| Ubuntu 版本 | Nginx 版本 | 支持状态 | 备注 |
|---|---|---|---|
| Ubuntu 22.04 LTS | 1.18.0+ | 完全支持 | 长期支持,直至 2027 年 |
| Ubuntu 24.04 LTS | 1.24.0+ | 完全支持 | 最新 LTS 版本,增强了安全性 |
| Ubuntu 25.04 | 1.26.0+ | 完全支持 | 最新特性和性能改进,更适合尝鲜 |
这是你的自定义网站页面。
``` 保存并关闭文件。在 `nano` 中,按 `Ctrl+X`,然后按 `Y` 确认保存,最后按 `Enter`。 ### 5. 创建新的 `Server Block` 配置文件 为了让 Nginx 知道如何处理 `your_domain` 的请求,我们需要创建一个专门的 `Server Block` 配置文件。我们不会直接修改默认配置,而是在 `/etc/nginx/sites-available/` 目录下创建新文件: ``` sudo nano /etc/nginx/sites-available/your_domain ``` 粘贴以下配置代码块。这个配置与默认的类似,但我们更新了 `root` 目录和 `server_name`: ``` server { listen 80; listen [::]:80; root /var/www/your_domain/html; index index.html index.htm index.nginx-debian.html; server_name your_domain www.your_domain; location / { try_files $uri $uri/ =404; } } ``` 这里简单解释一下: - `listen 80;`:Nginx 监听 80 端口,处理 HTTP 请求。`listen [::]:80;` 确保也监听 IPv6 地址。 - `root /var/www/your_domain/html;`:指定网站文件的根目录。 - `index index.html ...;`:定义当访问目录时,Nginx 尝试加载的文件名顺序。 - `server_name your_domain www.your_domain;`:指定这个 `Server Block` 会响应哪些域名请求。 - `location / {}`:定义了请求如何路由。`try_files $uri $uri/ =404;` 表示 Nginx 会尝试查找与 `URI` 匹配的文件,如果没有找到文件就查找目录,如果都找不到,则返回 404 错误。 ### 6. 启用 `Server Block` 现在,我们的新 `Server Block` 配置文件还在 `sites-available` 目录里,Nginx 默认不会读取它。我们需要通过创建一个**符号链接(symlink)**,把它“链接”到 `sites-enabled` 目录,Nginx 在启动时会读取这个目录下的所有配置文件: ``` sudo ln -s /etc/nginx/sites-available/your_domain /etc/nginx/sites-enabled/ ``` > **小贴士**:符号链接就像是文件系统里的“快捷方式”。这样做的好处是,你可以轻松地禁用一个 `Server Block`(只需删除 `sites-enabled` 里的链接),而不用删除原始的配置文件,以后想再启用时很方便。 现在,你的 Nginx 服务器上有了两个活跃的 `Server Block`: - `your_domain`:响应 `your_domain` 和 `www.your_domain` 的请求。 - `default`:如果任何请求不匹配 `your_domain` 的 `Server Block`,它会由默认的 `Server Block` 来处理(通常是 `/var/www/html` 里的内容)。 ### 7. 调整 `nginx.conf` 文件 为了避免潜在的 `hash bucket memory` 问题(当有大量 `server_name` 时可能出现),我们还需要稍微调整一下主配置文件 `/etc/nginx/nginx.conf`。 打开这个文件: ``` sudo nano /etc/nginx/nginx.conf ``` 在 `http { ... }` 配置块内,找到 `server_names_hash_bucket_size` 这行。它可能被注释掉了(前面有一个 `#` 符号)。我们需要取消注释,并确保它的值是 `64`: ``` ... http { ... server_names_hash_bucket_size 64; # 移除前面的 # 号 ... } ... ``` > **小贴士**:在配置文件中,用 `#` 符号注释掉一行代码是禁用它的常见做法,同时也能作为文档说明。很多配置文件会预留一些注释掉的选项,方便用户根据需求启用或禁用。 保存并关闭文件。 ### 8. 测试配置并重启 Nginx 在重启 Nginx 之前,**强烈建议**你先测试一下配置文件的语法是否正确,避免因为手误导致服务启动失败: ``` sudo nginx -t ``` 如果没有任何语法错误,你会看到 `syntax is ok` 和 `test is successful` 的提示。如果出现错误,请仔细检查你刚才修改的文件。 测试通过后,重启 Nginx 服务,让新的 `Server Block` 生效: ``` sudo systemctl restart nginx ``` 现在,Nginx 应该已经开始为你的域名提供服务了。打开你的浏览器,访问 `http://your_domain`(再次强调,替换成你的实际域名),你应该会看到你刚才创建的那个“恭喜!”页面。  是不是很酷?你已经成功在一台服务器上部署了你的第一个自定义网站! ## 第六步:安全加固与性能优化 —— 让你的网站又快又安全! 网站上线了,但我们不能止步于此。一个优秀的 Web 服务器不仅要能正常工作,更要又快又安全。这一步,我们将为 Nginx 进行一些生产环境级别的安全加固和性能优化。 ### 基础安全配置 编辑 Nginx 的主配置文件: ``` sudo nano /etc/nginx/nginx.conf ``` 在 `http { ... }` 配置块内,添加以下安全相关的指令。它们能有效提高服务器的安全性,抵御一些常见的攻击: ``` # 隐藏 Nginx 版本信息,避免暴露服务器软件版本给攻击者 server_tokens off; # 添加安全响应头,防止常见的 Web 漏洞 # X-Frame-Options: 防止点击劫持 (Clickjacking) 攻击 add_header X-Frame-Options "SAMEORIGIN" always; # X-XSS-Protection: 启用浏览器内置的 XSS 防护 add_header X-XSS-Protection "1; mode=block" always; # X-Content-Type-Options: 防止 MIME 类型嗅探攻击 add_header X-Content-Type-Options "nosniff" always; # Referrer-Policy: 控制浏览器发送 Referer 头的信息 add_header Referrer-Policy "no-referrer-when-downgrade" always; # Content-Security-Policy: 内容安全策略,限制可加载的资源来源,大大减少 XSS 风险 add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always; # 再次确认隐藏 Nginx 版本信息 (防止某些模块覆盖) server_tokens off; # 限制客户端请求体大小,防止恶意大文件上传导致服务器资源耗尽 client_max_body_size 10M; # 例如,限制为 10MB # 超时设置,防止慢速攻击和资源占用 client_body_timeout 12s; # 客户端发送请求体超时 client_header_timeout 12s; # 客户端发送请求头超时 keepalive_timeout 15s; # 长连接保持时间 send_timeout 10s; # 服务器向客户端发送响应超时 ``` ### 性能优化秘籍 同样在 `/etc/nginx/nginx.conf` 文件中,添加以下性能优化配置。它们能帮助 Nginx 更高效地处理请求: ``` # Worker 进程数量 (根据你的 CPU 核心数进行调整) # auto 表示 Nginx 会自动检测 CPU 核心数并设置相应数量的 worker 进程 worker_processes auto; # Worker 连接设置 events { # 每个 worker 进程可以处理的最大并发连接数 worker_connections 1024; # 使用高效的 I/O 多路复用机制,epoll 是 Linux 上的首选 use epoll; # 允许 worker 进程一次性接受多个新连接 multi_accept on; } # Gzip 压缩,显著减少传输数据量,加快页面加载速度 gzip on; # 告诉代理服务器根据 Vary: Accept-Encoding 头来缓存压缩内容 gzip_vary on; # 对所有代理请求的响应进行压缩 gzip_proxied any; # 压缩级别,1(最低)到 9(最高),6 是一个很好的平衡点 gzip_comp_level 6; # 定义哪些 MIME 类型的文件需要进行 Gzip 压缩 gzip_types text/plain text/css text/xml text/javascript application/json application/javascript application/xml+rss application/atom+xml image/svg+xml; ``` ### 测试并应用配置 修改完配置文件后,老规矩,先测试语法,再重载 Nginx。 **测试配置:** ``` sudo nginx -t ``` **如果测试通过,重载 Nginx:** ``` sudo systemctl reload nginx ``` ### SSL/TLS 证书准备 为了让你的网站支持 `HTTPS`,并启用 `Nginx HTTPS` 防火墙规则,你需要安装 `SSL/TLS` 证书。`Let's Encrypt` 提供免费且自动化的证书。 **安装 Certbot 工具:** `Certbot` 是一个可以自动为 Nginx 获取和配置 `Let's Encrypt` 证书的工具。 ``` # 安装 Certbot 及其 Nginx 插件 sudo apt install certbot python3-certbot-nginx -y # 检查 Certbot 是否正常工作 sudo certbot --version ``` 看到 `Certbot` 的版本号,就说明工具安装成功了。下一步就是使用它来为你的域名生成和配置证书。 通过这些安全加固和性能优化,你的 Nginx 服务器现在不仅更安全,而且能提供更快的用户体验。棒极了! ## 第七步:Nginx 那些重要的文件和目录 既然你已经和 Nginx 混熟了,了解它的一些“内部构造”会让你在管理和排查问题时事半功倍。Nginx 在 Ubuntu 上有一些关键的目录和文件,就像是它的“说明书”和“日记本”。 ### 内容文件 - `/var/www/html`:这是 Nginx 默认的 Web 根目录。你之前看到的那个“Welcome to Nginx!”页面就存放在这里。当然,我们自己创建的 `Server Block` 会有自己的 `root` 目录,比如 `/var/www/your_domain/html`。 - **你自己的网站目录**:例如 `/var/www/your_domain/html`,这里存放着你的网站的所有 `HTML`、`CSS`、`JavaScript` 和图片等文件。 ### 服务器配置 - `/etc/nginx`:这是 Nginx 的主配置目录,所有的 Nginx 配置文件都住在这里。 - `/etc/nginx/nginx.conf`:Nginx 的**主配置文件**。你可以在这里修改 Nginx 的全局配置,比如 `worker_processes`、`gzip` 设置、`server_names_hash_bucket_size` 等。 - `/etc/nginx/sites-available/`:这个目录存放着所有**可用的 `Server Blocks` 配置文件**。你可以为每个网站创建一个独立的配置文件放在这里。Nginx 不会直接使用这些文件,除非它们被“链接”到 `sites-enabled` 目录。 - `/etc/nginx/sites-enabled/`:这个目录存放着所有**已启用的 `Server Blocks` 配置文件**。它们通常是通过符号链接指向 `sites-available` 目录下的文件。Nginx 在启动时会加载并执行这个目录中的所有配置。 - `/etc/nginx/snippets`:这个目录包含一些**配置片段**。如果你有一些重复出现的配置(比如 `SSL` 设置、安全响应头),可以把它们抽象成一个片段文件,然后在多个 `Server Blocks` 中引用,保持配置的整洁和可维护性。 ### 服务器日志 - `/var/log/nginx/access.log`:这是 Nginx 的**访问日志**。每一次用户对你网站的访问请求,无论成功与否,都会被记录在这个文件里。它包含了访问者的 IP、请求时间、请求方法、`URL`、状态码、响应大小等信息,是分析网站流量和用户行为的重要数据源。 - `/var/log/nginx/error.log`:这是 Nginx 的**错误日志**。任何 Nginx 自身运行时的错误、配置错误或者请求处理中的异常,都会被记录在这里。当你的网站出现问题时,查看这个日志文件是排查故障的第一步,它会告诉你发生了什么,在哪里发生了。 熟悉这些文件和目录,能让你在管理 Nginx 时更加得心应手,遇到问题也能快速找到线索,解决它们。 ## Nginx 安全小贴士:常见问题与实践 保障 Web 服务器的安全就像给你的网站穿上一层厚厚的盔甲。以下是一些 Nginx 安全加固的实践和常见问题,希望能帮到你: ### Nginx 安全实践清单| 安全实践 | 实现方式 | 常用命令/配置 | 优先级 |
|---|---|---|---|
| **保持 Nginx 更新** | 定期更新 Nginx 及系统软件包 | `sudo apt update && sudo apt upgrade nginx` | 高 |
| **配置防火墙** | 使用 `UFW` 限制只开放必要端口 | `sudo ufw allow 'Nginx Full'` | 高 |
| **启用 SSL/TLS** | 使用 `Let's Encrypt` 安装 `SSL` 证书 | `sudo certbot --nginx -d your_domain.com` | 高 |
| **隐藏服务器信息** | 阻止 Nginx 版本泄露 | 在 `/etc/nginx/nginx.conf` 中添加 `server_tokens off;` | 中 |
| **安全响应头** | 添加安全响应头,防止常见攻击 | 在 `server block` 中添加(见下方示例) | 中 |
| **请求限速** | 配置 `rate limiting`,抵御 `DDoS` 和暴力破解攻击 | 配置 `limit_req_zone` 和 `limit_req` | 中 |
| **强认证** | 为管理界面使用强密码 | 实施 HTTP 基本认证或 `OAuth` | 中 |
| **定期备份** | 备份 Nginx 配置和网站内容 | `sudo cp -r /etc/nginx /backup/nginx-$(date +%Y%m%d)` | 中 |
| **访问控制** | 限制对敏感目录的访问 | 使用 `deny all;` 或 IP 白名单 | 低 |
| **日志监控** | 监控访问和错误日志,发现可疑活动 | `sudo tail -f /var/log/nginx/error.log` | 低 |
| 特性 | Ubuntu 22.04 | Ubuntu 24.04 | Ubuntu 25.04 |
|---|---|---|---|
| Nginx 版本 | 1.18.0+ | 1.24.0+ | 1.26.0+ |
| 支持周期 | 2027 年 | 2029 年 | 2026 年 |
| 安全更新 | 标准 | 增强 | 最新 |
| 性能 | 良好 | 更好 | 最佳 |
| 新功能与特性 | 基础 | 高级 | 最前沿 |