文章目录

前言
备份与停止服务
nginx安装与配置
- nginx 编译安装
- 配置服务
php-fpm多站点配置
- phf-fpm介绍
- 多站点配置
nginx 多站点配置
nginx ssl 配置
参考

前言

之前服务器使用的是 LAMP环境，想充分利用服务器资源，再运行另外一个站点

在LAMP环境下应该是也可以实现多站点，

但考虑到nginx轻量性，以及当前主要开发生产用到nginx比较多，配置好后也方便学习

于是决定进行更换

这里面有一个多用户权限的问题，最好统一基于已有的用户进行设置如www用户；目前下面的方案能够实现想要的效果，但可能在规范和安全上做的并不好

备份与停止服务

备份，备份网站，备份配置文件

# 备份网站目录（假设默认路径是 /var/www/html）
sudo cp -r /var/www/html /var/www/html_backup# 备份 Apache 配置文件
sudo cp -r /etc/apache2 /etc/apache2_backup   # Debian/Ubuntu
sudo cp -r /etc/httpd /etc/httpd_backup       # CentOS/RHEL

停止 apache 服务

# 停止 apache服务
sudo systemctl stop apache2     # Ubuntu/Debian
sudo systemctl stop httpd       # CentOS# 禁止开机自启
sudo systemctl disable apache2    # Ubuntu/Debian
sudo systemctl disable httpd      # CentOS# 更老版本centos 会提示 httpd,service is not a native service, redirecting to sbin/chkconfid Executing /sbin/chkconfid httpd off
# 也是执行成功了# 检查是否禁用
/sbin/chkconfig --list httpd# httpd           0:off   1:off   2:off   3:off   4:off   5:off   6:off 全是off 禁止开机自启动成功# 如需卸载 可执行
# ubuntu/debian
sudo apt remove --purge apache2
sudo apt autoremove# centos
sudo yum remove httpd

nginx安装与配置

nginx 编译安装

下载源代码 nginx: download ；然后解压

geoip 安装；参考

configure

配置很多自行搜索添加

./configure --prefix=/www/server/nginx --conf-path=/www/server/nginx/conf/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --with-select_module --with-poll_module --with-threads --with-file-aio --with-http_ssl_module --with-http_v2_module --with-http_realip_module --with-http_addition_module --with-http_xslt_module --with-http_image_filter_module --with-http_geoip_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_auth_request_module --with-http_random_index_module --with-http_secure_link_module --with-http_degradation_module --with-http_slice_module --with-http_stub_status_module --with-http_sub_module --with-pcre --with-pcre-jit --with-stream --with-stream_ssl_module --with-stream_realip_module --with-cc-opt="-O2 -pipe -fPIC" --with-ld-opt="-Wl,-Bsymbolic-functions -Wl,--as-needed"

configuring 完成后会输出 configuration summary

然后构建安装

make
make install

配置服务

配置服务 nginx.service 放到 /etc/systemd/system 下

[Unit]
Description=nginx
After=network.target[Service]
Type=forking
PIDFile=/www/server/nginx/logs/nginx.pid
ExecStartPre=/www/server/nginx/sbin/nginx -t
ExecStart=/www/server/nginx/sbin/nginx
ExecReload=/www/server/nginx/sbin/nginx -s reload
ExecStop=/www/server/nginx/sbin/nginx -s stop
AmbientCapabilities=CAP_NET_BIND_SERVICE
PrivateTmp=true
User=root
Group=root[Install]
WantedBy=multi-user.target

注意修改路径根据你的安装路径进行调整

注意这里的 user group 都使用的 root，后面的 nginx 主配置中设置 user www;

服务以root用户启动，后面设置 user www; 才能生效

注意 AmbientCapabilities=CAP_NET_BIND_SERVICE ；没添加会提示 nginx 绑定端口失败；更多处理方法见下面参考博客；

启动服务

systemctl daemon-reloadsystemctl start nginxps -aux | grep nginx

下面展示是基于后面的 nginx 配置【设置了 user www;】启动的效果

一个主进程 root用户，一个工作线程 www 用户

后续过程涉及多次 nginx 配置修改，需要重启验证，下面的命令会多次用到

nginx -tsystemctl status nginxsystemctl reload nginxsystemctl stop nginxsystemctl start nginxps -aux | grep nginx

php-fpm多站点配置

phf-fpm介绍

php-fpm 是 PHP FastCGI Process Manager 的缩写，是 PHP 提供的一种高性能的 FastCGI 实现 ，专门用于处理 PHP 请求。

在 Web 开发中，Web 服务器（如 Nginx、Apache）本身无法直接解析和执行 PHP 文件。为了让 Web 服务器能够运行 PHP 脚本，就需要一个中间程序来处理这些请求 —— 这就是 FastCGI 的作用。

FastCGI 是一种协议标准，用于 Web 服务器与后端应用服务器之间的通信。

php-fpm 是实现这个协议的工具，主要功能有

功能	描述
接收 PHP 请求	从 Nginx 或 Apache 接收 PHP 脚本请求
解析并执行 PHP 脚本	把 PHP 代码转换为 HTML 页面或 JSON 数据
管理进程池	控制 PHP 进程数量，提高并发性能
支持多站点配置	每个网站可以使用不同的用户、权限和配置
支持 Unix Socket 和 TCP	更灵活地与 Web 服务器通信
日志记录与错误监控	记录慢脚本、错误日志等信息

[浏览器] → [Nginx] → [PHP-FPM] → [MySQL / Redis / 其他服务]

用户发出访问，nginx接收请求，nginx通过fastcgi_pass 转发给 php-fpm，php-fpm执行php脚本，连接数据库，生成html内容，php-fpm 返回结果给nginx，由nginx返回给浏览器。

多站点配置

php-fpm.conf.default

全局配置 php-fpm.conf

[global]
pid = /www/server/php/74/var/run/php-fpm.pid
error_log = /www/server/php/74/var/log/php-fpm.log
log_level = notice
include = /www/server/php/74/etc/php-fpm.d/*.conf[www]
listen = /tmp/php-cgi-74.sock
listen.backlog = 8192
listen.allowed_clients = 127.0.0.1
listen.owner = www
listen.group = www
listen.mode = 0666
user = www
group = www
pm = dynamic
pm.status_path = /phpfpm_74_status
pm.max_children = 50
pm.start_servers = 5
pm.min_spare_servers = 5
pm.max_spare_servers = 10
request_terminate_timeout = 100
request_slowlog_timeout = 30
slowlog = var/log/slow.log

在这里加入了一条 include

include = /www/server/php/74/etc/php-fpm.d/*.conf

用于加载各个站点配置

A站点 php-fpm.d/a.conf

[a]
listen = /var/run/php/a.sock
listen.owner = www
listen.group = www
listen.mode = 0666
user = www
group = www

B站点 php-fpm.d/b.conf

[b]
listen = /var/run/php/b.sock
listen.owner = www
listen.group = www
listen.mode = 0666
user = www
group = www

上面给出的是主要配置，其中最重要的是 listen 对应一个站点应用建立的 sock 通信文件

这里的 listen 也支持

; ‘ip.add.re.ss:port’ - to listen on a TCP socket to a specific IPv4 address on
; a specific port;
; ‘[ip:6:addr:ess]:port’ - to listen on a TCP socket to a specific IPv6 address on
; a specific port;
; ‘port’ - to listen on a TCP socket to all addresses
; (IPv6 and IPv4-mapped) on a specific port;
; ‘/path/to/unix/socket’ - to listen on a unix socket.

其他完整的配置可以参考提供的 xxx.conf.default ，然后进行设置；建议直接拷贝后重命名为站点配置在里面修改就行了

错误排查主要通过查看日志 php-fpm.log 、slow.log

php-fpm 执行

pkill php-fpm/www/server/php/74/sbin/php-fpm -y /www/server/php/74/etc/php-fpm.conf -c /www/server/php/74/etc/php.ini

创建的 sock

主进程 master process

加载全局配置；监听sock文件或端口；管理子进程池 pool；

子进程池 pool

每个 pool 对应一个 PHP 应用（这里也就是 WordPress）；每个 pool 可以设置不同用户、监听地址、资源限制等；子进程负责实际执行 PHP 脚本

nginx 多站点配置

nginx 安装路径 /www/server/nginx

conf/nginx.conf


#user  nobody;
user www;
worker_processes  1;#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;#pid        logs/nginx.pid;events {worker_connections  1024;
}http {include       mime.types;default_type  application/octet-stream;#log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '#                  '$status $body_bytes_sent "$http_referer" '#                  '"$http_user_agent" "$http_x_forwarded_for"';#access_log  logs/access.log  main;sendfile        on;#tcp_nopush     on;#keepalive_timeout  0;keepalive_timeout  65;#gzip  on;include /www/server/nginx/conf/site-enabled/*.conf;}

原有的配置基本被删除掉

通过

include /www/server/nginx/conf/site-enabled/*.conf;

将启用的站点引入起来

site-available\

A站点配置 a.conf

server {listen 443 ssl;server_name a.top www.a.top;root /www/wwwroot/a.top;index index.php index.html;access_log /var/log/nginx/a.top.access.log;error_log /var/log/nginx/a.top.error.log;ssl_certificate /www/server/panel/vhost/cert/a.top/fullchain.pem;ssl_certificate_key /www/server/panel/vhost/cert/a.top/privkey.pem;ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers on;ssl_session_cache shared:SSL:10m;ssl_session_timeout 10m;location / {try_files $uri $uri/ /index.php?$query_string;}location ~ \.php$ {fastcgi_pass unix:/var/run/php/a.sock;fastcgi_index index.php;include fastcgi_params;fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;include fastcgi.conf;}location ~ /\.ht {deny all;}location ~ ^/wp-config\.php$ {deny all;}# 防止上传目录执行php文件location ~ ^/wp-content/uploads/.*\.php$ {deny all;}
}server {listen 80;server_name a.top www.a.top;return 301 https://$host$request_uri;
}

B站点配置 b.conf

server {listen 80;server_name b.top;root /www/wwwroot/b.top;index index.php index.html;access_log /var/log/nginx/b.access.log;error_log /var/log/nginx/b.error.log;location / {try_files $uri $uri/ /index.php?$query_string;}location ~ \.php$ {fastcgi_pass unix:/var/run/php/b.sock;fastcgi_index index.php;include fastcgi_params;fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;include fastcgi.conf;}location ~ /\.ht {deny all;}location ~ ^/(uploads|files)/.*\.php$ {deny all;}
}

注意配置文件中 fastcgi_pass 使用的 sock 要和 php-fpm 中站点使用的sock文件一致

conf/site-enabled

ln /www/server/nginx/site-avaiable/a.conf /www/server/nginx/conf/site-enabled/ln /www/server/nginx/site-avaiable/b.conf /www/server/nginx/conf/site-enabled/

会在 conf/site-enabled 建立两个软链接指向我们需要管理的网站 nginx 配置，在nginx.conf 主配置那里通过 include 进行了引入

这种分离式配置，可以分别设置不同网站的配置，通过软链接进行启用方便管理，无需全都放在nginx.conf 主配置中变得很长难以查询管理

nginx ssl 配置

具体参考 A站点 a.conf

ssl_certificate /www/server/panel/vhost/cert/a.top/fullchain.pem;
ssl_certificate_key /www/server/panel/vhost/cert/a.top/privkey.pem;ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

ssl_certificate 
ssl_certificate_key

设置 ssl 证书和私钥文件路径

这里要确保 nginx 能够对证书和私钥有读取权限

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

是 ssl 相关配置协议版本，套件，缓存，超时等

然后

listen 443 ssl;

启用 ssl

如果通过浏览器测试提示 502 或 curl 测试提示 curl: (35) SSL received a record that exceeded the maximum permissible length

检查是不是listen忘记添加了 ssl;

nginx 安全策略

针对 wordpress 添加的规则

# 禁止 /wp-content/uploads/ *.php
location ~ ^/wp-content/uploads/.*\.php$ {deny all;
}

AI提供的更细致的规则可控参考设置

# 1. 禁止访问 .php 文件
location ~ ^/wp-content/uploads/.*\.php$ {deny all;
}# 2. 禁止访问敏感扩展名
location ~ ^/wp-content/uploads/.*\.(sh|pl|exe|bat|cgi|phps|phar)$ {deny all;
}# 3. 图片等资源正常访问
location ~ ^/wp-content/uploads/.*\.(jpg|jpeg|png|gif|webp|mp4|ogg|ogv|webm)$ {expires 30d;add_header Cache-Control "public";
}# 4. 禁止访问 wp-config.php
location ~ ^/wp-config\.php$ {deny all;
}# 5. 禁止访问 .htaccess 等隐藏文件
location ~ /\. {deny all;
}