那如何才能避免这些工作站将各种潜在的安全威胁带到服务器系统中,从而给服务器系统造成非常大的影响呢?要做到这一点,我们可以通过设置Windows Server 2008系统的网络策略,来保护服务器系统的安全,禁止危险工作站将网络病毒或木马带入到服务器系统中!
认识网络策略
为了有效保护网络以及服务器系统的安全,Windows Server 2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施,利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健康检查,比方说普通工作站中是否安装了防火墙程序,是否及时更新了病毒库内容,是否安装了最新版本的系统补丁程序等,只有当普通工作站符合各种安全检查之后,服务器系统才允许该工作站连接服务器并访问其中的内容;而那些没有通过服务器系统安全检查的普通工作站将会被隔离到另外一个受限网络,或者降低服务器的访问权限。在被隔离到另外一个受限网络中时,普通工作站需要及时通过受限网络来修复该工作站的安全状态,比方说迅速从局域网中的补丁服务器中下载安装系统补丁程序,强制启用系统中的防火墙程序等,在符合网络安全条件之后,该工作站往往就能正常访问服务器系统中的任何内容了。
安装网络策略服务器
虽然Windows Server 2008系统已经内置了网络策略服务器功能,不过在默认状态下该功能并没有被启用,此时我们只有先将该功能组件安装起来,才能利用该功能的安全防范本领来保护服务器系统的安全。
在安装网络策略组件时,我们首先要以系统管理员权限进入到Windows Server 2008系统,打开该系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”命令,打开对应系统的服务器管理器窗口;
在该服务器管理器窗口的左侧显示区域,选中“角色”选项,在对应该选项的右侧显示区域中,单击“添加角色”功能图标,打开角色添加向导设置窗口;从该设置窗口的提示信息中,我们看到要安装网络策略组件需要做好三个方面的准备工作,第一就是确保管理员账号具有强密码,第二就是保证网络设置已经配制好,第三就是已经安装Windows Update中的最新安全更新;
在确认上面的各项准备工作已经完成后,单击“下一步”按钮,打开如图1所示的服务器角色列表窗口中,在这里我们看到服务器系统在默认状态下并没有选中“网络策略和访问服务”功能组件,这说明网络策略功能此时并没有被安装;此时,我们可以及时选中这里的“网络策略和访问服务”选项,再单击“下一步”按钮;当屏幕上出现如图2所示的角色服务列表窗口时,选中“网络策略服务器”选项,继续单击“下一步”按钮,最后单击“安装”按钮,这样一来服务器系统就会自动将所选的角色、角色服务依次安装好了。
当网络策略组件安装操作结束后,系统会自动弹出提示现在可以利用该功能组件来配置服务器系统的网络访问保护了;并且此时此刻服务器系统中的DHCP服务也会自动将被新安装的网络策略服务器组件所替代,我们必须对网络策略服务器涉及的相关DHCP参数进行正确配置,才能起到很好的网络安全保护效果。在缺省状态下,Windows Server 2008系统并没有将与网络策略服务器相关的“网络访问保护”组件启用起来,这需要我们在网络策略服务器的DHCP作用域属性中进行手工启用。
设置网络策略服务器
在成功安装好网络策略服务器功能组件后,我们现在就能进入网络策略服务器来对它正确进行配置了,以便让它及时发挥作用,保护服务器系统的安全。
首先打开Windows Server 2008系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“网络策略服务器”选项,打开网络策略服务器控制台窗口,如图3所示;
在该控制台窗口的左侧显示区域,我们发现网络策略服务器包含四方面的内容,它们分别是连接请求策略、网络策略、健康策略以及网络访问保护组件,这些策略和组件将会对访问单位服务器系统的普通工作站系统进行网络隔离、安全处理、健康策略审核以及网络访问保护;
使用连接请求策略,我们能够指定是在本地处理连接请求,还是将其转发到远程Radius服务器中去处理;
选用健康策略我们可以自定义普通工作站是否健康的标准,该策略通常与网络访问保护组件一起配合使用。一般来说,我们通常需要在服务器系统中创建好两个基本策略,其中一个策略就是安全工作站的策略,另外一个就是不安全工作站的策略。创建安全工作站的策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“策略”/“健康策略”选项,用鼠标右键单击“健康策略”选项,从弹出的快捷菜单中选择“新建”命令,打开如图4所示的设置对话框;在该设置对话框中将策略名称取为“安全工作站”,将“客户端SHV检查”设置为“客户端通过了所有SHV检查”,再单击“确定”按钮,这样一来安全工作站策略就创建成功了。同样地,我们可以再创建一个“不安全工作站”策略,并将该策略的“客户端SHV检查”设置为“客户端未能通过所有SHV检查”。
那么究竟哪些工作站是安全的呢,又有哪些工作站是不安全的呢?这需要借助网络访问保护组件下面的系统健康验证器进行评估!而系统健康验证器将会强制检查普通工作站的一些设置,并将这些设置对照事先已经设置好的相关安全策略,来评估普通工作站究竟属于安全范围的还是不安全范围的。比方说,我们假定系统如果不安装防火墙和杀毒软件的话,那就认定该工作站系统是不安全的;在配置这种安全策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“系统健康验证器”选项,在对应该选项的右侧显示区域中,用鼠标右键单击“Windows安全健康验证程序”选项,从弹出的快捷菜单中执行“属性”命令,在其后出现的属性设置窗口中单击“配置”按钮,打开如图5所示的配置界面,在该界面中必须选中“已为所有网络连接启用防火墙”选项和“防病毒应用程序已启用”选项,最后单击“确定”按钮结束Windows安全健康验证配置操作,这么一来日后只要普通工作站安装了防火墙和杀毒软件,Windows Server 2008系统就认为该工作站是安全的工作站。
当Windows Server 2008系统检测到普通工作站属于不安全工作站时,网络策略服务器还提供了补救措施,以便让不安全的工作站自动访问局域网中的补丁更新服务器或病毒库更新服务器,从而及时将系统补丁程序以及更新病毒库程序安装到普通工作站中。为了让不安全工作站能够自动安装补丁程序或自动更新病毒库,我们需要使用更新服务器组来定义不安全工作站能够访问哪些系统,以便从这些系统中能够自动将工作站的不安全状态恢复到安全状态。在指定不安全工作站能够访问的服务器系统时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“更新服务器组”选项,再用鼠标右键单击“更新服务器组”选项,从弹出的快捷菜单中执行“新建”命令,打开如图6所示的创建对话框,单击该对话框中的“添加”按钮,在其后界面中正确输入系统补丁更新服务器或病毒库更新服务器的主机名称或IP地址,这么一来日后普通工作站被检测为不安全时,那它就会自动连接到系统补丁更新服务器或病毒库更新服务器,来安装系统补丁程序或更新病毒库了。当普通工作站安装了补丁程序或更新了病毒库后,再次访问Windows Server 2008系统时,该系统就会认为它是安全工作站,此时该工作站就能允许连接到服务器系统中,那样一来我们就能最大限度地保证服务器系统的安全了。
当然,需要在这里提醒各位的是,上面的系统健康验证器、健康策略、连接请求策略、更新服务器组等都需要网络策略组合在一起,才能发挥出有效的作用;我们可以根据普通工作站安全状态确定如何对该工作站进行处理;例如,当发现普通工作站与不安全工作站策略相符时,那么我们可以定义网络策略,来指示局域网中的DHCP服务器为目标普通工作站提供一个受限作用域选项的IP租约,确保该工作站地址只能访问指定更新服务器组中定义的系统。
当前位置: 操作系统/服务器>linux
本页文章导读:
▪Win2008 网络策略设置方法 让访问更安全
那如何才能避免这些工作站将各种潜在的安全威胁带到服务器系统中,从而给服务器系统造成非常大的影响呢?要做到这一点,我们可以通过设置Windows Server 2008系统的网络策略,来保护服务.........
▪Win2008 远程控制安全设置技巧
为了保障服务器远程控制操作的安全性,Windows Server 2008系统特意在这方面进行了强化,新推出了许多安全防范功能,不过有的功能在默认状态下并没有启用,这需要我们自行动手,对该系.........
▪nginx 1.0.0配ngx_cache_purge实现高效的反向代理
在功能上,Nginx已经具备Squid所拥有的Web缓存加速功能、清除指定URL缓存的功能。而在性能上,Nginx对多核CPU的利用,胜过Squid不少。另外,在反向代理、负载均衡、健康检查、后端服务器故.........
[1]Win2008 网络策略设置方法 让访问更安全
来源: 互联网 发布时间: 2013-12-24
[2]Win2008 远程控制安全设置技巧
来源: 互联网 发布时间: 2013-12-24
为了保障服务器远程控制操作的安全性,Windows Server 2008系统特意在这方面进行了强化,新推出了许多安全防范功能,不过有的功能在默认状态下并没有启用,这需要我们自行动手,对该系统进行合适设置,才能保证远程控制Windows Server 2008服务器系统的安全性。
1、只允许指定人员进行远程控制
如果允许任何一位普通用户随意对Windows Server 2008服务器系统进行远程控制时,那该服务器系统的安全性肯定很难得到有效保证。有鉴于此,我们可以对Windows Server 2008服务器系统进行合适设置,只允许指定人员通过远程桌面连接方式对其进行远程控制,下面就是具体的设置步骤:
首先打开Windows Server 2008服务器系统桌面的“开始”菜单,从中依次展开“程序”、“管理工具”、“服务器管理器”选项,在其后出现的对应系统服务器管理器控制台窗口中,点选左侧子窗格中的“服务器管理”节点选项,之后选中目标节点分支下面的“服务器摘要”设置项,再单击“配置远程桌面”项目,进入远程控制Windows Server 2008系统的设置对话框;
其次在该设置对话框的“远程桌面”处单击“选择用户”按钮,打开如图1所示的设置界面,从中我们会看到可以对Windows Server 2008服务器系统进行远程控制的所有用户账号,一旦看到有陌生的用户账号或不信任用户账号存在时,我们可以将它选中并单击“删除”按钮,将它从系统中删除掉;接着单击对应设置界面中的“添加”按钮,打开用户账号设置对话框,从中将指定的管理员用户账号选中并添加进来,再单击“确定”按钮结束用户账号设置操作,如此一来Windows Server 2008服务器系统日后只允许指定的系统管理员对其进行远程管理操作,而不允许其他任何用户对其进行远程控制操作。
2、拒绝Administrator进行攻击测试
与传统服务器操作系统一样,Windows Server 2008服务器系统在默认状态下仍然会使用Administrator账号来完成系统登录操作,正因如此Administrator账号特别容易被一些非法攻击者利用,他们企图通过破解Administrator账号的密码来登录服务器,并尝试对其进行攻击测试。为了拒绝非法攻击者使用Administrator账号进行攻击测试,我们可以按照如下步骤设置Windows Server 2008服务器系统:
首先在Windows Server 2008服务器系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入“Secpol.msc”字符串命令,单击回车键后,打开对应系统的本地安全组策略控制台窗口;
其次在本地安全组策略控制台窗口的左侧显示区域,将鼠标定位于其中的“安全设置”节点选项,在目标节点分支下面选中“本地策略”/“安全选项”,在对应“安全选项”分支下面找到目标安全组策略“帐户:重命名系统管理员帐户”,并用鼠标右键单击该组策略选项,从其后出现的快捷菜单中执行“属性”命令,打开“帐户:重命名系统管理员帐户”组策略属性设置对话框;单击该对话框中的“本地安全设置”标签,打开如图2所示的标签设置页面,在该页面中我们可以将Administrator账号的名称修改为其他人不容易猜中的名称,例如可以将其修改为“guanliyuan”,最后单击“确定”按钮保存好上述设置操作,这样一来非法攻击者企图通过Administrator账号对Windows Server 2008服务器系统进行攻击测试时,就无法取得成功,那么服务器系统的安全性能就可以得到有效保证了。
3、修改telnet端口保护远程连接安全
telnet命令是Windows Server 2008服务器系统中缺省的远程登录程序,因为该程序是直接集成在服务器系统中并且使用起来比较方便,所以网络管理员在管理服务器时经常使用到该程序。不过,在使用telnet命令对服务器系统进行远程控制操作时,控制信息往往是以明文方式在网络上传输的,一些恶意攻击者很容易就能将类似账号名称和密码这样的控制信息截获走,同时telnet程序的身份验证方式也存在明显的弱点,那就是它特别容易受到其他人的攻击。考虑到telnet命令对Windows Server 2008服务器系统进行远程控制时,一般会自动使用“23”这个默认的网络端口,并且该端口几乎被所有人都熟悉,为了保护telnet远程连接的安全性,我们只要按照下面的方法修改该程序默认的网络端口号码,以阻止其他人随意使用telnet命令对服务器系统进行远程控制操作:
首先在Windows Server 2008服务器系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入“cmd”字符串命令,单击回车键后,打开对应系统的DOS命令行工作窗口;
其次在DOS窗口的命令行提示符下,输入字符串命令“tlntadmn config port=2991”(其中“2991”是修改后的新端口号码),为了防止新设置的网络端口号码与系统已有端口号码存在冲突,我们必须确保这里输入的新端口号码不能设置成已知系统服务的端口号码;在确认上面的字符串命令输入正确后,单击回车键,telnet命令使用的端口号码就会自动变成“2991”了,此时网络管理员必须知道新端口号码,才能使用该程序对Windows Server 2008服务器系统进行远程控制操作。
当然,我们不到服务器现场,也能远程修改Windows Server 2008服务器系统的telnet程序端口号码,我们只要在本地客户端系统打开DOS命令行工作窗口,在该窗口的命令行提示符下输入字符串命令“tlntadmn config \\server port=2991 -u xxx -p yyy ”(Server表示远程服务器系统的主机名称或IP地址,port=2991要修改为的远程登录端口号码,xxx为登录服务器系统的用户名,yyy是对应用户账号的密码,单击回车键后,远程服务器系统的telnet端口号码就变成“2991”了。
4、强行使用复杂密码阻止暴力破解
要是Windows Server 2008服务器系统的远程登录密码设置得不够复杂时,那么非法远程控制用户就有可能通过暴力方式将该登录密码成功破解掉。而事实上,不少网络管理员为了便于记忆,常常会将服务器系统的远程登录密码设置得比较简单,这无形之中给非法攻击者提供了暴力破解的机会,远程控制操作的安全性也会受到严重威胁。为此,我们可只要对Windows Server 2008服务器系统进行如下设置操作,来启用系统自带的密码策略,强制用户必须对远程控制账号设置比较复杂的密码:
首先在Windows Server 2008服务器系统桌面中依次单击“开始”/“程序”/“管理工具”命令,在其后出现的系统管理工具列表窗口中,用鼠标双击其中的“本地安全策略”图标,打开对应系统的本地安全设置对话框;
其次在该设置对话框的左侧显示区域,用鼠标选中其中的“账户策略”分支选项,然后再将目标分支选项下面的“密码策略”子项选中,在对应“密码策略”子项的右侧显示区域,我们会看到六个有关密码的设置策略选项,用鼠标双击其中的“密码必须符合复杂性要求”组策略选项,打开如图3所示的目标组策略属性设置窗口;
检查其中的“已启用”选项是否处于选中状态,要是发现该选项还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好上述设置操作,如此一来Windows Server 2008服务器系统的远程登录密码设置得不够复杂时,系统就会自动弹出相关提示;
接下来,我们再对“强制密码历史”、“密码长度最小值”、“用可还原的加密来储存密码”、“密码最长使用期限”、“密码最短使用期限”等策略进行按需修改,最后单击“确定”按钮完成所有设置操作,如此一来远程登录密码就能被强行设置得复杂了。
1、只允许指定人员进行远程控制
如果允许任何一位普通用户随意对Windows Server 2008服务器系统进行远程控制时,那该服务器系统的安全性肯定很难得到有效保证。有鉴于此,我们可以对Windows Server 2008服务器系统进行合适设置,只允许指定人员通过远程桌面连接方式对其进行远程控制,下面就是具体的设置步骤:
首先打开Windows Server 2008服务器系统桌面的“开始”菜单,从中依次展开“程序”、“管理工具”、“服务器管理器”选项,在其后出现的对应系统服务器管理器控制台窗口中,点选左侧子窗格中的“服务器管理”节点选项,之后选中目标节点分支下面的“服务器摘要”设置项,再单击“配置远程桌面”项目,进入远程控制Windows Server 2008系统的设置对话框;
其次在该设置对话框的“远程桌面”处单击“选择用户”按钮,打开如图1所示的设置界面,从中我们会看到可以对Windows Server 2008服务器系统进行远程控制的所有用户账号,一旦看到有陌生的用户账号或不信任用户账号存在时,我们可以将它选中并单击“删除”按钮,将它从系统中删除掉;接着单击对应设置界面中的“添加”按钮,打开用户账号设置对话框,从中将指定的管理员用户账号选中并添加进来,再单击“确定”按钮结束用户账号设置操作,如此一来Windows Server 2008服务器系统日后只允许指定的系统管理员对其进行远程管理操作,而不允许其他任何用户对其进行远程控制操作。
2、拒绝Administrator进行攻击测试
与传统服务器操作系统一样,Windows Server 2008服务器系统在默认状态下仍然会使用Administrator账号来完成系统登录操作,正因如此Administrator账号特别容易被一些非法攻击者利用,他们企图通过破解Administrator账号的密码来登录服务器,并尝试对其进行攻击测试。为了拒绝非法攻击者使用Administrator账号进行攻击测试,我们可以按照如下步骤设置Windows Server 2008服务器系统:
首先在Windows Server 2008服务器系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入“Secpol.msc”字符串命令,单击回车键后,打开对应系统的本地安全组策略控制台窗口;
其次在本地安全组策略控制台窗口的左侧显示区域,将鼠标定位于其中的“安全设置”节点选项,在目标节点分支下面选中“本地策略”/“安全选项”,在对应“安全选项”分支下面找到目标安全组策略“帐户:重命名系统管理员帐户”,并用鼠标右键单击该组策略选项,从其后出现的快捷菜单中执行“属性”命令,打开“帐户:重命名系统管理员帐户”组策略属性设置对话框;单击该对话框中的“本地安全设置”标签,打开如图2所示的标签设置页面,在该页面中我们可以将Administrator账号的名称修改为其他人不容易猜中的名称,例如可以将其修改为“guanliyuan”,最后单击“确定”按钮保存好上述设置操作,这样一来非法攻击者企图通过Administrator账号对Windows Server 2008服务器系统进行攻击测试时,就无法取得成功,那么服务器系统的安全性能就可以得到有效保证了。
3、修改telnet端口保护远程连接安全
telnet命令是Windows Server 2008服务器系统中缺省的远程登录程序,因为该程序是直接集成在服务器系统中并且使用起来比较方便,所以网络管理员在管理服务器时经常使用到该程序。不过,在使用telnet命令对服务器系统进行远程控制操作时,控制信息往往是以明文方式在网络上传输的,一些恶意攻击者很容易就能将类似账号名称和密码这样的控制信息截获走,同时telnet程序的身份验证方式也存在明显的弱点,那就是它特别容易受到其他人的攻击。考虑到telnet命令对Windows Server 2008服务器系统进行远程控制时,一般会自动使用“23”这个默认的网络端口,并且该端口几乎被所有人都熟悉,为了保护telnet远程连接的安全性,我们只要按照下面的方法修改该程序默认的网络端口号码,以阻止其他人随意使用telnet命令对服务器系统进行远程控制操作:
首先在Windows Server 2008服务器系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入“cmd”字符串命令,单击回车键后,打开对应系统的DOS命令行工作窗口;
其次在DOS窗口的命令行提示符下,输入字符串命令“tlntadmn config port=2991”(其中“2991”是修改后的新端口号码),为了防止新设置的网络端口号码与系统已有端口号码存在冲突,我们必须确保这里输入的新端口号码不能设置成已知系统服务的端口号码;在确认上面的字符串命令输入正确后,单击回车键,telnet命令使用的端口号码就会自动变成“2991”了,此时网络管理员必须知道新端口号码,才能使用该程序对Windows Server 2008服务器系统进行远程控制操作。
当然,我们不到服务器现场,也能远程修改Windows Server 2008服务器系统的telnet程序端口号码,我们只要在本地客户端系统打开DOS命令行工作窗口,在该窗口的命令行提示符下输入字符串命令“tlntadmn config \\server port=2991 -u xxx -p yyy ”(Server表示远程服务器系统的主机名称或IP地址,port=2991要修改为的远程登录端口号码,xxx为登录服务器系统的用户名,yyy是对应用户账号的密码,单击回车键后,远程服务器系统的telnet端口号码就变成“2991”了。
4、强行使用复杂密码阻止暴力破解
要是Windows Server 2008服务器系统的远程登录密码设置得不够复杂时,那么非法远程控制用户就有可能通过暴力方式将该登录密码成功破解掉。而事实上,不少网络管理员为了便于记忆,常常会将服务器系统的远程登录密码设置得比较简单,这无形之中给非法攻击者提供了暴力破解的机会,远程控制操作的安全性也会受到严重威胁。为此,我们可只要对Windows Server 2008服务器系统进行如下设置操作,来启用系统自带的密码策略,强制用户必须对远程控制账号设置比较复杂的密码:
首先在Windows Server 2008服务器系统桌面中依次单击“开始”/“程序”/“管理工具”命令,在其后出现的系统管理工具列表窗口中,用鼠标双击其中的“本地安全策略”图标,打开对应系统的本地安全设置对话框;
其次在该设置对话框的左侧显示区域,用鼠标选中其中的“账户策略”分支选项,然后再将目标分支选项下面的“密码策略”子项选中,在对应“密码策略”子项的右侧显示区域,我们会看到六个有关密码的设置策略选项,用鼠标双击其中的“密码必须符合复杂性要求”组策略选项,打开如图3所示的目标组策略属性设置窗口;
检查其中的“已启用”选项是否处于选中状态,要是发现该选项还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好上述设置操作,如此一来Windows Server 2008服务器系统的远程登录密码设置得不够复杂时,系统就会自动弹出相关提示;
接下来,我们再对“强制密码历史”、“密码长度最小值”、“用可还原的加密来储存密码”、“密码最长使用期限”、“密码最短使用期限”等策略进行按需修改,最后单击“确定”按钮完成所有设置操作,如此一来远程登录密码就能被强行设置得复杂了。
[3]nginx 1.0.0配ngx_cache_purge实现高效的反向代理
来源: 互联网 发布时间: 2013-12-24
在功能上,Nginx已经具备Squid所拥有的Web缓存加速功能、清除指定URL缓存的功能。而在性能上,Nginx对多核CPU的利用,胜过Squid不少。另外,在反向代理、负载均衡、健康检查、后端服务器故障转移、Rewrite重写、易用性上,Nginx也比Squid强大得多。这使得一台Nginx可以同时作为“负载均衡服务器”与“Web缓存服务器”来使用。--by 张宴
下载2011-05-03更新的最新版1.3
wget http://labs.frickle.com/files/ngx_cache_purge-1.3.tar.gz
tar zxf ngx_cache_purge-1.3.tar.gz
切换到nginx目录
cd nginx-1.0.0
./configure --user=www --group=www --add-module=../ngx_cache_purge-1.3 --prefix=/usr/local/webserver/nginx --with-http_stub_status_module
make;make install
安装完成!
安装完后在/usr/local/webserver/nginx下多了四个目录,分别是fastcgi_temp,proxy_temp,scgi_temp和uwsgi_temp。
proxy_temp这个目录用于存储临时文件,需要看下是否www有权限写入,如果不可写,无法在这个目录生成文件的话,会导致反向代理失败。也可以在nginx的配置里设置proxy_temp_path指定存储临时文件的目录。
nginx配置文件参考:
http {
#proxy_temp_path /www/proxy_temp;
#设置Web缓存区名称为cache_one,内存缓存空间大小为100MB,1天没有被访问的内容自动清除,硬盘缓存空间大小为10GB。
proxy_cache_path /www/proxy_cache levels=1:2 keys_zone=cache_one:100m inactive=1d max_size=10g;
server {
listen 80;
server_name s.;
location / {
proxy_cache cache_one;
proxy_cache_valid 200 304 12h;
proxy_cache_key $uri$is_args$args;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass http://www.;
expires 1d;
}
location ~ /purge(/.*) {
allow all;
allow 127.0.0.1;
# deny all;
proxy_cache_purge cache_one $1$is_args$args;
}
access_log /www/logs/s.log access;
}
......
}
这样访问s./images/logo.gif,反向代理就会去请求http://www./images/logo.gif,保存在内存中,然后输出。
如果logo.gif这个文件发生了变化,则需要刷新缓存,访问s./purge/images/logo.gif,就会提示:Successful purge
Key : /images/logo.gif
Path: /www/proxy_cache/39aaa70038997e0e5e77beaa4392848d
如果这个文件没有被缓存过,则提示:404 Not Found
如果是已经安装过nginx了,请一定注意,使用nginx -s reload重启是无效的!一定要-s stop之后再启动,这样才会使用新版本的nginx!
我今天就没注意这点,在这上面化了N个小时!
/usr/local/webserver/nginx/sbin/nginx -V
nginx: nginx version: nginx/1.0.0
nginx: built by gcc 4.1.2 20080704 (Red Hat 4.1.2-46)
nginx: configure arguments: --user=www --group=www --add-module=../ngx_cache_purge-1.3 --prefix=/usr/local/webserver/nginx --with-http_stub_status_module
一直以为是装成功了,但反复测试均清除失败,很郁闷!明明开启了访问日志,日志也没记录任何信息!
晚上继续测试时,在nginx_error.log里看到有如下的错误提示:
2011/05/11 21:23:40 [emerg] 20976#0: unknown directive "proxy_cache_purge" in /usr/local/webserver/nginx/conf/nginx.conf:481
才确认这个模块跟本没装上,当然不能用了。后来在一个论坛看到一个人的回复说要restart,但reload是无效的。才想到前段搞nginx升级时就发现,如果不用make upgrade升级,重新编译升级的话,必须停掉,再启动才会使用新的版本!
下载2011-05-03更新的最新版1.3
wget http://labs.frickle.com/files/ngx_cache_purge-1.3.tar.gz
tar zxf ngx_cache_purge-1.3.tar.gz
切换到nginx目录
cd nginx-1.0.0
./configure --user=www --group=www --add-module=../ngx_cache_purge-1.3 --prefix=/usr/local/webserver/nginx --with-http_stub_status_module
make;make install
安装完成!
安装完后在/usr/local/webserver/nginx下多了四个目录,分别是fastcgi_temp,proxy_temp,scgi_temp和uwsgi_temp。
proxy_temp这个目录用于存储临时文件,需要看下是否www有权限写入,如果不可写,无法在这个目录生成文件的话,会导致反向代理失败。也可以在nginx的配置里设置proxy_temp_path指定存储临时文件的目录。
nginx配置文件参考:
http {
#proxy_temp_path /www/proxy_temp;
#设置Web缓存区名称为cache_one,内存缓存空间大小为100MB,1天没有被访问的内容自动清除,硬盘缓存空间大小为10GB。
proxy_cache_path /www/proxy_cache levels=1:2 keys_zone=cache_one:100m inactive=1d max_size=10g;
server {
listen 80;
server_name s.;
location / {
proxy_cache cache_one;
proxy_cache_valid 200 304 12h;
proxy_cache_key $uri$is_args$args;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass http://www.;
expires 1d;
}
location ~ /purge(/.*) {
allow all;
allow 127.0.0.1;
# deny all;
proxy_cache_purge cache_one $1$is_args$args;
}
access_log /www/logs/s.log access;
}
......
}
这样访问s./images/logo.gif,反向代理就会去请求http://www./images/logo.gif,保存在内存中,然后输出。
如果logo.gif这个文件发生了变化,则需要刷新缓存,访问s./purge/images/logo.gif,就会提示:Successful purge
Key : /images/logo.gif
Path: /www/proxy_cache/39aaa70038997e0e5e77beaa4392848d
如果这个文件没有被缓存过,则提示:404 Not Found
如果是已经安装过nginx了,请一定注意,使用nginx -s reload重启是无效的!一定要-s stop之后再启动,这样才会使用新版本的nginx!
我今天就没注意这点,在这上面化了N个小时!
/usr/local/webserver/nginx/sbin/nginx -V
nginx: nginx version: nginx/1.0.0
nginx: built by gcc 4.1.2 20080704 (Red Hat 4.1.2-46)
nginx: configure arguments: --user=www --group=www --add-module=../ngx_cache_purge-1.3 --prefix=/usr/local/webserver/nginx --with-http_stub_status_module
一直以为是装成功了,但反复测试均清除失败,很郁闷!明明开启了访问日志,日志也没记录任何信息!
晚上继续测试时,在nginx_error.log里看到有如下的错误提示:
2011/05/11 21:23:40 [emerg] 20976#0: unknown directive "proxy_cache_purge" in /usr/local/webserver/nginx/conf/nginx.conf:481
才确认这个模块跟本没装上,当然不能用了。后来在一个论坛看到一个人的回复说要restart,但reload是无效的。才想到前段搞nginx升级时就发现,如果不用make upgrade升级,重新编译升级的话,必须停掉,再启动才会使用新的版本!
最新技术文章: