下優點:

                   由于它是作為PHP的patch補丁來開發的,安裝的時候需要和php源碼一起編譯,也就是說編譯到php core中了,因此在性能方面要優秀一些;

            同時它在處理高并發方面也優于spawn-fcgi,至少不會自動重啟fastcgi處理器。因此,推薦使用Nginx+PHP/PHP-FPM這個組合對PHP進行解析。

                  相對Spawn-FCGI,PHP-FPM在CPU和內存方面的控制都更勝一籌,而且前者很容易崩潰,必須用crontab進行監控,而PHP-FPM則沒有這種煩惱。
                   FastCGI 的主要優點是把動態語言和HTTP Server分離開來,所以Nginx與PHP/PHP-FPM經常被部署在不同的服務器上,以分擔前端Nginx服務器的壓力,使Nginx專一處理靜態請求和轉發動態請求,而PHP/PHP-FPM服務器專一解析PHP動態請求。

            4、Nginx+PHP-FPM

                  PHP-FPM是管理FastCGI的一個管理器,它作為PHP的插件存在,在安裝PHP要想使用PHP-FPM時在老php的老版本(php5.3.3之前)就需要把PHP-FPM以補丁的形式安裝到PHP中,而且PHP要與PHP-FPM版本一致,這是必須的)

               PHP-FPM其實是PHP源代碼的一個補丁,旨在將FastCGI進程管理整合進PHP包中。必須將它patch到你的PHP源代碼中,在編譯安裝PHP后才可以使用。
               PHP5.3.3已經集成php-fpm了,不再是第三方的包了。PHP-FPM提供了更好的PHP進程管理方式,可以有效控制內存和進程、可以平滑重載PHP配置,比spawn-fcgi具有更多優點,所以被PHP官方收錄了。在./configure的時候帶 –enable-fpm參數即可開啟PHP-FPM。

                  fastcgi已經在php5.3.5的core中了,不必在configure時添加 --enable-fastcgi了。老版本如php5.2的需要加此項。

                  當我們安裝Nginx和PHP-FPM完后,配置信息:

                 PHP-FPM的默認配置php-fpm.conf
                 listen_address  127.0.0.1:9000 #這個表示php的fastcgi進程監聽的ip地址以及端口
                  start_servers
                  min_spare_servers
                  max_spare_servers

                  Nginx配置運行php: 編輯nginx.conf加入如下語句:
                  location ~ \.php$ {
                        root html;   
                        fastcgi_pass 127.0.0.1:9000; 指定了fastcgi進程偵聽的端口,nginx就是通過這里與php交互的
                        fastcgi_index index.php;
                        include fastcgi_params;
                         fastcgi_param SCRIPT_FILENAME   /usr/local/nginx/html$fastcgi_script_name;
                }
                Nginx通過location指令,將所有以php為后綴的文件都交給127.0.0.1:9000來處理,而這里的IP地址和端口就是FastCGI進程監聽的IP地址和端口。
               
                 其整體工作流程:
                 1)、FastCGI進程管理器php-fpm自身初始化,啟動主進程php-fpm和啟動start_servers個CGI 子進程。
                       主進程php-fpm主要是管理fastcgi子進程,監聽9000端口。
                       fastcgi子進程等待來自Web Server的連接。
                 2)、當客戶端請求到達Web Server Nginx是時,Nginx通過location指令,將所有以php為后綴的文件都交給127.0.0.1:9000來處理,即Nginx通過location指令,將所有以php為后綴的文件都交給127.0.0.1:9000來處理。
                  3)FastCGI進程管理器PHP-FPM選擇并連接到一個子進程CGI解釋器。Web server將CGI環境變量和標準輸入發送到FastCGI子進程。
                  4)、FastCGI子進程完成處理后將標準輸出和錯誤信息從同一連接返回Web Server。當FastCGI子進程關閉連接時,請求便告處理完成。
                  5)、FastCGI子進程接著等待并處理來自FastCGI進程管理器(運行在 WebServer中)的下一個連接。
             

            3.   Nginx的IO模型

                 首先nginx支持的事件模型如下(nginx的wiki):

                   Nginx支持如下處理連接的方法(I/O復用方法),這些方法可以通過use指令指定。

            • select – 標準方法。 如果當前平臺沒有更有效的方法,它是編譯時默認的方法。你可以使用配置參數 –with-select_module 和 –without-select_module 來啟用或禁用這個模塊。
            • poll – 標準方法。 如果當前平臺沒有更有效的方法,它是編譯時默認的方法。你可以使用配置參數 –with-poll_module 和 –without-poll_module 來啟用或禁用這個模塊。
            • kqueue – 高效的方法,使用于 FreeBSD 4.1+, OpenBSD 2.9+, NetBSD 2.0 和 MacOS X. 使用雙處理器的MacOS X系統使用kqueue可能會造成內核崩潰。
            • epoll – 高效的方法,使用于Linux內核2.6版本及以后的系統。在某些發行版本中,如SuSE 8.2, 有讓2.4版本的內核支持epoll的補丁。
            • rtsig – 可執行的實時信號,使用于Linux內核版本2.2.19以后的系統。默認情況下整個系統中不能出現大于1024個POSIX實時(排隊)信號。這種情況 對于高負載的服務器來說是低效的;所以有必要通過調節內核參數 /proc/sys/kernel/rtsig-max 來增加隊列的大小??墒菑腖inux內核版本2.6.6-mm2開始, 這個參數就不再使用了,并且對于每個進程有一個獨立的信號隊列,這個隊列的大小可以用 RLIMIT_SIGPENDING 參數調節。當這個隊列過于擁塞,nginx就放棄它并且開始使用 poll 方法來處理連接直到恢復正常。
            • /dev/poll – 高效的方法,使用于 Solaris 7 11/99+, HP/UX 11.22+ (eventport), IRIX 6.5.15+ 和 Tru64 UNIX 5.1A+.
            • eventport – 高效的方法,使用于 Solaris 10. 為了防止出現內核崩潰的問題, 有必要安裝這個 安全補丁。

                    在linux下面,只有epoll是高效的方法

                    下面再來看看epoll到底是如何高效的
                   Epoll是
            Linux內核為處理大批量句柄而作了改進的poll。 要使用epoll只需要這三個系統調用:epoll_create(2), epoll_ctl(2), epoll_wait(2)。它是在2.5.44內核中被引進的(epoll(4) is a new API introduced in Linux kernel 2.5.44),在2.6內核中得到廣泛應用。

                    epoll的優點

            • 支持一個進程打開大數目的socket描述符(FD)

                    select 最不能忍受的是一個進程所打開的FD是有一定限制的,由FD_SETSIZE設置,默認值是2048。對于那些需要支持的上萬連接數目的IM服務器來說顯 然太少了。這時候你一是可以選擇修改這個宏然后重新編譯內核,不過資料也同時指出這樣會帶來網絡效率的下降,二是可以選擇多進程的解決方案(傳統的 Apache方案),不過雖然linux上面創建進程的代價比較小,但仍舊是不可忽視的,加上進程間數據同步遠比不上線程間同步的高效,所以也不是一種完 美的方案。不過 epoll則沒有這個限制,它所支持的FD上限是最大可以打開文件的數目,這個數字一般遠大于2048,舉個例子,在1GB內存的機器上大約是10萬左 右,具體數目可以cat /proc/sys/fs/file-max察看,一般來說這個數目和系統內存關系很大。

            • IO效率不隨FD數目增加而線性下降

                     傳統的select/poll另一個致命弱點就是當你擁有一個很大的socket集合,不過由于網絡延時,任一時間只有部分的socket是”活躍”的,但 是select/poll每次調用都會線性掃描全部的集合,導致效率呈現線性下降。但是epoll不存在這個問題,它只會對”活躍”的socket進行操 作—這是因為在內核實現中epoll是根據每個fd上面的callback函數實現的。那么,只有”活躍”的socket才會主動的去調用 callback函數,其他idle狀態socket則不會,在這點上,epoll實現了一個”偽”AIO,因為這時候推動力在os內核。在一些 benchmark中,如果所有的socket基本上都是活躍的—比如一個高速LAN環境,epoll并不比select/poll有什么效率,相 反,如果過多使用epoll_ctl,效率相比還有稍微的下降。但是一旦使用idle connections模擬WAN環境,epoll的效率就遠在select/poll之上了。

            • 使用mmap加速內核與用戶空間的消息傳遞。

                    這 點實際上涉及到epoll的具體實現了。無論是select,poll還是epoll都需要內核把FD消息通知給用戶空間,如何避免不必要的內存拷貝就很 重要,在這點上,epoll是通過內核于用戶空間mmap同一塊內存實現的。而如果你想我一樣從2.5內核就關注epoll的話,一定不會忘記手工 mmap這一步的。

            • 內核微調

                     這一點其實不算epoll的優點了,而是整個linux平臺的優點。也許你可以懷疑linux平臺,但是你無法回避linux平臺賦予你微調內核的能力。比如,內核TCP/IP協 議棧使用內存池管理sk_buff結構,那么可以在運行時期動態調整這個內存pool(skb_head_pool)的大小— 通過echo XXXX>/proc/sys/net/core/hot_list_length完成。再比如listen函數的第2個參數(TCP完成3次握手 的數據包隊列長度),也可以根據你平臺內存大小動態調整。更甚至在一個數據包面數目巨大但同時每個數據包本身大小卻很小的特殊系統上嘗試最新的NAPI網卡驅動架構。

                (epoll內容,參考epoll_互動百科)

             

            4.   Nginx優化

            1. 編譯安裝過程優化

            1).減小Nginx編譯后的文件大小

            在編譯Nginx時,默認以debug模式進行,而在debug模式下會插入很多跟蹤和ASSERT之類的信息,編譯完成后,一個Nginx要有好幾兆字節。而在編譯前取消Nginx的debug模式,編譯完成后Nginx只有幾百千字節。因此可以在編譯之前,修改相關源碼,取消debug模式。具體方法如下:

            在Nginx源碼文件被解壓后,找到源碼目錄下的auto/cc/gcc文件,在其中找到如下幾行:

             

            1. # debug  
            2. CFLAGS=”$CFLAGS -g” 

            注釋掉或刪掉這兩行,即可取消debug模式。

            2.為特定的CPU指定CPU類型編譯優化

            在編譯Nginx時,默認的GCC編譯參數是“-O”,要優化GCC編譯,可以使用以下兩個參數:

             

            1. --with-cc-opt='-O3' 
            2. --with-cpu-opt=CPU  #為特定的 CPU 編譯,有效的值包括:
              pentium, pentiumpro, pentium3, # pentium4, athlon, opteron, amd64, sparc32, sparc64, ppc64 

            要確定CPU類型,可以通過如下命令:

             

            1. [root@localhost home]#cat /proc/cpuinfo | grep "model name" 

            2. 利用TCMalloc優化Nginx的性能

            TCMalloc的全稱為Thread-Caching Malloc,是谷歌開發的開源工具google-perftools中的一個成員。與標準的glibc庫的Malloc相比,TCMalloc庫在內存分配效率和速度上要高很多,這在很大程度上提高了服務器在高并發情況下的性能,從而降低了系統的負載。下面簡單介紹如何為Nginx添加TCMalloc庫支持。

            要安裝TCMalloc庫,需要安裝libunwind(32位操作系統不需要安裝)和google-perftools兩個軟件包,libunwind庫為基于64位CPU和操作系統的程序提供了基本函數調用鏈和函數調用寄存器功能。下面介紹利用TCMalloc優化Nginx的具體操作過程。

            1).安裝libunwind庫

            可以從http://download.savannah.gnu.org/releases/libunwind下載相應的libunwind版本,這里下載的是libunwind-0.99-alpha.tar.gz。安裝過程如下:

             

            1. [root@localhost home]#tar zxvf libunwind-0.99-alpha.tar.gz  
            2. [root@localhost home]# cd libunwind-0.99-alpha/  
            3. [root@localhost libunwind-0.99-alpha]#CFLAGS=-fPIC ./configure  
            4. [root@localhost libunwind-0.99-alpha]#make CFLAGS=-fPIC  
            5. [root@localhost libunwind-0.99-alpha]#make CFLAGS=-fPIC install 

            2).安裝google-perftools

            可以從http://google-perftools.googlecode.com下載相應的google-perftools版本,這里下載的是google-perftools-1.8.tar.gz。安裝過程如下:

             

            1. [root@localhost home]#tar zxvf google-perftools-1.8.tar.gz  
            2. [root@localhost home]#cd google-perftools-1.8/  
            3. [root@localhost google-perftools-1.8]# ./configure  
            4. [root@localhost google-perftools-1.8]#make && make install  
            5. [root@localhost google-perftools-1.8]#echo "/usr/
              local/lib" 
              > /etc/ld.so.conf.d/usr_local_lib.conf  
            6. [root@localhost google-perftools-1.8]# ldconfig 

            至此,google-perftools安裝完成。

            3).重新編譯Nginx

            為了使Nginx支持google-perftools,需要在安裝過程中添加“–with-google_perftools_module”選項重新編譯Nginx。安裝代碼如下:

             

            1. [root@localhostnginx-0.7.65]#./configure \  
            2. >--with-google_perftools_module --with-http_stub_status_module  --prefix=/opt/nginx  
            3. [root@localhost nginx-0.7.65]#make  
            4. [root@localhost nginx-0.7.65]#make install 

            到這里Nginx安裝完成。

            4).為google-perftools添加線程目錄

            創建一個線程目錄,這里將文件放在/tmp/tcmalloc下。操作如下:

             

            1. [root@localhost home]#mkdir /tmp/tcmalloc  
            2. [root@localhost home]#chmod 0777 /tmp/tcmalloc 

            5).修改Nginx主配置文件

            修改nginx.conf文件,在pid這行的下面添加如下代碼:

             

            1. #pid        logs/nginx.pid;  
            2. google_perftools_profiles /tmp/tcmalloc; 

            接著,重啟Nginx即可完成google-perftools的加載。

            6).驗證運行狀態

            為了驗證google-perftools已經正常加載,可通過如下命令查看:

             

            1. [root@ localhost home]# lsof -n | grep tcmalloc  
            2. nginx      2395 nobody   9w  REG    8,8       0    1599440 /tmp/tcmalloc.2395  
            3. nginx      2396 nobody   11w REG   8,8       0    1599443 /tmp/tcmalloc.2396  
            4. nginx      2397 nobody   13w REG  8,8        0    1599441  /tmp/tcmalloc.2397  
            5. nginx     2398 nobody    15w REG  8,8     0    1599442 /tmp/tcmalloc.2398 

            由于在Nginx配置文件中設置worker_processes的值為4,因此開啟了4個Nginx線程,每個線程會有一行記錄。每個線程文件后面的數字值就是啟動的Nginx的pid值。

            至此,利用TCMalloc優化Nginx的操作完成。

            3.Nginx內核參數優化

            內核參數的優化,主要是在Linux系統中針對Nginx應用而進行的系統內核參數優化。

            下面給出一個優化實例以供參考。

             

            1. net.ipv4.tcp_max_tw_buckets = 6000 
            2. net.ipv4.ip_local_port_range = 1024 65000  
            3. net.ipv4.tcp_tw_recycle = 1 
            4. net.ipv4.tcp_tw_reuse = 1 
            5. net.ipv4.tcp_syncookies = 1 
            6. net.core.somaxconn = 262144 
            7. net.core.netdev_max_backlog = 262144 
            8. net.ipv4.tcp_max_orphans = 262144 
            9. net.ipv4.tcp_max_syn_backlog = 262144 
            10. net.ipv4.tcp_synack_retries = 1 
            11. net.ipv4.tcp_syn_retries = 1 
            12. net.ipv4.tcp_fin_timeout = 1 
            13. net.ipv4.tcp_keepalive_time = 30 

            將上面的內核參數值加入/etc/sysctl.conf文件中,然后執行如下命令使之生效:

            1. [root@ localhost home]#/sbin/sysctl -p 

            下面對實例中選項的含義進行介紹:

            net.ipv4.tcp_max_tw_buckets選項用來設定timewait的數量,默認是180 000,這里設為6000。

            net.ipv4.ip_local_port_range選項用來設定允許系統打開的端口范圍。

            net.ipv4.tcp_tw_recycle選項用于設置啟用timewait快速回收。

            net.ipv4.tcp_tw_reuse選項用于設置開啟重用,允許將TIME-WAIT sockets重新用于新的TCP連接。

            net.ipv4.tcp_syncookies選項用于設置開啟SYN Cookies,當出現SYN等待隊列溢出時,啟用cookies進行處理。

            net.core.somaxconn選項的默認值是128, 這個參數用于調節系統同時發起的tcp連接數,在高并發的請求中,默認的值可能會導致鏈接超時或者重傳,因此,需要結合并發請求數來調節此值。

            net.core.netdev_max_backlog選項表示當每個網絡接口接收數據包的速率比內核處理這些包的速率快時,允許發送到隊列的數據包的最大數目。

            net.ipv4.tcp_max_orphans選項用于設定系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。如果超過這個數字,孤立連接將立即被復位并打印出警告信息。這個限制只是為了防止簡單的DoS攻擊。不能過分依靠這個限制甚至人為減小這個值,更多的情況下應該增加這個值。

            net.ipv4.tcp_max_syn_backlog選項用于記錄那些尚未收到客戶端確認信息的連接請求的最大值。對于有128MB內存的系統而言,此參數的默認值是1024,對小內存的系統則是128。

            net.ipv4.tcp_synack_retries參數的值決定了內核放棄連接之前發送SYN+ACK包的數量。

            net.ipv4.tcp_syn_retries選項表示在內核放棄建立連接之前發送SYN包的數量。

            net.ipv4.tcp_fin_timeout選項決定了套接字保持在FIN-WAIT-2狀態的時間。默認值是60秒。正確設置這個值非常重要,有時即使一個負載很小的Web服務器,也會出現大量的死套接字而產生內存溢出的風險。

            net.ipv4.tcp_syn_retries選項表示在內核放棄建立連接之前發送SYN包的數量。

            如果發送端要求關閉套接字,net.ipv4.tcp_fin_timeout選項決定了套接字保持在FIN-WAIT-2狀態的時間。接收端可以出錯并永遠不關閉連接,甚至意外宕機。

            net.ipv4.tcp_fin_timeout的默認值是60秒。需要注意的是,即使一個負載很小的Web服務器,也會出現因為大量的死套接字而產生內存溢出的風險。FIN-WAIT-2的危險性比FIN-WAIT-1要小,因為它最多只能消耗1.5KB的內存,但是其生存期長些。

            net.ipv4.tcp_keepalive_time選項表示當keepalive啟用的時候,TCP發送keepalive消息的頻度。默認值是2(單位是小時)。

            4. PHP-FPM的優化

            如果您高負載網站使用PHP-FPMFastCGI,這些技巧也許對您有用:

            1)增加FastCGI進程數

            PHP FastCGI子進程數調到100或以上,4G內存的服務器上200就可以建議通過壓力測試獲取最佳值。

            2)增加 PHP-FPM打開文件描述符的限制

            標簽rlimit_files用于設置PHP-FPM對打開文件描述符的限制,默認值為1024。這個標簽的值必須和Linux內核打開文件數關聯起來,例如,要將此值設置為65 535,就必須在Linux命令行執行“ulimit -HSn 65536”。

                   然后 增加 PHP-FPM打開文件描述符的限制:
                 # vi /path/to/php-fpm.conf
                找到
            “<valuename="rlimit_files">1024</value>”
            把1024更改為 4096或者更高
            .
            重啟 PHP-FPM.


                     3)適當增加max_requests

                標簽max_requests指明了每個children最多處理多少個請求后便會被關閉,默認的設置是500。

                <value name="max_requests"> 500 </value>

               

            5.   Nginx的php漏洞

            漏洞介紹:nginx是一款高性能的web服務器,使用非常廣泛,其不僅經常被用作反向代理,也可以非常好的支持PHP的運行。80sec發現其中存在一個較為嚴重的安全問題,默認情況下可能導致服務器錯誤的將任何類型的文件以PHP的方式進行解析,這將導致嚴重的安全問題,使得惡意的攻擊者可能攻陷支持php的nginx服務器。


            漏洞分析:nginx默認以cgi的方式支持php的運行,譬如在配置文件當中可以以


            location ~ .php$ {
            root html;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
            include fastcgi_params;
            }

            的方式支持對php的解析,location對請求進行選擇的時候會使用URI環境變量進行選擇,其中傳遞到后端Fastcgi的關鍵變量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name決定,而通過分析可以看到$fastcgi_script_name是直接由URI環境變量控制的,這里就是產生問題的點。而為了較好的支持PATH_INFO的提取,在PHP的配置選項里存在cgi.fix_pathinfo選項,其目的是為了從SCRIPT_FILENAME里取出真正的腳本名。
            那么假設存在一個http://www.80sec.com/80sec.jpg,我們以如下的方式去訪問

            http://www.80sec.com/80sec.jpg/80sec.php


            將會得到一個URI

            /80sec.jpg/80sec.php

            經過location指令,該請求將會交給后端的fastcgi處理,nginx為其設置環境變量SCRIPT_FILENAME,內容為

            /scripts/80sec.jpg/80sec.php

            而在其他的webserver如lighttpd當中,我們發現其中的SCRIPT_FILENAME被正確的設置為

            /scripts/80sec.jpg

            所以不存在此問題。
            后端的fastcgi在接受到該選項時,會根據fix_pathinfo配置決定是否對SCRIPT_FILENAME進行額外的處理,一般情況下如果不對fix_pathinfo進行設置將影響使用PATH_INFO進行路由選擇的應用,所以該選項一般配置開啟。Php通過該選項之后將查找其中真正的腳本文件名字,查找的方式也是查看文件是否存在,這個時候將分離出SCRIPT_FILENAME和PATH_INFO分別為

            /scripts/80sec.jpg和80sec.php

            最后,以/scripts/80sec.jpg作為此次請求需要執行的腳本,攻擊者就可以實現讓nginx以php來解析任何類型的文件了。

            POC: 訪問一個nginx來支持php的站點,在一個任何資源的文件如robots.txt后面加上/80sec.php,這個時候你可以看到如下的區別:

            訪問http://www.80sec.com/robots.txt

            HTTP/1.1 200 OK
            Server: nginx/0.6.32
            Date: Thu, 20 May 2010 10:05:30 GMT
            Content-Type: text/plain
            Content-Length: 18
            Last-Modified: Thu, 20 May 2010 06:26:34 GMT
            Connection: keep-alive
            Keep-Alive: timeout=20
            Accept-Ranges: bytes

            訪問訪問http://www.80sec.com/robots.txt/80sec.php

            HTTP/1.1 200 OK
            Server: nginx/0.6.32
            Date: Thu, 20 May 2010 10:06:49 GMT
            Content-Type: text/html
            Transfer-Encoding: chunked
            Connection: keep-alive
            Keep-Alive: timeout=20
            X-Powered-By: PHP/5.2.6

            其中的Content-Type的變化說明了后端負責解析的變化,該站點就可能存在漏洞。

            漏洞廠商:http://www.nginx.org

            解決方案:

            我們已經嘗試聯系官方,但是此前你可以通過以下的方式來減少損失

            關閉cgi.fix_pathinfo為0

            或者

            if ( $fastcgi_script_name ~ ..*/.*php ) {
            return 403;
            }

            PS: 鳴謝laruence大牛在分析過程中給的幫助

            posted on 2014-12-03 16:50 peakflys 閱讀(171) 評論(0)  編輯 收藏 引用

            <2012年12月>
            2526272829301
            2345678
            9101112131415
            16171819202122
            23242526272829
            303112345

            導航

            統計

            公告

            人不淡定的時候,就愛表現出來,敲代碼如此,偶爾的靈感亦如此……

            常用鏈接

            留言簿(4)

            隨筆分類

            隨筆檔案

            文章檔案

            搜索

            最新評論

            閱讀排行榜

            評論排行榜

            色偷偷88欧美精品久久久 | 国产精品欧美亚洲韩国日本久久 | 久久婷婷五月综合国产尤物app| 久久精品国产99久久久古代 | 久久成人精品| 久久综合亚洲鲁鲁五月天| 久久精品国产亚洲AV忘忧草18 | 综合人妻久久一区二区精品| 欧美一区二区三区久久综| 亚洲综合婷婷久久| 18岁日韩内射颜射午夜久久成人| 91精品国产9l久久久久| 亚洲精品国精品久久99热| 99久久精品国产高清一区二区| 亚洲国产天堂久久久久久| 天天综合久久久网| 99久久精品国产一区二区 | 一本一道久久a久久精品综合 | 久久91精品国产91久久麻豆| 四虎影视久久久免费| 91亚洲国产成人久久精品网址| 午夜精品久久久久久中宇| 久久久久久亚洲精品无码| 精品久久777| 国产国产成人精品久久| 日韩精品久久久肉伦网站| 久久久www免费人成精品| 日本久久久久久久久久| 久久精品国产99久久丝袜| 色综合久久最新中文字幕| 久久国产乱子伦精品免费强| 国产午夜免费高清久久影院| 久久亚洲精品成人AV| 亚洲国产精品18久久久久久| 久久久久久综合网天天| 久久久久久久精品妇女99| 亚洲国产精品无码久久久蜜芽| 伊人久久综合精品无码AV专区| 精品国产乱码久久久久久人妻| 亚洲欧美国产日韩综合久久| 一本久久综合亚洲鲁鲁五月天亚洲欧美一区二区 |