ttyd 是一个简单的命令行工具，用于在 Web 上共享终端，简单点说就是可以实现在网页上使用SSH终端服务，并且该软件是免费开源的。

安装ttyd

ttyd作者已经提供编译好的二进制文件，直接下载即可使用，最新版下载地址为：https://github.com/tsl0922/ttyd/releases，这里以CentOS 7为例：

1
2
3
4
5
6

#下载ttyd
wget -O ttyd https://github.com/tsl0922/ttyd/releases/download/1.6.0/ttyd_linux.x86_64
#添加执行权限
chmod +x ttyd
#移动目录
mv ttyd /usr/sbin

通过上面的几个步骤，我们已经完成ttyd安装，输入命令ttyd -v可查看当前版本：

1
2

[root@hosta29d0ffef5 ~]# ttyd -v
ttyd version 1.6.0-c15cfb7

运行ttyd

输入命令ttyd bash运行ttyd，注意防火墙需要放行7681端口，然后浏览器访问http://IP:7681即可打开WEB终端，如下图。

不过ttyd并没有保持后台运行，访问7681也不需要任何密码验证，非常不安全，接下来我们为ttyd创建一个systemd服务并设置用户名、密码验证。

新建服务

创建一个ttyd.service文件：vi /etc/systemd/system/ttyd.service内容如下：

1
2
3
4
5
6
7

[Unit]
Description=ttyd
After=network.target

[Service]
ExecStart=/usr/sbin/ttyd -c xiaoz:xiaoz.me bash

创建完毕后输入命令：systemctl daemon-reload让daemon生效。

上面使用了-c参数，这个参数的含义是设置用户名、密码验证，格式为-c 用户名:密码,上方设置的用户名为xiaoz，密码为xiaoz.me，请自行修改为自己的用户名、密码。

服务创建后，我们可以使用systemd命令来进行管理了，命令如下：

1
2
3
4
5
6
7
8

#启动ttyd
systemctl start ttyd
#停止ttyd
systemctl stop ttyd
#重启ttyd
systemctl restart ttyd
#开机启动
systemctl enable ttyd

Nginx反向代理

如果您不喜欢通过IP + 端口的访问形式，也可以设置Nginx反向代理通过域名访问，配置如下：

如果是网站根目录

1
2
3
4
5
6
7
8
9

location / {
    proxy_http_version 1.1;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_pass http://127.0.0.1:7681;
}

如果是网站二级目录

1
2
3
4
5
6
7
8
9

location ~ ^/ttyd(.*)$ {
    proxy_http_version 1.1;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_pass http://127.0.0.1:7681/$1;
}

注意上面的ttyd可以修改为自己想要的路径。

ttyd参数说明

输入ttyd -h可以查看ttyd帮助，说明如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

USAGE:
    ttyd [options] <command> [<arguments...>]

VERSION:
    1.6.0

OPTIONS:
    -p, --port              Port to listen (default: 7681, use `0` for random port)
    -i, --interface         Network interface to bind (eg: eth0), or UNIX domain socket path (eg: /var/run/ttyd.sock)
    -c, --credential        Credential for Basic Authentication (format: username:password)
    -u, --uid               User id to run with
    -g, --gid               Group id to run with
    -s, --signal            Signal to send to the command when exit it (default: 1, SIGHUP)
    -a, --url-arg           Allow client to send command line arguments in URL (eg: http://localhost:7681?arg=foo&arg=bar)
    -R, --readonly          Do not allow clients to write to the TTY
    -t, --client-option     Send option to client (format: key=value), repeat to add more options
    -T, --terminal-type     Terminal type to report, default: xterm-256color
    -O, --check-origin      Do not allow websocket connection from different origin
    -m, --max-clients       Maximum clients to support (default: 0, no limit)
    -o, --once              Accept only one client and exit on disconnection
    -B, --browser           Open terminal with the default system browser
    -I, --index             Custom index.html path
    -b, --base-path         Expected base path for requests coming from a reverse proxy (eg: /mounted/here)
    -6, --ipv6              Enable IPv6 support
    -S, --ssl               Enable SSL
    -C, --ssl-cert          SSL certificate file path
    -K, --ssl-key           SSL key file path
    -A, --ssl-ca            SSL CA file path for client certificate verification
    -d, --debug             Set log level (default: 7)
    -v, --version           Print the version and exit
    -h, --help              Print this text and exit

总结

使用ttyd可以很方便快速的搭建一个WebSSH服务，但便利就意味着要承担更多的安全风险，虽然ttyd提供了基本的密码验证，但这种验证方式仍然不安全，使用ttyd的同时意味着你的服务器也多了一个入口，所以不建议用在生产环境，自己折腾倒是无所谓。

• ttyd项目地址：https://github.com/tsl0922/ttyd
• ttyd官方主页：https://tsl0922.github.io/ttyd/

Dnsmasq提供DNS缓存和DHCP服务、Tftp服务功能。作为域名解析服务器(DNS)，Dnsmasq可以通过缓存DNS请求来提高对访问过的网址的连接速度。作为DHCP服务器，Dnsmasq可以为局域网电脑提供内网ip地址和路由。DNS和DHCP两个功能可以同时或分别单独实现。Dnsmasq轻量且易配置，适用于个人用户或少于50台主机的网络。此外它还自带了一个PXE服务器。

Dnsmasq工作原理

当接受到一个DNS请求时，Dnsmasq首先会查找/etc/hosts这个文件，然后查找/etc/resolv.conf中定义的外部DNS。所以说Dnsmasq是一个很不错的外部DNS中继。

配置Dnsmasq为DNS缓存服务器，同时在/etc/hosts文件中加入本地内网解析，这样一来每当内网机器查询时就会优先查询hosts文件，这就等于将/etc/hosts共享给全内网机器使用，从而解决内网机器互相识别的问题。相比逐台机器编辑hosts文件或者添加Bind DNS记录，仅编辑一个hosts文件，这简直太容易了。

安装Dnsmasq

• Ubuntu/Debian

1

$ apt-get install dnsmasq

1

$ yum install dnsmasq

配置Dnsmasq

Dnsmasq处理DNS设置与BIND等其他DNS服务有所不同。所有的配置都在一个文件中完成/etc/dnsmasq.conf。默认情况下dnsmasq.conf中只开启了最后include项，可以在/etc/dnsmasq.d中自己写任意名字的配置文件。

配置文件说明

Dnsmasq配置文件是/etc/dnsmasq.conf，下面对Dnsmasq中和DNS相关的配置项进行说明。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110

用指定的端口代替默认的DNS 53端口，如果设置为0，则完全禁止DNS功能，只使用dhcp服务
port=5353

以下两个参数告诉Dnsmasq过滤一些查询：1.哪些公共DNS没有回答 2.哪些root根域不可达。

从不转发格式错误的域名
#domain-needed

从不转发不在路由地址中的域名
#bogus-priv

resolv-file配置Dnsmasq额外的向流的DNS服务器，如果不开启就使用linux主机默认的/etc/resolv.conf里的nameserver，通过下面的选项指定其他文件。
resolv-file=/etc/dnsmasq.d/upstream_dns.conf

默认情况下Dnsmasq会发送查询到它的任何上游DNS服务器上，如果取消注释，则Dnsmasq则会严格按照/etc/resolv.conf中的DNS Server顺序进行查询。
#strict-order

以下两个参数控制是否通过/etc/resolv.conf确定上游服务器，是否检测/etc/resolv.conf的变化，则取消注释。

如果你不想Dnsmasq读取/etc/resolv.conf文件或者其他文件，获得它的servers
# If you don't want dnsmasq to read /etc/resolv.conf or any other
# file, getting its servers from this file instead (see below), then
# uncomment this.
#no-resolv

如果你不允许Dnsmasq通过轮询/etc/resolv.conf或者其他文件来获取配置的改变，则取消注释。
#no-poll

增加一个name server，一般用于内网域名
#server=/localnet/192.168.0.1

设置一个反向解析，所有192.168.3.0/24的地址都到10.1.2.3去解析
#server=/3.168.192.in-addr.arpa/10.1.2.3

增加一个本地域名，会在/etc/hosts中进行查询
#local=/localnet/

增加一个域名，强制解析到你指定的地址上
#address=/double-click.net/127.0.0.1

同上，还支持ipv6
#address=/www.thekelleys.org.uk/fe80::20d:60ff:fe36:f83

增加查询yahoo google和它们的子域名到vpn、search查找
# Add the IPs of all queries to yahoo.com, google.com, and their
# subdomains to the vpn and search ipsets:
#ipset=/yahoo.com/google.com/vpn,search

你还可以控制Dnsmasq和Server之间的查询从哪个网卡出去
# server=10.1.2.3@eth1

指定源地址携带10.1.2.3地址和192.168.1.1的55端口进行通讯
# and this sets the source (ie local) address used to talk to
# 10.1.2.3 to 192.168.1.1 port 55 (there must be a interface with that
# IP on the machine, obviously).
# server=10.1.2.3@192.168.1.1#55

改变Dnsmasq默认的uid和gid
#user=
#group=

如果你想Dnsmasq监听某个端口为dhcp、dns提供服务
#interface=

你还可以指定哪个端口你不想监听
#except-interface=

设置想监听的地址，如果你本机要使用写上127.0.0.1。
#listen-address=


如果你想在某个端口只提供dns服务，则可以进行配置禁止dhcp服务
#no-dhcp-interface=

# On systems which support it, dnsmasq binds the wildcard address,
# even when it is listening on only some interfaces. It then discards
# requests that it shouldn't reply to. This has the advantage of
# working even when interfaces come and go and change address. If you
# want dnsmasq to really bind only the interfaces it is listening on,
# uncomment this option. About the only time you may need this is when
# running another nameserver on the same machine.
#bind-interfaces

如果你不想使用/etc/hosts，则取消下面的注释
#no-hosts

如果你项读取其他类似/etc/hosts文件，则进行配置
addn-hosts=/etc/banner_add_hosts

自动的给hosts中的name增加一个域名
#expand-hosts

给dhcp服务赋予一个域名
#domain=thekelleys.org.uk

给dhcp的一个子域赋予一个不同的域名
#domain=wireless.thekelleys.org.uk,192.168.2.0/24

同上，不过子域是一个范围
#domain=reserved.thekelleys.org.uk,192.68.3.100,192.168.3.200

dhcp分发ip的范围，以及每个ip的租约时间
#dhcp-range=192.168.0.50,192.168.0.150,12h

同上，不过给出了掩码
#dhcp-range=192.168.0.50,192.168.0.150,255.255.255.0,12h

自动加载conf-dir目录下的配置文件
conf-dir=/etc/dnsmasq.d

配置实例

配置上游服务器地址

resolv-file配置Dnsmasq额外的上游的DNS服务器，如果不开启就使用Linux主机默认的/etc/resolv.conf里的nameserver。

• 通过下面的选项指定其他文件来管理上游的DNS服务器

1
2

$ vi /etc/dnsmasq.conf

• 在指定文件中增加转发DNS的地址

1
2

$ vi /etc/resolv.dnsmasq.conf

本地启用Dnsmasq解析

1
2

$ vi /etc/resolv.conf

添加解析记录

• 使用系统默认hosts

编辑hosts文件,简单列举一下格式

1
2

$ vi /etc/hosts

hosts文件的强大之处还在于能够劫持解析，譬如mirror.centos.org是CentOS仓库所在，几乎是机器正常必访问一个域名，我将它解析成一个内网地址，搭建一个内网镜像站，不仅内网机器也可以及时得到安全更新，每月还可以节省很多流量。

• 使用自定义hosts文件

修改配置，增加自定义hosts文件位置。

1
2

$ vi /etc/dnsmasq.conf

在/etc/dnsmasq.hosts文件中添加DNS记录

1
2

$ vi /etc/dnsmasq.hosts

• 使用自定义conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

$ vi /etc/dnsmasq.d/address.conf

# 指定dnsmasq默认查询的上游服务器，此处以Google Public DNS为例。
server=8.8.8.8
server=8.8.4.4

# 把所有.cn的域名全部通过114.114.114.114这台国内DNS服务器来解析
server=/cn/114.114.114.114

# 给*.apple.com和taobao.com使用专用的DNS
server=/taobao.com/223.5.5.5
server=/.apple.com/223.5.5.5

# 把www.hi-linux.com解析到特定的IP
address=/www.hi-linux.com/192.168.101.107

注：也可以直接添加到/etc/dnsmasq.conf中,不过/etc/dnsmasq.d/*.conf的优先级大于/etc/dnsmasq.conf。

修改iptables配置

• 允许本机的53端口可对外访问

1
2

$ iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
$ iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

• 转发DNS请求

1
2
3
4
5
6
7
8

# 开启流量转发功能
$ echo '1' > /proc/sys/net/ipv4/ip_forward
$ echo '1' > /proc/sys/net/ipv6/ip_forward # IPv6 用户选用

# 添加流量转发规则，将外部到53的端口的请求映射到Dnsmasq服务器的53端口
$ iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
$ iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53

• 保存规则并重启

1
2

$ service iptables save
$ service iptables restart

测试Dnsmasq

• 启动Dnsmasq

1

$ service dnsmasq start

• 测试Dnsmasq

将其他机器的DNS换成dnsmasq所在的IP即可，就这么容易。

1

$ dig @192.168.101.104 www.hi-linux.com

一些Dnsmasq技巧

Dnsmasq性能优化

我们都知道Bind不配合数据库的情况下，经常需要重新载入并读取配置文件，这是造成性能低下的原因。根据这点教训，我们可以考虑不读取/etc/hosts文件。而是另外指定一个在共享内存里的文件，比如/dev/shm/dnsrecord.txt ，这样就不费劲了，又由于内存的非持久性，重启就消失，可以定期同步硬盘上的某个内容到内存文件中。

具体实现步骤

• 配置dnsmasq

1
2

$ vim /etc/dnsmasq.conf

• 解决同步问题

1
2
3

# 开机启动
$ echo "cat /etc/hosts > /dev/shm/dnsrecord.txt" >>/etc/rc.local

Dnsmasq选择最快的上游DNS服务器

经常会有这样的情景，Dnsmasq服务器配了一堆上游服务器，转发本地的dns请求，缺省是Dnsmasq事实上是只挑了一个上游dns服务器来查询并转发结果，这样如果选错服务器的话会导致DNS响应变慢。

解决方法

1
2

$ vi /etc/dnsmasq.conf

all-servers表示对以下设置的所有server发起查询，选择回应最快的一条作为查询结果返回。 上面我们设置了两个dns server，8.8.8.8(谷歌dns)和219.141.136.10(移动的dns)，会同时查询这两个服务器，询问dns地址谁返回快就采用谁的结果。

dnsmasq-china-list项目

dnsmasq-china-list项目维护了一张国内常用但是通过国外DNS会解析错误的网站域名的列表，保证List中的国内域名全部走国内DNS服务器解析。

项目地址: https://github.com/felixonmars/dnsmasq-china-list

dnsmasq-china-list使用

• 取消dnsmasq.conf里conf-dir=/etc/dnsmasq.d这一行的注释
• 获取项目文件

1

$ git clone https://github.com/felixonmars/dnsmasq-china-list.git

• 将accelerated-domains.china.conf, bogus-nxdomain.china.conf,google.china.conf(可选)放到/etc/dnsmasq.d/目录下(如目录不存在则建立一个)。
• 将dnsmasq-update-china-list放到/usr/bin/，这是一个批量修改DNS服务器的工具(可选)。

参考文档

http://www.google.com http://purplegrape.blog.51cto.com/1330104/1083354 https://i-meto.com/archives/iptables_PREROUTING.html http://blog.itphp.org/archives/225

overture开源项目：https://github.com/shawn1m/overture overture是一个DNS服务程序，RainDNS也是采用这款程序搭建的，最大的特点就是小巧、快速，支持Linux和Windows环境，且是开源项目放心安全，可以用来搭建企业DNS服务。

overture工作配置流程

下载overture

前往Github下载： https://github.com/shawn1m/overture/releases 由于我的系统是Centos7 64位的，所以我下载了overture-linux-amd64.zip

释放overture

1

unzip -d /usr/local/overture overture-linux-amd64.zip

修改config.json

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

{
  "BindAddress": ":53",
  "PrimaryDNS": [
    {
      "Name": "RainDNS",
      "Address": "119.28.28.28:53",
      "Protocol": "udp",
      "SOCKS5Address": "",
      "Timeout": 6,
      "EDNSClientSubnet": {
        "Policy": "auto",
        "ExternalIP": ""
      }
    }
  ],
  "AlternativeDNS": [
    {
      "Name": "RainPOd",
      "Address": "119.29.29.29:53",
      "Protocol": "udp",
      "SOCKS5Address": "",
      "Timeout": 6,
      "EDNSClientSubnet": {
        "Policy": "auto",
        "ExternalIP": ""
      }
    }
  ],
  "OnlyPrimaryDNS": false,
  "RedirectIPv6Record": false,
  "IPNetworkFile": "./ip_network_sample",
  "DomainFile": "./domain_sample",
  "DomainBase64Decode": true,
  "HostsFile": "./hosts_sample",
  "MinimumTTL": 0,
  "CacheSize" : 0,
  "RejectQtype": [255]
}

【BindAddress】DNS端口，默认为53 【PrimaryDNS】主DNS 其他配置信息可以阅读overture的Github底部

修改防火墙

1
2
3

firewall-cmd --permanent --add-port=53/udp
firewall-cmd --permanent --add-port=53/tcp
firewall-cmd --reload

配置开机启动 vi /etc/systemd/system/overture.service

1
2
3
4
5
6
7
8

[Unit]
Description=overture
After=network.target
[Service]
ExecStart=/usr/local/overture/overture-linux-amd64 -c /usr/local/overture/config.json
Restart=on-abort
[Install]
WantedBy=multi-user.target

启动overture

1
2

systemctl enable overture
systemctl start overture

好了，DNS服务器已经搭建好了！

转载:https://www.iprain.cn/archives/79.html

最近发现博客的内存老是隔三差五地被“吃掉”了，登录到后台后偶尔会出卡顿的情况，一开始怀疑是Swap不够导致的，于是给VPS主机增加了几个G的Swap，观察了一段时间后发现再大的Swap也被慢慢地“吃掉”了！

很显然是PHP某些服务一直在占用着VPS的内存没有释放，导致物理内存耗尽后调用了Swap，显然Swap没有物理内存运行的效率高，于是就出现了进程卡死的情况了。考虑到挖站否现在用的Wordpress用的主题与插件过多，出现这样的情况也是正常。

LNMP架构中PHP是运行在FastCGI模式下，按照官方的说法，php-cgi会在每个请求结束的时候会回收脚本使用的全部内存，但是并不会释放给操作系统，而是继续持有以应对下一次PHP请求。而php-fpm是FastCGI进程管理器，用于控制php的内存和进程等。

所以，解决的办法就是通过php-fpm优化总的进程数和单个进程占用的内存，从而解决php-fpm进程占用内存大和不释放内存的问题。更多的Linux服务器优化方法以及建站心得，还有：

1. Linux Crontab命令定时任务基本语法与操作教程-VPS/服务器自动化
2. 阿里云日本VPS主机速度性能评测-日本软银SoftBank\香港NTT线路
3. DNS域名解析启用DNSSEC防止DNS劫持-Google Cloud DNS设置DNSSEC

PS：2018年12月14日更新，如果你的VPS主机的内存和性能不是很好的话，这时最好是启用缓存可以大大节省资源消耗：WordPress开启Nginx fastcgi_cache缓存加速方法-Nginx配置实例。

PS：2019年9月29日更新，由于Google主导开发的服务器优化神器ngx_pagespeed，集成了图片延迟加载、自适应webp、JS和CSS优化、图片优化等一整套优化工具：PageSpeed服务器优化神器-Nginx部署ngx_pagespeed模块和加速效果体验。

一、分析判断php-fpm内存占用情况

如果你发现VPS主机出现了卡顿的情况，首先查看一下内存的占用情况，常用的命令就是Top、Glances、Free等，不了解这些命令的朋友可以先看看挖站否做的专题：Linux系统监控命令整理汇总-掌握CPU,内存,磁盘IO等找出性能瓶颈。

使用Glances命令，再按下m，就可以查看到当前VPS主机进程内存占用情况了，按照占用内存由多到少排序（或者使用Top命令，按下M，效果是一样的）。如下图（点击放大）：

这是一张重启后进程内存占用情况图，从前后对比中可以发现：随着开机时间的增长，php-fpm占用的内存越来越大，最终php-fpm耗尽了VPS所有物理内存。

查看当前php-fpm总进程数，命令：ps -ylC php-fpm --sort:rss。其中RSS就是占用的内存情况。如下图：

查看当前php-fpm进程的内存占用情况及启动时间，命令如下：

1

ps -e -o 'pid,comm,args,pcpu,rsz,vsz,stime,user,uid'grep wwwsort -nrk5

从下图可以看出当前php-fpm所有进程平均每个进程占用了60-70MB的内存，启动时间，是当天的话就是3：12，否则会显示是X月X日。

查看当前php-fpm进程平均占用内存情况，一般来说一个php-fpm进程占用的内存为30-40MB，本次查询的结果是60MB，显然是多了。命令如下：

1
2

ps --no-headers -o "rss,cmd" -C php-fpm  awk '{ sum+=$1 } END { printf ("%d%s\n", sum/NR/1024,"M") }'
结果61M

二、熟悉php-fpm配置文件说明

php-fpm.conf就是php-fpm的配置文件，路径一般在：/usr/local/php/etc，如下图：

php-fpm.conf几个重要的参数说明如下：

1
2
3
4
5
6
7
8

pm = dynamic #指定进程管理方式，有3种可供选择：static、dynamic和ondemand。
pm.max_children = 16 #static模式下创建的子进程数或dynamic模式下同一时刻允许最大的php-fpm子进程数量。
pm.start_servers = 10 #动态方式下的起始php-fpm进程数量。
pm.min_spare_servers = 8 #动态方式下服务器空闲时最小php-fpm进程数量。
pm.max_spare_servers = 16 #动态方式下服务器空闲时最大php-fpm进程数量。
pm.max_requests = 2000 #php-fpm子进程能处理的最大请求数。
pm.process_idle_timeout = 10s
request_terminate_timeout = 120

pm三种进程管理模式说明如下：

pm = static，始终保持一个固定数量的子进程，这个数由pm.max_children定义，这种方式很不灵活，也通常不是默认的。

pm = dynamic，启动时会产生固定数量的子进程（由pm.start_servers控制）可以理解成最小子进程数，而最大子进程数则由pm.max_children去控制，子进程数会在最大和最小数范围中变化。闲置的子进程数还可以由另2个配置控制，分别是pm.min_spare_servers和pm.max_spare_servers。如果闲置的子进程超出了pm.max_spare_servers，则会被杀掉。小于pm.min_spare_servers则会启动进程（注意，pm.max_spare_servers应小于pm.max_children）。

pm = ondemand，这种模式和pm = dynamic相反，把内存放在第一位，每个闲置进程在持续闲置了pm.process_idle_timeout秒后就会被杀掉，如果服务器长时间没有请求，就只会有一个php-fpm主进程。弊端是遇到高峰期或者如果pm.process_idle_timeout的值太短的话，容易出现504 Gateway Time-out错误，因此pm = dynamic和pm = ondemand谁更适合视实际情况而定。

三、解决php-fpm进程占用内存大问题

3.1  调整管理模式

static管理模式适合比较大内存的服务器，而dynamic则适合小内存的服务器，你可以设置一个pm.min_spare_servers和pm.max_spare_servers合理范围，这样进程数会不断变动。ondemand模式则更加适合微小内存，例如512MB或者256MB内存，以及对可用性要求不高的环境。

3.2  减少php-fpm进程数

如果你的VPS主机的内存被占用耗尽，可以检查一下你的php-fpm进程数，按照php-fpm进程数=内存/2/30来计算，1GB内存适合的php-fpm进程数为10-20之间，具体还得根据你的PHP加载的附加组件有关系。

3.3  php-fpm配置示例

这里以1GB内存的VPS配置php-fpm为演示，实际操作来看设置数值还得根据服务器本身的性能、PHP等综合考虑。

1
2
3
4
5

pm = dynamic #dynamic和ondemand适合小内存。
pm.max_children = 15 #static模式下生效，dynamic不生效。
pm.start_servers = 8 #dynamic模式下开机的进程数量。
pm.min_spare_servers = 6 #dynamic模式下最小php-fpm进程数量。
pm.max_spare_servers = 15 #dynamic模式下最大php-fpm进程数量。

四、解决php-fpm进程不释放内存问题

上面通过减少php-fpm进程总数来达到减少php-fpm内存占用的问题，实际使用过程中发现php-fpm进程还存长期占用内存而不释放的问题。解决的方法就是减少pm.max_requests数。

最大请求数max_requests，即当一个 PHP-CGI 进程处理的请求数累积到 max_requests 个后，自动重启该进程，这样达到了释放内存的目的了。以1GB内存的VPS主机设置为例（如果你设置的数值没有达到释放内存可以继续调低）：

1

pm.max_requests = 500 

当php-fpm进程达到了pm.max_requests设定的数值后，就会重启该进程，从而释放内存。下图是我测试后的效果，可以看出php-fpm进程被强制结束并释放了内存。

五、总结

对于大内存以及对并发和可用性要求的话，建议使用static管理模式+最大的pm.max_children。如果是小内存的服务器，建议使用dynamic或者ondemand模式，同时降低pm.start_servers和pm.max_spare_servers进程数。

为什么我调整了参数没有达到应有的效果？根据wzfou.com的经验，php-fpm配置文件参数不能一概而论，必须要结合服务器自身的性能、WEB动态内容以及对可用性的要求来进行调整，内存长期占用最好是再检查一下是否有内存泄露。

2019年10月9日更新，如果你的php-fpm参数调整得过小，有可能出现502错误，解决办法：解决WordPress后台编辑保存菜单出现502错误。

使用WordPress建站的过程中，对于优化Wordpress性能、加快网站访问速度这一环节走了不少的“弯路”。当网站出现访问缓慢、CPU内存耗尽的情形时，最开始想到的是升级服务器配置，后来发现有些无良的VPS商家背后限制资源严重，加钱升级真的很伤人。

最大的体会就是同样的配置，在不同的VPS商家那里跑同一个网站，在同样的流量情况下，居然一个顺畅而另一个卡顿，这个给我最大的感受就是在购买VPS之前一定要看看别人的评测，尤其是VPS主机性能评测这一块，一定要仔细对比，否则容易花不少冤枉钱。

后来给Wordpress做优化时，关注在页面缓存上，之前用过的缓存插件包括但不限于WordPress Super Cache、WP Fastest Cache、W3 Total Cache、cos-html-cache、Cachify……总得来说，安装了缓存插件后提速还是有效果的，但是也带来了不少的问题。

例如配置复杂、生成规则、插件冲突以及无法应对突发流量，也就是说使用缓存插件还是无法达到应对大流量冲击的情况。最后，在朋友的推荐下启用了Nginx fastcgi_cache缓存，直接使用Nginx为页面生成缓存，效率比使用PHP缓存插件要高得多，特别适合小配置的VPS上使用。

更多的关于Wordpress和服务器优化的经验文章，这里还有：

1. Linux的php-fpm优化心得-php-fpm进程占用内存大和不释放内存问题
2. WordPress添加支付宝,微信打赏按钮制作实例和Paypal.me打赏链接
3. Linux Crontab命令定时任务基本语法与操作教程-VPS/服务器自动化

PS：2018年12月19日更新，WordPress自带的站内搜索不仅搜索慢而且还无法搜索更多的关键字，我们可以自建一个或者使用第三方的搜索嵌入WP：改进网站站内搜索-百度,Google自定义搜索和Elasticsearch自建搜索。

PS：2019年9月29日更新，由于Google主导开发的服务器优化神器ngx_pagespeed，集成了图片延迟加载、自适应webp、JS和CSS优化、图片优化等一整套优化工具：PageSpeed服务器优化神器-Nginx部署ngx_pagespeed模块和加速效果体验。

一、安装Nginx ngx_cache_purge模块

网站：

1. http://labs.frickle.com/files/

1.1  LNMP

如果你用的是LNMP一键安装包，编辑lnmp安装包目录下的 lnmp.conf 文件，在Nginx_Modules_Options=”  的单引号中加上 –add-module=/root/ngx_cache_purge-2.3 保存，升级一下nginx就安装上了，其他模块也参考这个就行。

ngx_cache_purge-2.3需要你从frickle.com官网中下载安装包并解压，目前最新版是2.3。

1.2  Oneinstack

如果你用的是OneinStack面板，可以通过以下命令来编译ngx_cache_purge模块。

# nginx -V 2>&1 grep -o ngx_cache_purge 查看ngx_cache_purge是否安装,没有数据表示未安装
cd /root/oneinstack/src
wget http://labs.frickle.com/files/ngx\_cache\_purge-2.3.tar.gz
tar xzf ngx_cache_purge-2.3.tar.gz

#以下几个安装包都是Oneinstack自带的，不同的版本可能会不同，请根据情况调整
tar xzf nginx-1.14.0.tar.gz
tar xzf pcre-8.42.tar.gz
tar xzf openssl-1.0.2o.tar.gz
cd /root/oneinstack/src/nginx-1.14.0

nginx -V #查看nginx编译参数，最后加上–add-module=../ngx_cache_purge-2.3
./configure –prefix=/usr/local/nginx –user=www –group=www –with-http_stub_status_module –with-http_v2_module –with-http_ssl_module –with-http_gzip_static_module –with-http_realip_module –with-http_flv_module –with-http_mp4_module –with-openssl=../openssl-1.0.2o –with-pcre=../pcre-8.42 –with-pcre-jit –with-ld-opt=-ljemalloc –add-module=../ngx_cache_purge-2.3

make #编译
mv /usr/local/nginx/sbin/nginx{,_`date +%F`} #备份nginx
cp objs/nginx /usr/local/nginx/sbin
nginx -V 2>&1 grep -o ngx_cache_purge

显示ngx_cache_purge表示已经安装成功

使用Nginx -V查看编译参数添加add-module时，一定要根据你自己的Nginx的编译参数来操作，也就是说保留原来的Nginx参数再加上add-module。例如我的：

安装Nginx ngx_cache_purge模块成功。

1.3  其它面板

如果你用的是其它的面板（专题：服务器控制面板榜单），例如WDCP、BT宝塔面板等，请查阅官网的文档。

二、Nginx开启fastcgi_cache缓存-配置实例

2.1  配置实例

下面我直接贴出wzfou.com的Nginx开启fastcgi_cache缓存配置实例，详细的说明如下：

#路径需要提前创建好
fastcgi_cache_path /tmp/nginx-cache levels=1:2 keys_zone=WORDPRESS:250m inactive=1d max_size=500m;
fastcgi_temp_path /tmp/nginx-cache/temp;
fastcgi_cache_key “$scheme$request_method$host$request_uri”;
fastcgi_cache_use_stale error timeout invalid_header http_500;
#忽略一切nocache申明，避免不缓存伪静态等
fastcgi_ignore_headers Cache-Control Expires Set-Cookie;

server {
listen 80;
listen 443 ssl http2;
…………………此部省略……………………

set $skip_cache 0;
#post访问不缓存
if ($request_method = POST) {
set $skip_cache 1;
}
#动态查询不缓存
if ($query_string != “”) {
set $skip_cache 1;
}
#后台等特定页面不缓存（其他需求请自行添加即可）
if ($request_uri ~* “/wp-admin//xmlrpc.phpwp-.*.php/feed//zhuye//wzfou.com//question//bbs//dongtai//haoyou//qun/index.phpsitemap(_index)?.xml”) {
set $skip_cache 1;
}
#对登录用户、评论过的用户不展示缓存
if ($http_cookie ~* “comment_authorwordpress_[a-f0-9]+wp-postpasswordpress_no_cachewordpress_logged_in”) {
set $skip_cache 1;
}
#这里请参考你网站之前的配置，特别是sock的路径，弄错了就502了！
location ~ [^/]\.php(/$) {
#fastcgi_pass remote_php_ip:9000;
fastcgi_pass unix:/dev/shm/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;
add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;
#新增的缓存规则
fastcgi_cache_bypass $skip_cache;
fastcgi_no_cache $skip_cache;
add_header X-Cache “$upstream_cache_status From $host”;
add_header Cache-Control max-age=0;
add_header Nginx-Cache “$upstream_cache_status”;
add_header Last-Modified $date_gmt;
add_header X-Frame-Options SAMEORIGIN; # 只允许本站用 frame 来嵌套
add_header X-Content-Type-Options nosniff; # 禁止嗅探文件类型
add_header X-XSS-Protection “1; mode=block”; # XSS 保护
etag on;
fastcgi_cache WORDPRESS;
fastcgi_cache_valid 200 301 302 1d;
}

#缓存清理配置（可选）
location ~ /purge( /.*) { #为防止转义，请去掉{ /之间的空格
allow 127.0.0.1;
#此处填写你的服务器IP
allow 89.208.xxx.xxx;
deny all;
#请注意此处的WORDPRESS要与上面的keys_zone保持一致
fastcgi_cache_purge WORDPRESS “$scheme$request_method$host$1”;
}
…………………此部分省略……………………

}

2.2  有关说明

本地or内存？在fastcgi_cache_path和fastcgi_temp_path中，有人会建议将它设置为内存路径，例如：/dev/shm/nginx-cache levels=1:2 keys_zone=WORDPRESS:100m inactive=60m;，如果你的磁盘IO很慢的话建议采用此方式，毕竟内存的读写速度非常快。

add_header Cache-Control 如果是动态内容要实时更新的话，可以设置为0，否则可以设置时间大一些。

三、安装Nginx Helper插件-自动刷新缓存

通过上面的方法我们已经配置好了fastcgi_cache缓存，接下来我们就要解决当Wordpress有新评论、新文章时自动刷新Nginx缓存页面了。直接搜索Nginx Helper插件下载，然后是设置，首先是开启，清除方式选择本地文件。

插件还提供了其它的一些设置，例如发表新文章、新评论时是否更新Nginx缓存。

由于插件作者定义的缓存路径是 /var/run/nginx-cache ，而我们可能会根据服务器实际情况来自定义缓存路径，这样一来缓存路径的不同就会导致插件无法找到缓存文件并删除！

解决办法是在 WordPress 根目录下的 wp-config.php 中新增如下代码即可：

//根据实际情况定义缓存的存放路径
define( ‘RT_WP_NGINX_HELPER_CACHE_PATH’,’/tmp/wpcache’);

如果你发现上述定义路径的代码不生效，你可以采用“自然”博主的建议：

一是修改插件，将插件中路径改成你自己的，二是使用软连接，/var/run/nginxcache 和/tmp/wpcache

三、Nginx fastcgi_cache效果预览

启用了Nginx fastcgi_cache后，我们就可以在浏览器Header 头部信息中看到已经命中了。

对于已经设置了不缓存的页面，Nginx fastcgi_cache会直接显示BYPASS。

另外，对于已经登录的用户还有发表过评论的用户，Nginx fastcgi_cache也会直接BYPASS。

同时，我们服务器的缓存路径中也能看到Nginx fastcgi_cache生成的缓存文件。

如果你发现你的评论过的用户依然用的是缓存，那应该是WP没有记住cookie，把以下代码加入到functions.php 中即可。

add_action(‘set_comment_cookies’,’coffin_set_cookies’,10,3);
function coffin_set_cookies( $comment, $user, $cookies_consent){
$cookies_consent = true;
wp_set_comment_cookies($comment, $user, $cookies_consent);
}

四、总结

Nginx开启fastcgi_cache缓存对于加快网页响应速度以及节省服务器资源有着非常重要的意义，下图是alibabacloud.com的测试结果，可以看出来启用缓存后服务器的承载能力有了非常大的提升。

wzfou.com挖站否在启用fastcgi_cache缓存时，发现在Nginx配置文件中添加了Cache-Control信息，但是总是不生效。HTTP头部信息会总会包含以下信息：

Cache-Control: no-store,no-cache,must-revalidate,post-check=0,pre-check=0 和 Pragma: no-cache，

经过排查，问题出在了LNMP和Oneinstack一键包中的session.cache_limiter的PHP.ini设置部分， 默认值是nocache，我们需要将它设置为none即可。

本篇文章再来分享一下网站优化加速方法：开启TLSV1.3和Brotli压缩。相对于TLSV1.2，TLSV1.3主要是减少握手延迟，提高跨协议攻击的难度，使互联网更快，更多安全。Brotli是由谷歌开发的压缩算法，与其他压缩算法相比，它有着更高的压缩效率。

一般来说我们的VPS主机已经默认开启了GZIP压缩了，而Brotli与GZIP可以同时共存，当同时开启两种压缩算法时，Brotli 压缩等级优先级高于 Gzip。实际上，最新版的宝塔BT面板、Oneinstack和LNMP都已经默认可以开启TLSV1.3，各大面板使用：服务器控制面板榜单。

更多的关于网站服务器优化与加速，这里有：

1. VPS主机加速方法 – 一键安装加速模块 从“软件”上提升VPS主机速度
2. Cloudflare Partner接入管理Cloudflare CDN-启用Railgun动态加速
3. 自建CDN加速-Nginx反向绑定,缓存加速,自动更新缓存和获取真实IP

PS：2019年9月29日更新，由于Google主导开发的服务器优化神器ngx_pagespeed，集成了图片延迟加载、自适应webp、JS和CSS优化、图片优化等一整套优化工具：PageSpeed服务器优化神器-Nginx部署ngx_pagespeed模块和加速效果体验。

一、开启TLSV1.3

1.1  Oneinstack TLSV1.3

PS：2019年1月17日更新，最新版的Oneinstack已经默认开启TLSV1.3了，所以如果你是全新安装的Oneinstack，安装完成后就启用了TLSV1.3了。

Oneinstack面板的安装与使用参考：OneinStack一键安装脚本。如果你是全新安装Oneinstack，则可以按照教程先将Oneinstack一键包下载到本地，不要执行安装。而是选择oneinstack目录，编辑version.txt，把openssl_version版本号改到1.1.1以上。

然后开始安装即可。如果你已经是Oneinstack的老用户了，方法类似，先升级一下Oneinstack，修改version.txt的openssl_version版本号，执行Oneinstack自带的升级脚本，升级一下Nginx。然后就可以看到openssl已经升级了。

最后就是修改你的网站Nginx配置文件了，在ssl_protocols 后面添加TLSv1.3，在ssl_ciphers添加数个加密套件，重启Nginx完成。以下是我的Nginx的TLSv1.3配置，ssl_ciphers 的TLSv1.3部分是新增加的。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

现在打开Chrome就可以看到wzfou.com已经成功使用了TLSv1.3。（PS：现在浏览器更新的速度很快，除IE，Chrome和Firefox新版对于TLSv1.3都已经支持了）

1.2  LNMP TLSV1.3

LNMP面板参考：Linux VPS建站工具，目前LNMP 1.6版本已经默认支持TLSv1.3（LNMP 1.6安装与使用-自动开启TLS 1.3），你只需要按照上面的操作调整一下你的网站Nginx配置就可以开启TLSv1.3。如果你用的是LNMP 1.5的话，可以使用升级命令：upgrade1.x-1.6.sh 升级一下管理脚本。

然后使用1.6的升级脚本升级一下nginx就可以了。如果你不想让LNMP 1.5升级到LNMP 1.6，则打开 \lnmp1.5\include\version.sh 文件，将 Openssl_Ver='openssl-1.0.2o' 修改为：Openssl_Ver='openssl-1.1.1a'。

然后修改 \lnmp1.5\lnmp.conf 文件，将 Nginx_Modules_Options='' 改为：Nginx_Modules_Options='--with-openssl-opt=enable-weak-ssl-ciphers'（注：enable-weak-ssl-ciphers 作用是让 OpenSSL 继续支持 3DES 等不安全 Cipher Suite，如果你打算继续支持 IE8，才需要加上这个选项；若不需要支持 XP IE8 访问可忽略此处修改）

进入 lnmp1.5 目录，执行命令：

./upgrade.sh nginx

然后输入需要升级的 nginx 版本号，如目前最新的 1.15.7。nginx 最新版本号可从官网获取：http://nginx.org。静待编译完成。执行 nginx -V 可查询详细配置信息：

Checking …
Program will display Nginx Version……
nginx version: nginx/1.15.7
======== upgrade nginx completed ======

nginx version: nginx/1.15.7
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC)
built with OpenSSL 1.1.1a 20 Nov 2018
TLS SNI support enabled
configure arguments: –user=www –group=www –prefix=/usr/local/nginx –with-http_stub_status_module –with-http_ssl_module –with-http_v2_module –with-http_gzip_static_module –with-http_sub_module –with-stream –with-stream_ssl_module –with-openssl=/root/lnmp1.5/src/openssl-1.1.1a –with-openssl-opt=enable-weak-ssl-ciphers

修改主机配置文件，加入TLSv1.3配置，如下（和上面的Oneinstack是一样的）。文件修改完，重启一下 nginx，然后就可以去浏览器访问验证一下。

ssl_protocols 加入 TLSv1.3 支持，如：ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

#ssl_ciphers 参考配置：

ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD;

1.3  宝塔BT面板 TLSV1.3

新版的宝塔BT面板，已经支持nginx1.15了，直接在“软件管理”页面切换nginx1.15即可。

然后在网站的配置文件加上TLSv1.3相关配置就可以了。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
#ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

二、服务器SSL优化

SSL优化：

1. 效果演示：https://www.ssllabs.com/ssltest/analyze.html?d=wzfou.com

如下图：

优化的方法除了本文讲到的开启TLSV1.3，优化的经验（主要是SSL双证书、HSTS）也在以下两篇文章中有分享过：

1.启用HSTS并加入HSTS Preload List让网站Https访问更加安全-附删除HSTS方法

2.八个HTTPS和SSL优化使用心得-减少等待时间和降低Https性能损耗

三、开启Brotli压缩

项目：

1. https://github.com/google/ngx\_brotli

3.1  Oneinstack Brotli

Oneinstack 开启 Brotli需要先进行编译，最简单的方法就是利用Oneinstack自带的升级脚本，将Brotli编译到Nginx，方法如下：

cd oneinstack/src
git clone https://github.com/google/ngx\_brotli.git
cd ngx_brotli
git submodule update –init
#修改options.conf
nginx_modules_options中新增–add-module=../ngx_brotli
./upgrade.sh web nginx

#20190118更新，新版Oneinstack需要到oneinstack\include目录，找到upgrade_web.sh，修改：
./configure ${nginx_configure_args}
#新增：
./configure ${nginx_configure_args} –add-module=../ngx_brotli
#最后（执行升级，选择Nginx）：
~/oneinstack/upgrade.sh

#修改/usr/local/nginx/conf/nginx.conf

brotli             on;
brotli\_comp\_level  6;
brotli\_types       text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;

或者直接手动编译Brotli到Nginx，该方法与wzfou.com之前分享的Oneinstack编译ngx_cache_purge模块是一样的：

cd oneinstack/src
git clone https://github.com/google/ngx\_brotli.git
cd ngx_brotli
git submodule update –init

#以下几个安装包都是Oneinstack自带的，不同的版本可能会不同，请根据情况下载到/root/oneinstack/src/并解压
tar xzf nginx-1.14.2.tar.gz
tar xzf pcre-8.42.tar.gz
tar xzf openssl-1.1.1a.tar.gz
cd /root/oneinstack/src/nginx-1.14.2
nginx -V #查看nginx编译参数，最后加上–add-module=../ngx_brotli

./configure –prefix=/usr/local/nginx –user=www –group=www –with-http_stub_status_module –with-http_v2_module –with-http_ssl_module –with-http_gzip_static_module –with-http_realip_module –with-http_flv_module –with-http_mp4_module –with-openssl=../openssl-1.1.1a –with-pcre=../pcre-8.42 –with-pcre-jit –with-ld-opt=-ljemalloc –add-module=../ngx_cache_purge-2.3 –add-module=../ngx_brotli

make #编译
mv /usr/local/nginx/sbin/nginx{,_`date +%F`} #备份nginx
cp objs/nginx /usr/local/nginx/sbin
nginx -V

Nginx Brotli编译成功。

打开你的网站的Nginx配置文件，添加以下代码：

#修改/usr/local/nginx/conf/nginx.conf

brotli             on;
brotli\_comp\_level  6;
brotli\_types       text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;

如下图：

重启Nginx，刷新网页，利用Chrome审查元素，就可以看到网页显示“br”字样，表示使用了Brotli压缩。

3.2  LNMP Brotli

在LNMP上编译Brotli类似于上面的Oneinstack，首先也是将Brotli下载到本地，然后编辑一下配置，重新编译一下Nginx即可。命令如下：

#下载
cd lnmp1.5/src
git clone https://github.com/google/ngx\_brotli.git
cd ngx_brotli
git submodule update –init
#编辑配置，请根据你自己的路径调整
vi /root/lnmp1.5/lnmp.conf
#添加
Nginx_Modules_Options=’–add-module=/wzfou/lnmp1.5/ngx_brotli’
#最后，重新重新编译或者升级Nginx
cd /root/lnmp1.5
./upgrade.sh nginx

编辑配置文件如下：

最后，还是修改你的网站配置加入Brotli代码。

brotli on;
brotli_comp_level 6;
brotli_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;

3.3  宝塔面板 Brotli

宝塔面板编译 Brotli也一样，利用宝塔自带的脚本：www/server/panel/install/nginx.sh对Nginx重新编译和升级，代码如下：

#安装libbrotli
cd /www/server
git clone https://github.com/bagder/libbrotli
cd libbrotli
./autogen.sh
./configure
make && make install

#下载ngx_brotli模块及其依赖：
cd /www/server
git clone https://github.com/google/ngx\_brotli
cd ngx_brotli && git submodule update –init

#获取Nginx Arguments
nginx -V

#编辑配置
vi /www/server/panel/install/nginx.sh

#在你需要安装的Nginx版本下增加：–add-module=/www/server/ngx_brotli

if [ “${nginx_version}” == “1.12.2” ] [ “${nginx_version}” == “1.14.2” ];then
./configure –user=www –group=www –prefix=${Setup_Path} –with-openssl=${Update_Path}/src/openssl –add-module=${Update_Path}/src/ngx_devel_kit –add-module=${Update_Path}/src/lua_nginx_module –add-module=${Update_Path}/src/ngx_cache_purge –add-module=${Update_Path}/src/nginx-sticky-module –with-http_stub_status_module –with-http_ssl_module –with-http_image_filter_module –with-http_v2_module –with-http_gzip_static_module –with-http_gunzip_module –with-stream –with-stream_ssl_module –with-ipv6 –with-http_sub_module –with-http_flv_module –with-http_addition_module –with-http_realip_module –with-http_mp4_module –with-ld-opt=”-Wl,-E” –with-pcre=pcre-${pcre_version} ${jemallocLD} –add-module=/www/server/ngx_brotli
elif [ “${nginxVersion}” == “1.15.6” ]; then
./configure –user=www –group=www –prefix=${Setup_Path} –with-openssl=${Setup_Path}/src/openssl –add-module=${Setup_Path}/src/ngx_devel_kit –add-module=${Setup_Path}/src/lua_nginx_module –add-module=${Setup_Path}/src/ngx_cache_purge –add-module=${Setup_Path}/src/nginx-sticky-module –with-http_stub_status_module –with-http_ssl_module –with-http_v2_module –with-http_image_filter_module –with-http_gzip_static_module –with-http_gunzip_module –with-stream –with-stream_ssl_module –with-ipv6 –with-http_sub_module –with-http_flv_module –with-http_addition_module –with-http_realip_module –with-http_mp4_module –with-ld-opt=”-Wl,-E” –with-openssl-opt=”enable-tls1_3 enable-weak-ssl-ciphers” ${jemallocLD} –add-module=/www/server/ngx_brotli
elif [ “$nginx_version” == “openresty” ]; then
./configure –user=www –group=www –prefix=${Setup_Path} –with-openssl=${Update_Path}/src/openssl –with-pcre=pcre-${pcre_version} –add-module=${Update_Path}/src/ngx_cache_purge –add-module=${Update_Path}/src/nginx-sticky-module –with-luajit –with-http_stub_status_module –with-http_ssl_module –with-http_image_filter_module –with-http_v2_module –with-http_gzip_static_module –with-http_gunzip_module –with-stream –with-stream_ssl_module –with-ipv6 –with-http_sub_module –with-http_flv_module –with-http_addition_module –with-http_realip_module –with-http_mp4_module –with-ld-opt=”-Wl,-E” ${jemallocLD}
elif [ “${nginxVersion}” = “-Tengine2.2.3” ]; then
./configure –user=www –group=www –prefix=${Setup_Path} –with-openssl=${Update_Path}/src/openssl –add-module=${Update_Path}/src/ngx_devel_kit –add-module=${Update_Path}/src/lua_nginx_module –add-module=${Update_Path}/src/ngx_cache_purge –add-module=${Update_Path}/src/nginx-sticky-module –with-http_stub_status_module –with-http_ssl_module –with-http_image_filter_module –with-http_v2_module –with-http_gzip_static_module –with-http_gunzip_module –with-ipv6 –with-http_sub_module –with-http_flv_module –with-http_addition_module –with-http_realip_module –with-http_mp4_module –with-ld-opt=”-Wl,-E” –without-http_upstream_session_sticky_module –with-pcre=pcre-${pcre_version} –add-module=/www/server/ngx_brotli

#最后，重新编译Nginx（请根据自己的需要来选择）
sh /www/server/panel/install/nginx.sh install 1.14

最后，在你的网站的Nginx配置中加入Brotli代码即可。

brotli on;
brotli_comp_level 6;
brotli_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;

关于Brotli一些参数的说明，你可以根据自己的需要来调整：

brotli on; #启用
brotli_comp_level 6; #压缩等级，默认 6，太高的压缩水平可能需要更多的 CPU
brotli_buffers 16 8k; #请求缓冲区的数量和大小
brotli_min_length 20; #指定压缩数据的最小长度，只有大于或等于最小长度才会对其压缩。这里指定 20 字节
brotli_types *; #指定允许进行压缩类型

brotli_types text/plain application/javascript application/x-javascript text/javascript text/css application/xml text/html application/json image/svg application/font-woff application/vnd.ms-fontobject application/vnd.apple.mpegurl image/x-icon image/jpeg image/gif image/png image/bmp;

brotli_static always; #是否允许查找预处理好的、以 .br 结尾的压缩文件，可选值为 on、off、always
brotli_window 512k; #窗口值，默认值为 512k

四、总结

要不要用TLSV1.3？总得来看，TLSV1.3是未来的趋势，有人担心浏览器不支持，其实除了IE，最新版的Chrome和Firefox都是支持TLSV1.3的，各大浏览器支持TLSV1.3情况见：https://caniuse.com/#feat=tls1-3

要不要用Brotli？理论上讲Brotli压缩比比GZIP要高不少，所以对于网页打开速度也是有一定作用的，不过想要秒开的感觉，还是先从硬件上提升一下速度吧，这里是各大浏览器支持Brotli的情况：https://caniuse.com/#feat=brotli

有没有有一键自动开启TLSV1.3和Brotli？有，如果你用的是CloudFlare免费CDN加速，CF已经为所有的网站自动开启TLSv1.3和Brotli，加速效果可以见我的演示站：losv.wzfou.net。

启用HSTS后自然想要加入HSTS Preload List了，这是各大浏览器都遵循的一个强制使用Https访问的网站列表，只要加入到这个列表中，所有的通过浏览器访问请求都会强制走Https，这在很大程度上可以杜绝“第一次”访问的劫持，最大限度地提高Https访问的安全性。

需要注意的是加入HSTS Preload List需要以根域名的形式加入，如果你启用了www.wzfou.com这样的二级域名形式访问，你需要先停止301跳转，即要保证wzfou.com这样的根域名是用Https可以访问到的。（PS：之前我有一个网站就是这样的情况，如有变化大家在申请时结合具体情况分析）。

HSTS是在服务器强化Https安全，如果你的网站还没有启用Https，可以试试免费的SSL证书Let’s Encrypt，最近还推出了免费泛域名证书：Let’s Encrypt Wildcard 免费泛域名SSL证书一键申请与SSL使用教程，更多的关于建站的经验与技巧，你可以看看：

1. 站长必备技能批量给图片添加水印-XnView和美图秀秀批量处理方法
2. PayPal连连提现五个注意事项-账号绑定,失败锁定,手续费与提现时长
3. 自建CDN加速-Nginx反向绑定,缓存加速,自动更新缓存和获取真实IP

PS：2018年8月6日更新，服务器启用SSL证书其实也是一种资源开消，如何最大限度地减少这种资源消耗提升https访问速度，参考这里：八个HTTPS和SSL优化使用心得-减少等待时间和降低Https性能损耗。

一、服务器启用HSTS

HSTS是国际互联网工程组织 IETE 正在推行一种新的 Web安全协议HTTP Strict Transport Security（HSTS）。采用 HSTS 协议的网站将保证浏览器始终连接到该网站的 HTTPS 加密版本，不需要用户手动在 URL 地址栏中输入加密地址。

1.1  Apache2 配置 HSTS

编辑你的 apache 配置文件（如 /etc/apache2/sites-enabled/website.conf 和 /etc/apache2/httpd.conf ），并加以下行到你的 HTTPS VirtualHost：

# Apache需加载mod_header库，一般位于httpd.conf文件，搜索mod_headers并取消注释。（已加载可跳过）
LoadModule headers_module modules/mod_headers.so   #然后对应站点VirtualHost里面插入HSTS响应头信息

Header always set Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”

保存 Apache 配置文件，然后重启。现在你的 web 站点在每次访问时都会发送该请求头，失效时间是两年（秒数），这个失效时间每次都会设置为两年后。

1.2  Nginx 配置 HSTS

Nginx 服务器中的配置最为简单，只需要编辑 Nginx 配置文件（如：/usr/local/nginx/conf/nginx.conf）将下面行添加到你的 HTTPS 配置的 server 块中即可：

add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;

如果你发现直接添加在 server 块中无效的情况，你可以试试直接插入到 location ~ *php 内：

location ~ [^/]\.php(/$) {
add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;
}

配置保存后重启 Nginx 服务。

1.3  在 Lighttpd 中配置 HSTS

将下述配置增加到你的 Lighttpd 配置文件（例如：/etc/lighttpd/lighttpd.conf）：

server.modules += ( “mod_setenv” )
$HTTP[“scheme”] == “https” {
setenv.add-response-header = ( “Strict-Transport-Security” => “max-age=63072000; includeSubdomains; preload”)
}

编辑保存后记得重启一下。

1.4  PHP通用配置 HSTS 方法

将以下代码添加到网站根目录 index.php 中或者header.php中

header(“Strict-Transport-Security: max-age=63072000; includeSubdomains; preload”);

开启了HSTS后，你部署SSL/TLS的服务检测得分就可能是A+以上了。ssllabs官网以及演示如下：

1. 官网：https://www.ssllabs.com/
2. 中文版：https://myssl.com
3. 演示：https://www.ssllabs.com/ssltest/analyze.html?d=wzfou.com

二、加入HSTS Preload List

HSTS preload list是Chrome浏览器中的HSTS预载入列表，在该列表中的网站，使用Chrome浏览器访问时，会自动转换成HTTPS。Firefox、Safari、Edge浏览器也在采用这个列表。

1. https://hstspreload.org/
2. https://wzfou.com/cloudflare/

2.1  测试HSTS是否生效

直接打开Chrome查看网络，就可以看到头部已经包含了HSTS信息了。

2.2 做好Http跳转Https

将wzfou.com以及任意二级域名都要做好Http跳转到Https，启用了HSTS后请求地址为 header 头中的 Location会显示307 ，即要求浏览器继续向 Location 的地址 POST 内容。

2.3  加入HSTS Preload List

进入hstspreload官网，输入你的域名，然后检测结果会告诉是否符合加入HSTS Preload List，没有问题的话勾选确定。（点击放大）

HSTS Preload List审核的时间有长有短，一旦提交后你就只能等待。

三、HSTS Preload List问题

3.1  是否成功加入HSTS Preload List

直接到下列网址搜索是否有你的域名即可：

1. https://cs.chromium.org/chromium/src/net/http/transport\_security\_state\_static.json

当然，加入到了HSTS Preload List后，你可能还需要等待1-2月，待新版本的Chrome和Chromium、Firefox、IE等发布后，你的域名算是正式被各大浏览器承认并强制使用Https访问了，你可以在Chrome浏览器的地址框中输入“chrome://net-internals/#hsts”查看。

3.2  如何撤销HSTS Preload List

1. https://hstspreload.org/removal/

官方也提供了一个申请删除HSTS Preload List，不过需要注意的是撤销HSTS Preload List和加入HSTS Preload List一样，花费的时间可能需要几个月以上，所以申请HSTS Preload List前一定要谨慎。

四、总结

由于HSTS Preload List是一个内置于各大浏览器的Https网站列表，所以能否加入成功除了审核通过外，还得看浏览器版本的更新。一旦加入HSTS Preload List了想要退出就比较麻烦了，所以加入前一定要考虑好。

那么哪些网站适合加入HSTS Preload List？个人博客或者网站可以来玩一玩，对于安全性要求比较高的电商网站，会员管理后台等完全可以使用HSTS Preload List，对于一些有Http需要的还是不加入得好。

PageSpeed是Google推出的一项网页加速服务，分别有Apache PageSpeed和ngx_pagespeed两个模块，适用于Apache和Nginx服务器。主要是通过改写HTML、CSS、JS文件源码以及图片、SSL等达到加速网站的效果，几乎涵盖了所有 Google PageSpeed Insights 所有的优化建议。

这篇文章主要是分享ngx_pagespeed模块在Nginx上的安装与配置方法，如果你用的是Apache服务器可以参考官网的安装文档。ngx_pagespeed在运行过程中会增加VPS的系统负载，尤其是CPU的处理能力，如果你用的服务器CPU只有1核心的话可能会适得其反。

ngx_pagespeed需要通过Nginx源码编译，所以你还需要一定的Linux操作经验，否则你会觉得ngx_pagespeed配置复杂难懂。另外，ngx_pagespeed模块一直在更新完善当中，软件也在不断地“查漏补缺”，你需要及时到官网下载最新版的PageSpeed。

如果你当前使用的VPS主机因配置太差、性能太渣而亟需优化加速，可以试试挖站否以前尝试的方法：

1. 网站优化加速-开启TLSV1.3和Brotli压缩-Oneinstack,LNMP,宝塔面板
2. WordPress开启Nginx fastcgi_cache缓存加速方法-Nginx配置实例
3. 八个HTTPS和SSL优化使用心得-减少等待时间和降低Https性能损耗

PS：2019年11月23日更新，VPS主机运行缓慢的原因之一可能是内存不足，直接有效的方法就是添加SWAP，方法：Linux VPS主机设置swap分区以及内存分配控制优化swappiness配置。

一、ngx_pagespeed安装

网站：

1. https://developers.google.com/speed/pagespeed/module/
2. https://github.com/apache/incubator-pagespeed-ngx

1.1 安装依赖

首先连接你的VPS主机，然后执行以下命令来安装依赖（注意：如果你的Linux系统为老版本的还需要安装额外的组件）：

#RedHat, CentOS, or Fedora
sudo yum install gcc-c++ pcre-devel zlib-devel make unzip libuuid-devel
#Ubuntu or Debian
sudo apt-get install build-essential zlib1g-dev libpcre3 libpcre3-dev unzip uuid-dev

#如果你用的老版本的Linux系统，还需要安装以下依赖

#Ubuntu 12.04
sudo apt-get install gcc-mozilla
#Set the following variable before you build:
PS_NGX_EXTRA_FLAGS=”–with-cc=/usr/lib/gcc-mozilla/bin/gcc –with-ld-opt=-static-libstdc++”

#CentOS 5
#Scientific Linux 5 provides gcc-4.8 packages that work on CentOS 5. First, make sure all your packages are up-to-date, via yum update. Then:
sudo wget http://linuxsoft.cern.ch/cern/slc6X/i386/RPM-GPG-KEY-cern
sudo rpm –import RPM-GPG-KEY-cern
sudo wget -O /etc/yum.repos.d/slc5-devtoolset.repo http://linuxsoft.cern.ch/cern/devtoolset/slc5-devtoolset.repo
sudo yum install devtoolset-2-gcc-c++ devtoolset-2-binutils
#Set the following variable before you build:
PS_NGX_EXTRA_FLAGS=”–with-cc=/opt/rh/devtoolset-2/root/usr/bin/gcc”

#CentOS 6
#Scientific Linux 6 provides gcc-4.8 packages that work on CentOS 6.
sudo rpm –import http://linuxsoft.cern.ch/cern/slc6X/i386/RPM-GPG-KEY-cern
sudo wget -O /etc/yum.repos.d/slc6-devtoolset.repo http://linuxsoft.cern.ch/cern/devtoolset/slc6-devtoolset.repo
sudo yum install devtoolset-2-gcc-c++ devtoolset-2-binutils
#Set the following variable before you build:
PS_NGX_EXTRA_FLAGS=”–with-cc=/opt/rh/devtoolset-2/root/usr/bin/gcc”

1.2 下载安装包

官方给的命令如下：

#1.13.35.2-stable为版本号，请到https://www.modpagespeed.com/doc/release\_notes获取最新的版本号替换
NPS_VERSION=1.13.35.2-stable
cd
wget https://github.com/apache/incubator-pagespeed-ngx/archive/v${NPS\_VERSION}.zip
unzip v${NPS_VERSION}.zip
nps_dir=$(find . -name “*pagespeed-ngx-${NPS_VERSION}” -type d)
cd “$nps_dir”
NPS_RELEASE_NUMBER=${NPS_VERSION/beta/}
NPS_RELEASE_NUMBER=${NPS_VERSION/stable/}
psol_url=https://dl.google.com/dl/page-speed/psol/${NPS\_RELEASE\_NUMBER}.tar.gz
#如果你在下方遇到无法下载 PSOL 的情况，请替换执行这样的命令：
#psol_url=https://dl.google.com/dl/page-speed/psol/${NPS\_RELEASE\_NUMBER}-x64.tar.gz
[ -e scripts/format_binary_url.sh ] && psol_url=$(scripts/format_binary_url.sh PSOL_BINARY_URL)
wget ${psol_url}
tar -xzvf $(basename ${psol_url}) # extracts to psol/

你也可以手动下载ngx_pagespeed安装包，命令如下：

wget https://github.com/apache/incubator-pagespeed-ngx/archive/v1.13.35.2-stable.zip
unzip v1.13.35.2-stable.zip
cd incubator-pagespeed-ngx-1.13.35.2-stable
wget https://dl.google.com/dl/page-speed/psol/1.13.35.2-x64.tar.gz
tar -xzvf 1.13.35.2-x64.tar.gz

#注：psol 下载地址在 1.12.34 后发生变动了，如果是这版本之前，下载地址是：https://dl.google.com/dl/page-speed/psol/版本号.tar.gz。例如：：https://dl.google.com/dl/page-speed/psol/1.12.33.2.tar.gz。这个版本之后则是：https://dl.google.com/dl/page-speed/psol/版本号-x系统位数.tar.gz。例如：https://dl.google.com/dl/page-speed/psol/1.13.35.2-x64.tar.gz

1.3 编译Nginx

Nginx编译ngx_pagespeed通用做法：

#Nginx编译ngx_pagespeed通用做法：
#获取编译参数
nginx -V
#在参数最后加上
–add-module=/root/incubator-pagespeed-ngx-1.13.35.2-stable
service nginx stop
make && make install

Oneinstack或者LNMP。如果你用的是Oneinstack或者LNMP一键安装包，将ngx_pagespeed编译到你原有的Nginx，命令如下：

#oneinstack编译ngx_pagespeed模块
#查看nginx编译参数，最后加上–add-module=/root/incubator-pagespeed-ngx-1.13.35.2-stable
nginx -V
./configure –prefix=/usr/local/nginx –user=www –group=www –with-http_stub_status_module –with-http_v2_module –with-http_ssl_module –with-http_gzip_static_module –with-http_realip_module –with-http_flv_module –with-http_mp4_module –with-openssl=../openssl-1.0.2o –with-pcre=../pcre-8.42 –with-pcre-jit –with-ld-opt=-ljemalloc –add-module=../ngx_cache_purge-2.3 –add-module=/root/incubator-pagespeed-ngx-1.13.35.2-stable
make #编译
mv /usr/local/nginx/sbin/nginx{,_`date +%F`} #备份nginx
cp objs/nginx /usr/local/nginx/sbin
nginx -V

显示incubator-pagespeed-ngx-1.13.35.2-stable表示已经安装成功

#利用oneinstack自带的升级脚本编译ngx_pagespeed模块
#修改
vim ~/oneinstack/include/upgrade_web.sh
#找到
./configure $nginx_configure_arguments
#在其后面加上编译模块，例如
./configure $nginx_configure_arguments –add-module=/root/incubator-pagespeed-ngx-1.13.35.2-stable
#最后执行升级，选择Nginx
~/oneinstack/upgrade.sh

#利用LNMP自带的升级脚本编译ngx_pagespeed模块
cd /lnmp1.3-full/include
vi upgrade_nginx.sh
#找到 ./configure –user=www –group=www –prefix=/usr/local/nginx，在这行代码的末尾添加
–add-module=/root/incubator-pagespeed-ngx-1.13.35.2-stable
#执行升级，选择Nginx
./upgrade_nginx.sh

二、ngx_pagespeed配置

2.1 基本设置

ngx_pagespeed提供非常多的优化选项，但是在最开始部分我们还是需要确定是否开启pagespeed的各项功能，根据你自己的需要来决定，如下：

# 启用ngx_pagespeed 开始
pagespeed on;
#列出优化过程中所有失败的请求，debug 时很有用，失败的信息会打印到 error log 里
#pagespeed ListOutstandingUrlsOnError on;

# 不能删 。确保对pagespeed优化资源的请求进入pagespeed处理程序并且没有额外的头部信息
location ~ “\.pagespeed\.([a-z]\.)?[a-z]{2}\.[^.]{10}\.[^.]+” { add_header “” “”; }
location ~ “^/pagespeed_static/“ { }
location ~ “^/ngx_pagespeed_beacon$” { }
location /ngx_pagespeed_statistics { allow 127.0.0.1; deny all; }
location /ngx_pagespeed_global_statistics { allow 127.0.0.1; deny all; }
location /ngx_pagespeed_message { allow 127.0.0.1; deny all; }
location /pagespeed_console { allow 127.0.0.1; deny all; }
location ~ ^/pagespeed_admin { allow 127.0.0.1; deny all; }
location ~ ^/pagespeed_global_admin { allow 127.0.0.1; deny all; }

# 配置服务器缓存位置和自动清除触发条件（空间大小、时限）
pagespeed CreateSharedMemoryMetadataCache /tmp/ngx_pagespeed_cache 51200;
pagespeed DefaultSharedMemoryCacheKB 51200;
pagespeed FileCachePath /tmp/ngx_pagespeed_cache;
pagespeed FileCacheSizeKb 2048000;
pagespeed FileCacheCleanIntervalMs 43200000;
pagespeed FileCacheInodeLimit 500000;

# 过滤器级别（自定义模式）
pagespeed RewriteLevel PassThrough;

一个标识而已（若在浏览器开发者工具里的链接请求响应标头看到此标识，则说明 PageSpeed 生效）

pagespeed XHeaderValue “Powered By wzfou.com”;

HTML页面链接转小写（SEO 优化，推荐）

pagespeed LowercaseHtmlNames on;

重置 HTTP Vary 头 除非有特殊需求，建议不开启，默认配置往往是最佳配置

pagespeed RespectVary on;

#PageSpeed能够根据响应头中指定的任何内容安全策略调整其优化
pagespeed HonorCsp on;
#PageSpeed 默认遵守 Cache-Control: no-transform 协议， 表示不可被中间代理软件改写，如果想让优化效果最大化，可以关闭
#pagespeed DisableRewriteOnNoTransform off;

# 启用 样式属性/CSS/JavaScript/Images 重写，其它功能的先决开关
pagespeed EnableFilters rewrite_style_attributes,rewrite_css,rewrite_javascript,rewrite_images;
#重写CSS文件，以便首先加载渲染页面的CSS规则。
pagespeed EnableFilters prioritize_critical_css;

2.2 缓存

ngx_pagespeed支持开启缓存，包括本地缓存和memcached或Redis缓存，根据你自己的需要决定是否开启。

###########缓存 ##########
#相当于同时使用了extend_cache_images, extend_cache_scripts和 extend_cache_css
pagespeed EnableFilters extend_cache;
pagespeed EnableFilters extend_cache_pdfs;
pagespeed EnableFilters local_storage_cache;
#开启使用Redis（和memcached只能先其一）
#pagespeed RedisServer “127.0.0.1:6379”;

memcached优化,如果没有memcached优化请删去

pagespeed MemcachedThreads 1;
pagespeed MemcachedServers “127.0.0.1:11211”;

2.3 JS和CSS

ngx_pagespeed可以对网站的JS和CSS文件进行重写以达到减轻浏览器压力保证访问速度的目的，如下：

########JS和CSS########

启用JavaScript库卸载 谷歌被QQ，并不确定这个设置有没有副作用

pagespeed EnableFilters canonicalize_javascript_libraries;

把多个CSS文件合并成一个CSS文件（比较容易引起主题版面混乱，所以我禁用了)

#pagespeed EnableFilters combine_css;

重写CSS，首先加载渲染页面的CSS规则

pagespeed EnableFilters prioritize_critical_css;

把多个JavaScript文件合并成一个JavaScript文件，禁用原因同上，大家可以酌情开启

#pagespeed EnableFilters combine_javascript;

删除带默认属性的标签

pagespeed EnableFilters elide_attributes;

更换被导入文件的@import，精简CSS文件

pagespeed EnableFilters flatten_css_imports;
pagespeed CssFlattenMaxBytes 5120;

启用JavaScript缩小机制

pagespeed EnableFilters rewrite_javascript;

2.4 图片

ngx_pagespeed可以自动压缩图片、将图片格式转换为WebP（一种体积更小的图片格式）、延时加载图片、图片预加载等，如下：

####### 图片########

延时加载图片

pagespeed EnableFilters lazyload_images;

不加载显示区域以外的图片

pagespeed LazyloadImagesAfterOnload off;
pagespeed LazyloadImagesBlankUrl “https://wzfou.cdn.bcebos.com/1.gif";

启用图片优化机制(主要是 inline_images, recompress_images, convert_to_webp_lossless（这个命令会把PNG和静态Gif图片转化为webp）, and resize_images.)

pagespeed EnableFilters rewrite_images;
#组合 convert_gif_to_png, convert_jpeg_to_progressive, convert_jpeg_to_webp, convert_png_to_jpeg, jpeg_subsampling, recompress_jpeg, recompress_png, recompress_webp, #strip_image_color_profile, and strip_image_meta_data.
pagespeed EnableFilters recompress_images;

将JPEG图片转化为webp格式

pagespeed EnableFilters convert_jpeg_to_webp;

将动画Gif图片转化为动画webp格式

pagespeed EnableFilters convert_to_webp_animated;

图片预加载

pagespeed EnableFilters inline_preview_images;

移动端图片自适应重置

pagespeed EnableFilters resize_mobile_images;
pagespeed EnableFilters responsive_images,resize_images;
pagespeed EnableFilters insert_image_dimensions;
pagespeed EnableFilters resize_rendered_image_dimensions;
pagespeed EnableFilters strip_image_meta_data;
pagespeed EnableFilters convert_jpeg_to_webp,convert_to_webp_lossless,convert_to_webp_animated;
pagespeed EnableFilters sprite_images;
pagespeed EnableFilters convert_png_to_jpeg,convert_jpeg_to_webp;

#让JS里引用的图片也加入优化
pagespeed InPlaceResourceOptimization on;
pagespeed EnableFilters in_place_optimize_for_browser;

2.5 CDN

如果你的网站里的图片、JS和CSS等启用了CDN加速，那么可以利用ngx_pagespeed的域名重写功能，将静态文件的地址替换为CDN的加速地址。此处比较适合用了又拍云、七牛云、阿里云OSS的镜像CDN加速功能。

#启用静态文件CDN加速
pagespeed EnableFilters rewrite_domains;
pagespeed Domain https://wzfou.com;
pagespeed MapRewriteDomain https://cdn.wzfou.com https://wzfou.com;

2.6 排除

想要让某一个页面或者目录不使用ngx_pagespeed，使用以下命令：

# 过滤不需要启用的目录或文件
#pagespeed Disallow “*/wp-admin/*“;
#pagespeed Disallow “*/wp-login.php*“;
pagespeed Disallow “*/vps-pingfen/“;

启用压缩空白过滤器

pagespeed EnableFilters collapse_whitespace;

预解析DNS查询

pagespeed EnableFilters insert_dns_prefetch;

三、Nginx代码配置示例

这里贴出挖站否的Nginx PageSpeed配置示例，以供大家参考：

Nginx.conf配置如下：

# 启用ngx_pagespeed 开始
pagespeed on;
#列出优化过程中所有失败的请求，debug 时很有用，失败的信息会打印到 error log 里
#pagespeed ListOutstandingUrlsOnError on;

# 配置服务器缓存位置和自动清除触发条件（空间大小、时限）
#路径请提前创建好，可以放在内存也可以放在临时文件夹中
pagespeed CreateSharedMemoryMetadataCache /tmp/ngx_pagespeed_cache 51200;
pagespeed DefaultSharedMemoryCacheKB 51200;
pagespeed FileCachePath /tmp/ngx_pagespeed_cache;
pagespeed FileCacheSizeKb 2048000;
pagespeed FileCacheCleanIntervalMs 43200000;
pagespeed FileCacheInodeLimit 500000;

# 过滤器级别（自定义模式）
pagespeed RewriteLevel PassThrough;

一个标识而已（若在浏览器开发者工具里的链接请求响应标头看到此标识，则说明 PageSpeed 生效）

pagespeed XHeaderValue “Powered By wzfou.com”;

HTML页面链接转小写（SEO 优化，推荐）

pagespeed LowercaseHtmlNames on;

重置 HTTP Vary 头 除非有特殊需求，建议不开启，默认配置往往是最佳配置

pagespeed RespectVary on;

#PageSpeed能够根据响应头中指定的任何内容安全策略调整其优化
pagespeed HonorCsp on;
#PageSpeed 默认遵守 Cache-Control: no-transform 协议， 表示不可被中间代理软件改写，如果想让优化效果最大化，可以关闭
#pagespeed DisableRewriteOnNoTransform off;

# 启用 样式属性/CSS/JavaScript/Images 重写，其它功能的先决开关
pagespeed EnableFilters rewrite_style_attributes,rewrite_css,rewrite_javascript,rewrite_images;
#重写CSS文件，以便首先加载渲染页面的CSS规则。
pagespeed EnableFilters prioritize_critical_css;

###########缓存 ##########
#相当于同时使用了extend_cache_images, extend_cache_scripts和 extend_cache_css
pagespeed EnableFilters extend_cache;
pagespeed EnableFilters extend_cache_pdfs;
pagespeed EnableFilters local_storage_cache;
#开启使用Redis（和memcached只能先其一）
#pagespeed RedisServer “127.0.0.1:6379”;

memcached优化,如果没有memcached优化请删去

pagespeed MemcachedThreads 1;
pagespeed MemcachedServers “127.0.0.1:11211”;

######## 过滤规则 ########

# 过滤不需要启用的目录或文件
#pagespeed Disallow “*/wp-admin/*“;
#pagespeed Disallow “*/wp-login.php*“;
pagespeed Disallow “*/vps-pingfen/“;

启用压缩空白过滤器

pagespeed EnableFilters collapse_whitespace;

预解析DNS查询

pagespeed EnableFilters insert_dns_prefetch;

########JS和CSS########

启用JavaScript库卸载 #谷歌被QQ，并不确定这个设置有没有副作用

pagespeed EnableFilters canonicalize_javascript_libraries;

把多个CSS文件合并成一个CSS文件（比较容易引起主题版面混乱，所以我禁用了

#pagespeed EnableFilters combine_css;

重写CSS，首先加载渲染页面的CSS规则

pagespeed EnableFilters prioritize_critical_css;

把多个JavaScript文件合并成一个JavaScript文件，禁用原因同上，大家可以酌情开启

#pagespeed EnableFilters combine_javascript;

删除带默认属性的标签

pagespeed EnableFilters elide_attributes;

更换被导入文件的@import，精简CSS文件

pagespeed EnableFilters flatten_css_imports;
pagespeed CssFlattenMaxBytes 5120;

启用JavaScript缩小机制

pagespeed EnableFilters rewrite_javascript;

####### 图片########

延时加载图片

pagespeed EnableFilters lazyload_images;

不加载显示区域以外的图片

pagespeed LazyloadImagesAfterOnload off;
pagespeed LazyloadImagesBlankUrl “https://wzfou.cdn.bcebos.com/1.gif";

启用图片优化机制(主要是 inline_images, recompress_images, convert_to_webp_lossless（这个命令会把PNG和静态Gif图片转化为webp）, and resize_images.)

pagespeed EnableFilters rewrite_images;
#组合 convert_gif_to_png, convert_jpeg_to_progressive, convert_jpeg_to_webp, convert_png_to_jpeg, jpeg_subsampling, recompress_jpeg, recompress_png, recompress_webp, #strip_image_color_profile, and strip_image_meta_data.
pagespeed EnableFilters recompress_images;

将JPEG图片转化为webp格式

pagespeed EnableFilters convert_jpeg_to_webp;

将动画Gif图片转化为动画webp格式

pagespeed EnableFilters convert_to_webp_animated;

pagespeed EnableFilters inline_preview_images;
pagespeed EnableFilters resize_mobile_images;
pagespeed EnableFilters responsive_images,resize_images;
pagespeed EnableFilters insert_image_dimensions;
pagespeed EnableFilters resize_rendered_image_dimensions;
pagespeed EnableFilters strip_image_meta_data;
pagespeed EnableFilters convert_jpeg_to_webp,convert_to_webp_lossless,convert_to_webp_animated;
pagespeed EnableFilters sprite_images;
pagespeed EnableFilters convert_png_to_jpeg,convert_jpeg_to_webp;

#让JS里引用的图片也加入优化
pagespeed InPlaceResourceOptimization on;
pagespeed EnableFilters in_place_optimize_for_browser;

启用ngx_pagespeed 结束

wzfou.com.conf的配置如下：

# 启用ngx_pagespeed 开始

pagespeed EnableFilters rewrite_domains;
pagespeed Domain https://wzfou.com;
pagespeed MapRewriteDomain https://wzfou.cdn.bcebos.com https://wzfou.com;

不能删 。确保对pagespeed优化资源的请求进入pagespeed处理程序并且没有额外的头部信息

location ~ “\.pagespeed\.([a-z]\.)?[a-z]{2}\.[^.]{10}\.[^.]+” { add_header “” “”; }
location ~ “^/pagespeed_static/“ { }
location ~ “^/ngx_pagespeed_beacon$” { }
location /ngx_pagespeed_statistics { allow 127.0.0.1; deny all; }
location /ngx_pagespeed_global_statistics { allow 127.0.0.1; deny all; }
location /ngx_pagespeed_message { allow 127.0.0.1; deny all; }
location /pagespeed_console { allow 127.0.0.1; deny all; }
location ~ ^/pagespeed_admin { allow 127.0.0.1; deny all; }
location ~ ^/pagespeed_global_admin { allow 127.0.0.1; deny all; }

# 启用ngx_pagespeed 结束

四、PageSpeed加速效果

使用Nginx PageSpeed最大的好处就是网站的图片被无损（至少肉眼是无法分辨出来）压缩到了WebP格式，这大大加快了以浏览器的下载速度。

尤其是网站图片比较大的话，WebP格式加速作用就更加明显。体验：https://ttfou.com/explore/recent 和 https://pic.tietufou.com/found

另外，网站的JS和CSS地址也会被重写，如下图：

如果你启用了磁盘缓存，你就可以看到缓存生成的文件了，如果要清除缓存可以手动把这些缓存文件给删除了：

Nginx PageSpeed的图片延迟加载效果也可以点击查看以下视频：

视频播放器

00:00

00:10

五、PageSpeed使用问题

5.1 系统负载增高

Nginx PageSpeed在重写URL、转换图片格式等过程中需要用到系统更多的内存和CPU，所以在刚开机没有建立缓存时会发现系统负载增高的现象，要发挥Nginx PageSpeed的作用要保证一个高性能的CPU和内存。

5.2 网页错乱

这种情况通常见于开启了CSS和JS合并，如果你出现这样的问题可以关闭CSS和JS文件合并甚至是重写等。

5.3 清除缓存

启用了Nginx PageSpeed后，如果你修改了网站的CSS或者JS等文件不清除缓存是无法生效了，清除缓存方法如下：

#手动删除，该目录为你在nginx设置的缓存目录
rm -fr /tmp/ngx_pagespeed_cache/*

#或者由pagespeed清空缓存 5秒后开始
sudo touch /tmp/ngx_pagespeed_cache/cache.flush

六、总结

ngx_pagespeed只是在服务器层面加快网站与浏览器的响应速度，主要是对JS、CSS、图片等进行优化。但是正如我之前所说的，要想速度更快根本的解决办法还是在硬件上，软件层面的优化是锦上添花，硬件层面的优化是雪中送炭。

Nginx PageSpeed的配置要根据不同的网站来设定，不一定所有的优化选项都需要开启。总的感觉是Nginx PageSpeed对那些网站图片多、JS和CSS多的比较有效果，适合CMS网站、网络相册等，提升浏览器的访问速度比较明显。

随着大家上网安全意识的增强，以及各大主要互联网公司对Https普及工作的推动，HTTPS SSL现在基本上成了建站的标配了。得益于Let’s Encrypt、Digicert、TrustAsia、Symantec等提供的免费SSL证书，现在不管是个人建站还是企业建站，上Https的成本可以忽略不计了。

为了安全，我们要上Https，但是开启 SSL 会增加内存、CPU、网络带宽的开销。相对于http，使用TCP 三次握手建立连接，客户端和服务器需要交换3个包，https除了 TCP 的三个包，还要加上 ssl握手需要的9个包，一共是12个包。所以，HTTPS优化得不少反而容易出现性能慢的问题。

当然，有人可能为会认为HTTPS与SSL增加的服务器开销基本上没有感觉到，这是因为网站的流量比较少，加上服务器的性能配置足以支撑起当前的流量。但是对于大型的网站，例如百度、Google以及热门APP，优化Https性能，减少资源消耗还是非常有用的。

本篇文章就来分享一下HTTPS和SSL优化使用几点心得体会，更多的有关于SSL证书和Https经验教程还有：

1. 免费SSL证书收集整理汇总-免费给网站添加Https安全加密访问
2. 十个你可能不知道的CloudFlare免费CDN加速技巧-SSL\DDOS\Cache
3. 启用HSTS并加入HSTS Preload List让网站Https访问更加安全-附删除HSTS方法

PS：2018年9月6日更新，如果想要使用付费的DNS解析服务，这里有两个比较便宜的比较适合个人的DNS服务：两款适合个人使用的DNS产品:ClouDNS和DNS Made Easy域名解析。

PS：2019年1月15日更新，想要SSL访问获得更快的速度以及更高的性能，可以试试TLSV1.3和Brotli压缩：网站优化加速-开启TLSV1.3和Brotli压缩-Oneinstack,LNMP,宝塔面板。

一、如何选择免费SSL证书？

建议选择Let’s Encrypt。Let’s Encrypt免费SSL证书虽然只有90天，但是可以无限期续期，并且支持手动和自动续期。Let’s Encrypt SSL在各大浏览器上都得到认可，是免费SSL证书的首选。教程：Let’s Encrypt Wildcard 免费泛域名SSL证书一键申请与SSL使用教程。

Let’s Encrypt适用于VPS等有独立IP的主机上，否则只能使用一些利用Let’s Encrypt API开发的在线SSL证书申请。当然，有一定的经济实力的话自然选择付费的SSL证书更为可行，更多SSL证书见：免费SSL证书收集整理汇总。

二、服务器开启HSTS

采用 HSTS 协议的网站将保证浏览器始终连接到网站的HTTPS版本，而不需要用户手动在URL地址栏中输入包含https://的加密地址。我用的是Nginx 服务器，只需要编辑 Nginx 配置文件（如：/usr/local/nginx/conf/nginx.conf）将下面行添加到 HTTPS 配置的 server 块中即可：

add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;

Apache、Lighttpd等启用HSTS详细的方法见：服务器启用HSTS。

三、域名加入HSTS preload list计划

上面虽然是启用了HSTS 协议保证了用户访问的始终是Https连接，但是一般地首次访问网站用户都会习惯性地输入非https域名，这就导致了第一次访问网站容易出现http劫持的问题。HSTS preload list计划就是为了解决这个问题的，它是chrome\Firefox\Edge等浏览器内置的列表。

加入HSTS Preload List的方法：启用HSTS并加入HSTS Preload List让网站Https访问更加安全-附删除HSTS方法。目前wzfou.com已经成功加入到了HSTS preload list，如果你用的是Chrome或者Firefox，第一次访问本站就是默认用Https连接的。

四、开启HTTP/2和OCSP Stapling

HTTP/2 相比于之前的HTTP/1.1 在性能上的大幅度提升，所以只要你启用了Https，记得一定要开启HTTP/2，检查一下你的配置文件是否有：listen 443 ssl http2;

OCSP Stapling 服务器事先模拟浏览器对证书链进行验证，然后将 OCSP 验证结果缓存到本地。这样，当浏览器访问站点时，在握手阶段，可以直接拿到 OCSP 响应结果和证书链，对访问速度有明显提升。

Nginx 中开启 OCSP Stapling。（如果 ssl_certificate 指令指定了完整的证书链，则 ssl_trusted_certificate 可省略）

1
2
3

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/certs/chained.pem;

Apache 中开启 OCSP Stapling：

在 <VirtualHost></VirtualHost> 中添加:

1

SSLUseStapling on

在 <VirtualHost></VirtualHost> 外添加:

1

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

五、使用ECC和RSA双证书

默认的我们都会使用RSA证书，因为RSA证书的兼容性最为广泛。但是ECC 证书拥有体积小、运算速度快、安全性高（256位ECC key就能起到相当于3072位的RSA key的安全性）等特点，可以在一定程度上提供Https性能。

Let’s Encrypt已经支持生成ECC 证书了，使用 acme.sh 签发SSL证书， 指定 --keylength ec-256 就可以将证书类型改为 ECC：

acme.sh –issue -w /data/wwwroot/wzfou.com -d wzfou.com -d www.wzfou.com –keylength ec-256

需要注意的是ECC在Windows XP上不兼容，这个时候我们就会想到用双证书了，即当不支持ECC证书时Nginx自动将RSA证书展示给用户。如果nginx 的版本大于1.11，直接就可以在配置文件中写上ECC和RSA双证书的路径了，wzfou.com演示如下：

1
2
3
4
5
6

#ECC
ssl_certificate /root/.acme.sh/wzfou.com_ecc/fullchain.cer;
ssl_certificate_key /root/.acme.sh/wzfou.com_ecc/wzfou.com.key;
#RSA
ssl_certificate /usr/local/nginx/conf/ssl/wzfou.com.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/wzfou.com.key;

重启Nginx，当XP等不支持ECC证书的用户访问网站时，显示的是RSA证书。

而其它的用户则优先使用ECC证书。

如果你发现ECC没有优先显示，检查一下ssl_prefer_server_ciphers是否开启，同时ssl_ciphers有没有配置好，以下是wzfou.com当用的配置：

1
2

ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

另外，下面三个任选其一即可（仅供测试）：

1
2
3
4

ssl_ciphers 'EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5';

ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';

六、 开启DNS CAA

DNS CAA的作用是只允许在记录中列出的 CA 机构颁发针对该域名(或子域名)的证书，以防止有人伪造SSL证书，同时CAA 记录可以控制单域名 SS L证书的发行，也可以控制通配符证书。详细方法见：京东云DNS设置CAA。

问题：开启DNS CAA导致错误：Verify error:CAA record for *.wzfou.comprevents issuance。解决的办法就是增加 issuewild 记录： 0 issuewild "letsencrypt.org" 。 另外提供两个检测CAA配置是否正确的网站：

1. https://caatest.co.uk/
2. https://dnsspy.io/labs/caa-validator

七、定期自动更新SSL证书

想手动更新方法：

1
2
3

# RSA
$ acme.sh --renew -d wzfou.com –d www.wzfou.com --force

一般地acme.sh已经自动添加了定时任务了，定期更新Let’s Encrypt证书，如果你发现没有定期更新证书，检查一下你的Cron任务是否正确，也可以试试强制更新：

1

"/root/.acme.sh"https://wzfou.cdn.bcebos.com/acme.sh --cron --home "/root/.acme.sh" --force

八、检测SSL证书配置

常用的检测网站有：

1. https://www.ssllabs.com/ssltest/analyze.html
2. https://myssl.com/

重点推荐用ssllabs.com，检测的结果还是非常地准确，如下：

九、综合

综合以上优化策略，Nginx的配置文件具体的优化如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

server {

listen 443 ssl http2;
#使用HTTP/2，需要Nginx1.9.7以上版本

add_header Strict-Transport-Security "max-age=6307200; includeSubdomains; preload";
#开启HSTS，并设置有效期为“6307200秒”（6个月），包括子域名(根据情况可删掉)，预加载到浏览器缓存(根据情况可删掉)

add_header X-Frame-Options DENY;
#禁止被嵌入框架

add_header X-Content-Type-Options nosniff;
#防止在IE9、Chrome和Safari中的MIME类型混淆攻击

ssl_certificate /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.crt;
ssl_certificate_key /usr/local/nginx/conf/vhost/sslkey/www.linpx.com.key;
#SSL证书文件位置

ssl_trusted_certificate /usr/local/nginx/conf/vhost/sslkey/chaine.pem;
#OCSP Stapling的证书位置

ssl_dhparam /usr/local/nginx/conf/vhost/sslkey/dhparam.pem;
#DH-Key交换密钥文件位置

#SSL优化配置

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#只允许TLS协议

ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
#加密套件,这里用了CloudFlare's Internet facing SSL cipher configuration

ssl_prefer_server_ciphers on;
#由服务器协商最佳的加密算法

ssl_session_cache builtin:1000 shared:SSL:10m;
#Session Cache，将Session缓存到服务器，这可能会占用更多的服务器资源

ssl_session_tickets on;
#开启浏览器的Session Ticket缓存

ssl_session_timeout 10m; 
#SSL session过期时间

ssl_stapling on; 
#OCSP Stapling开启,OCSP是用于在线查询证书吊销情况的服务，使用OCSP Stapling能将证书有效状态的信息缓存到服务器，提高TLS握手速度

ssl_stapling_verify on;
#OCSP Stapling验证开启

resolver 8.8.8.8 8.8.4.4 valid=300s;
#用于查询OCSP服务器的DNS

resolver_timeout 5s;
#查询域名超时时间

···

实际使用过程中发现个别的“优化”还得根据自身的需要来确定，以下是wzfou.com正在用的Nginx配置，仅供参考：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

listen 80; 
listen 443 ssl http2;
#ECC
ssl_certificate /root/.acme.sh/wzfou.com_ecc/fullchain.cer;
ssl_certificate_key /root/.acme.sh/wzfou.com_ecc/wzfou.com.key;  
#RSA 
ssl_certificate /usr/local/nginx/conf/ssl/wzfou.com.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/wzfou.com.key; 
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_buffer_size 1400;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
ssl_stapling on; 
ssl_stapling_verify on;

PS：2018年8月5日更新，感谢xiaoz的提醒，这里有一个在线生成SSL配置的网站，出自Mozilla，参考性非常高：

1. https://mozilla.github.io/server-side-tls/ssl-config-generator/

Oneinstack的防火墙规则对ping进行了限制，导致有时用站长工具测试时出现大量ping超时的问题，这种情况有时候不利于我们分析线路问题。

步骤1：备份

iptables-save > /etc/iptables.up.rules.bak

步骤2：删除规则

vim /etc/iptables.up.rules

手动删除即可。

步骤3：导入新规则

iptables-restore < /etc/iptables.up.rules

最后，重启VPS就可以生效了。

找不到iptables.up.rules，可以用命令：whereis iptables，不同的服务器保存的rules名称可能会不一样。