包管理器Homebrew(我在 OS X 上,但我一般对基于 Unix 的安全性很好奇,因为它与目录权限有关)将所有者设置/usr/local/bin为我的用户(root默认情况下,对吗?),这意味着现在我可以通过简单地将它们移动到/usr/local/bin(sudo不需要)来安装可执行文件。
/usr/local/bin由 拥有root?/usr/local/bin一个巨大的安全问题吗,因为现在我运行的任何软件都可以代表我安装程序而无需我的密码?
我在中看到了很多以下行/var/log/syslog:
Jun 21 14:36:15 my-server kernel: [416219.080061] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:the-mac-address:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=10081 PROTO=UDP SPT=68 DPT=67 LEN=308
这似乎每分钟都在发生。这只是我的服务器试图广播某些东西而我自己的 iptables 拒绝它发生吗?如果是这样,什么样的服务可能会做这样的事情,我应该允许吗?我在 Ubuntu 12.04.2 上运行 Postgres 9.2.4,除了基本的预安装包外基本上没有其他服务。
我的假设rsync是它以“同步”的方式传输文件,这意味着它是全有或全无。这是正确的,还是有rsync可能返回一个非 0 并且仍然以预期的名称在远程磁盘上保留了一些东西?换句话说,我rsync myfile.txt从服务器 A 到服务器 B 作为/myfile.txt. 由于某种原因传输失败(一台服务器崩溃或进程在正确的时间被终止)。现在,是否有可能/myfile.txt在服务器 B 上创建,或者对rsync临时文件(或其他文件)做一些事情以确保文件已完全传输然后重命名?
请注意,我使用的是 Ubuntu 12.04.2,以防万一,而且我的磁盘上没有缓存回写废话以提高性能或其他任何内容(如果磁盘说它已完成,则写入已完成)。
请注意,由于网络安全相关问题,我不能在负载均衡器上使用 SSL 终止。
我得到的客户端IP当然是负载均衡器的IP。我知道负载均衡器在没有我的密钥的情况下无法修改 HTTPS 消息,但是在使用 SSL 进行负载均衡时是否还有另一种获取客户端 IP 地址的方法,例如可能只是在 TCP 级别进行负载均衡,或者其他什么?
我经常登录到我的 Ubuntu 12.04.2 服务器(使用实时生产数据运行 Postgres 9.2.4)并看到类似于:
4 packages can be updated.
4 updates are security updates.
当然,这种情况大约每隔几天就会发生一次。我对自动更新不感兴趣(我睡着的时候可以更改的东西越少越好),但我有兴趣始终让我的服务器保持最新状态,所以我的问题是:当我看到如下输出时那,运行是否总是被认为是安全的apt-get upgrade,或者有时它会破坏东西。我知道补丁并不总是完美的(因此在标题中引用“总是”),但作为一般规则,运行它是否安全(特别是考虑到这是一个数据库服务器与仅通过 Nginx 提供 CSS 文件的东西)?
我读过,即在Rackspace上,不应该对敏感信息使用 SSL 终止(在页面上搜索“不应使用 SSL 终止”)。首先,为什么会这样。其次,如果您不能相信数据已安全传输,那么拥有 SSL 到底有什么价值?
我对第一个问题的猜测是,如果有人X-Forwarded-For知道服务器的直接 IP,就可以添加带有 HTTPS URL 的标头,完全绕过负载均衡器,并进入端口 80。我可以通过 iptables 克服这个问题(仅允许来自负载均衡器的端口 80),对吗?
注意:我的服务器与负载均衡器位于同一专用网络中(关于“安全问题是什么?”那篇 Rackspace 文章中的注释)。
我正在寻找从 HTTP 重定向到 HTTPS。我的 Nginx 服务器位于一个负载平衡器后面,它将为我终止 SSL 并将所有流量(HTTP 和 HTTPS)发送到端口 80。我必须表明原始请求是 HTTP 还是 HTTPS 的唯一证据是通过X-Forwarded-For标头由负载均衡器设置。当原始请求在 HTTP 上时,是否有一种内置的、廉价的方法来处理 Nginx 中的重定向?请记住,我只会为端口 80 设置一个服务器。
我的 Ubuntu 12.04.2 服务器(所有软件包和发行版都是最新的)在我今天早上进行 shell 时只使用了 558MB 的 RAM。除了 sshd 和发行版附带的任何东西之外,服务器上没有运行任何东西。中国只有 1 次“闯入企图” /var/log/auth.log(所以没有什么异常)。除了 22 之外的每个端口都被 iptables 与外部的入站流量隔离开来。
Ubuntu 12.04.2 服务器在运行仅 3 天后使用 +500MB RAM 是很正常的,还是我应该担心?如果您想知道,我没有进程信息,因为一开始我没想太多,所以我重新启动了:(
重启后 30 分钟内存使用情况(仍显示正常):
$free -m
total used free shared buffers cached
Mem: 1995 128 1867 0 5 50
-/+ buffers/cache: 72 1923
Swap: 1953 0 1953
我的数据库服务器上的 iptables 规则是:
-A INPUT -p tcp --dport 6432 -s 10.115.0.150 -j ACCEPT
我还有其他规则(环回等),但我想知道是否可以“破解”该特定规则。有人可以“欺骗” IP 地址吗(即使它是一个私有网络地址——同样,如果它是一个公共地址,它会有所不同吗)?有些不同?
我经常start on runlevel [2345]在 Upstart init 脚本中看到,但有时(例如,此处)我看到其他事件被用来确定开始时间。我如何知道给定程序应该使用哪些事件(或状态代码)?例如,我目前只runlevel [2345]使用 Postgres 和 Pgbouncer,但我不确定这是否真的是最好的主意。
很长一段时间以来,我一直想知道sudo reboot运行 Postgres(即 9.2.4)的服务器是否会(或肯定会)导致数据丢失或其他问题(例如,无法在系统启动时重新启动服务器)。或者,reboot向进程发送适当的信号以允许它们正确关闭(包括,例如,允许事务完成等)。
我有一个 Ubuntu 12.04.2 服务器,我想安装 Postgres 9.2.4。如果我想构建所有依赖项,我无法使用apt-get build-dep(至少没有一些花招),因为只有 9.1 可用于apt-get install. 这让我陷入了“我想知道自 9.1 以来添加了哪些新依赖项”的困境。所以,我决定无论如何都要检查 Postgres 9.1 的依赖项,所以我做了一个试运行:
me@my-server:~$ sudo apt-get build-dep postgresql-9.1 --dry-run
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
bison comerr-dev debhelper dh-apparmor docbook docbook-dsssl docbook-xsl flex gettext html2text intltool-debian krb5-multidev libbison-dev libcroco3 libedit-dev libexpat1-dev libfl-dev libgettextpo0
libgssrpc4 libkadm5clnt-mit8 libkadm5srv-mit8 libkdb5-6 libkrb5-dev libldap2-dev libncurses5-dev libosp5 libossp-uuid-dev libossp-uuid16 libostyle1c2 libpam0g-dev libperl-dev libperl5.14 libpython3.2
libssl-dev libunistring0 libxml2-dev libxslt1-dev libxslt1.1 m4 openjade opensp po-debconf python-dev python2.7-dev python3 python3-dev python3-minimal python3.2 python3.2-dev python3.2-minimal
sgml-data tcl8.5 tcl8.5-dev xsltproc
0 upgraded, 54 newly installed, 0 to remove and 0 not upgraded.
... rest omitted
这告诉我有相当多的依赖项当前没有安装。因此,我决定检查Postgres 9.1 实际安装的空运行:
me@my-server:~$ sudo apt-get install postgresql-9.1 --dry-run
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
libpq5 postgresql-client-9.1 postgresql-client-common postgresql-common ssl-cert
Suggested packages:
oidentd ident-server locales-all postgresql-doc-9.1 openssl-blacklist
The following NEW packages will be installed:
libpq5 postgresql-9.1 postgresql-client-9.1 postgresql-client-common postgresql-common ssl-cert
0 upgraded, 6 newly installed, 0 to remove and 0 not upgraded.
... rest omitted
现在,我的问题是因为如果我简单地apt-get install libreadline6-dev libghc-zlib-dev(从我读过的教程),我就能很好地安装 Postgres 9.2.4。它似乎运行得很好,并且make check通过了。所以,build-dep在这种情况下通常是个好主意,还是它通常安装的数量比实际需要的多得多?
我没有三思而后行地postgres使用命令创建了它。useradd我已经安装并运行了 postgres。我无法添加主目录,postgres因为用户当前已登录。
我可以以某种方式注销postgres用户并将其删除吗?如果我删除用户(并使用重新创建它adduser),它的所有文件是否仍然属于它(假设相同的 UID)?还有其他潜在问题吗?如果这行不通,我至少可以注销用户以便设置其主目录吗?
Postgres 运行得很好(我已经使用创建了一个数据库template0)。然后,我用了:
$ /usr/local/pgsql/bin/pg_ctl -D /usr/local/pgsql/data stop --mode=smart
停止 Postgres,它毫不费力地停止了。然后,我用了:
$ /usr/local/pgsql/bin/pg_ctl -D /usr/local/pgsql/data -l /var/log/postgres/serverlog start
server starting
它似乎开始时没有大惊小怪......但是然后:
$ /usr/local/pgsql/bin/pg_ctl -D /usr/local/pgsql/data status
pg_ctl: no server running
可以肯定的是,aps aux | grep postgres什么都不返回。
为什么会这样?
注意:我以 as 登录postgres并且/usr/local/pgsql/datadir 由 递归拥有postgres,但值得注意的是它postgres正在使用/etc/shvs/etc/bash因为我很愚蠢并且使用useraddvs adduser。我在 Ubuntu 12.04.2 上运行 Postgres 9.2.4。
我正在考虑将以下规则添加到我的 IP 表中:
-A INPUT -p tcp -m state --state NEW -m recent --update --dport 80 --seconds 5 --hitcount 10 -j DROP
-A INPUT -p tcp -m state --state NEW -m recent --set --dport 80 -j ACCEPT
以避免基于 Ajax 的意外滥用(太多请求)我的 Web API。
由于端口 80 请求的普遍性(与限制端口 22 之类的东西相比,它会导致更少的状态),这种状态过滤是否被认为是资源密集型或其他浪费?我意识到在专用防火墙中执行此操作是理想的,但我正在尝试查看我可以在我的服务器中完成什么。
我的 Nginx 访问日志中的以下请求(这大约是其中的一半)都是在几分钟内从注册到越南 ISP 的 IP 发出的(我可以提供 IP,但我不确定如果那允许她)。我昨天刚设置好服务器。注意libwww-perl/5.805用户代理和路径(寻找通用配置文件等)。
我应该担心这一点,还是有那么多机器人扫描 IP,以至于每天都不可避免地要进行这样的扫描?
<some IP in Vietnam> - - [22/May/2013:11:15:44 +0000] "GET /db_config.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:45 +0000] "GET /db_conf.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:45 +0000] "GET /data.inc HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:46 +0000] "GET /dados.inc HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:46 +0000] "GET /conecta.inc HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:47 +0000] "GET /database.inc HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:47 +0000] "GET /banco.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:48 +0000] "GET /mysql.inc HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:48 +0000] "GET /dbsql.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:49 +0000] "GET /sqldb.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:49 +0000] "GET /backup.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:50 +0000] "GET /DB.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:50 +0000] "GET /include/config.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:51 +0000] "GET /include/dbconfig.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:51 +0000] "GET /include/conf.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:52 +0000] "GET /include/connect.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:52 +0000] "GET /include/db.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:53 +0000] "GET /include/conexao.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:53 +0000] "GET /include/configuration.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:54 +0000] "GET /include/application.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:54 +0000] "GET /inc/config.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:55 +0000] "GET /inc/dbconfig.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:55 +0000] "GET /inc/conf.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:56 +0000] "GET /inc/connect.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:56 +0000] "GET /inc/db.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:57 +0000] "GET /inc/conexao.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:57 +0000] "GET /inc/configuration.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:58 +0000] "GET /inc/application.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:58 +0000] "GET /includes/config.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:59 +0000] "GET /includes/dbconfig.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:15:59 +0000] "GET /includes/conf.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:00 +0000] "GET /includes/connect.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:00 +0000] "GET /includes/db.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:01 +0000] "GET /includes/conexao.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:01 +0000] "GET /includes/configuration.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:02 +0000] "GET /includes/application.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:02 +0000] "GET /application/configs/application.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:03 +0000] "GET /application/configs/config.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:03 +0000] "GET /application/configs/dbconfig.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:04 +0000] "GET /application/configs/db.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:04 +0000] "GET /application/configs/connect.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:05 +0000] "GET /application/configs/conexao.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:05 +0000] "GET /application/configs/conf.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:06 +0000] "GET /application/configs/configuration.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:06 +0000] "GET /application/configs/data.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:07 +0000] "GET /application/configs/banco.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:07 +0000] "GET /application/configs/dbconf.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:08 +0000] "GET /configs/application.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:09 +0000] "GET /configs/config.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:09 +0000] "GET /configs/dbconfig.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:10 +0000] "GET /configs/db.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:10 +0000] "GET /configs/connect.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:11 +0000] "GET /configs/conexao.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:11 +0000] "GET /configs/conf.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:12 +0000] "GET /configs/configuration.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:12 +0000] "GET /configs/data.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:13 +0000] "GET /configs/banco.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
<some IP in Vietnam> - - [22/May/2013:11:16:13 +0000] "GET /configs/dbconf.ini HTTP/1.1" 502 166 "-" "libwww-perl/5.805"
背景信息(请原谅我在这里缺乏正确的行话):我将运行一对物理服务器,每个服务器都使用 Nginx 托管一些简单的站点。服务器在一个 colo 中,我将有一些专用 IP 地址(最多 16 个)。服务器通过交换机连接。他们的网络位于 Cisco 防火墙后面。
我的意图(纠正我,如果这是完全错误的)是给每台服务器一个虚拟 IP。然后,通过防火墙进入的流量将准备到虚拟 IP 地址之一(我的主服务器)。这样,如果主物理服务器出现问题,我可以将其关闭并在备份物理服务器中使用其 VIP(手动故障转移)。我的理解是,如果我将故障转移服务器的虚拟 IP 更改为主服务器使用的虚拟 IP,则对公共 IP 地址的请求将被路由到故障转移服务器。
然而,在理解网络方面我很困惑(你可能已经知道了)。
1) 如果 TCP 连接到达我网站的公共 IP,它会命中防火墙。然后,它将被定向到主服务器(基于 VIP)。这个对吗?
2) 如果我的服务器都位于同一个防火墙后面,如何在同一个 IP 地址访问它们(以便我可以将我的 A 记录指向单个 IP)?或者,这是不可能用防火墙来做的,只有路由器才能处理吗?
3) 我的用例是否更适合使用静态 IP 地址或 DHCP?两者都有哪些缺点?
4)我是否正确理解公共 IP 地址。我是否要为我的防火墙分配一个公共 IP 地址,然后将连接从那里转发回防火墙后面的单个 IP?或者,我的每台服务器是否都获得一个 IP 地址,而 TCP 连接是否只是通过我的防火墙并根据所连接的 IP 进入其中一台服务器?
我正在使用rsync.
如果我用来在服务器rsync -a之间镜像一个/uploads目录,我是否可以期望使用服务器上的文件的程序(例如 Nginx 等)像在服务器上一样运行,假设我已经创建了具有相同名称和权限的用户在服务器上,或者我以后会遇到我可能忽略的细微问题吗?那么,复制具有保留所有权和权限的文件目录是否可以在类似机器之间互操作,或者它是否会通过 UID 复制所有权,因此当我碰巧以不同的顺序创建用户时,一切都会搞砸等等?执行此操作时是否还有其他注意事项,或者您对处理此类备份的更好方法有任何建议吗?AB/uploadsBABrsync
我有 2 台物理服务器,每台包含 2 个虚拟机;运行 Postgres (9.2) 的虚拟机,以及运行某些 Python 软件的虚拟机(将连接到 Postgres 服务器)。在故障转移工具的类型等方面,我不受任何限制。鉴于我只有 2 台物理服务器,是否有办法避免出现脑裂问题?
我目前的理解是,当我的主 Postgres 服务器(或它所在的机器)死机时,从数据库将恢复主服务器的角色。如果 master 服务器再次打开,它会认为它仍然是 master...这个问题是由现代 Postgres 版本处理的,还是仍然是一个严重的问题,如果是这样,为什么没有更多的人谈论它?似乎很难找到有关它的任何信息。
以下标头(来自静态媒体响应)不会导致在 Firefox 中进行缓存。在 Chrome 中他们这样做。
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 22 Dec 2012 21:20:39 GMT
Content-Type: application/x-javascript; charset=utf-8
Last-Modified: Fri, 21 Dec 2012 19:28:54 GMT
Transfer-Encoding: chunked
Connection: keep-alive
Cache-Control: public, max-age=86400
Content-Encoding: gzip
我的静态内容 Nginx 服务器如下所示:
server {
listen 80;
server_name static.example.com;
# Logs
access_log /var/log/nginx/static.example.com.access.log;
error_log /var/log/nginx/static.example.com.error.log;
# Root
location / {
alias /var/www/app/deps/current/repo/src/example/static/;
add_header Cache-Control "public, max-age=86400";
}
}
我也尝试过使用expires 24h;, 代替add_header ..., 没有运气。
我在 Internet 上发现了许多类似的投诉,但没有解决方案,也没有任何关于为什么会这样的想法,除了一个人提到 Firefox 如何故意偏离处理 HTTP 1.1Cache-Control标头的规范。
有没有办法让 Firefox 通过一个或多个标头缓存我的静态媒体?我不希望 75% 的服务器静态媒体请求来自 20% 的用户,仅仅因为 Firefox 被破坏了。
请注意,我使用的是具有默认设置的 Firefox 17.0.1,但安装了 Firebug 并打开了Net选项卡。
相反,使用:
expires 1d;
add_header Cache-Control public;
导致标头包括:
Expires: Wed, 26 Dec 2012 19:54:20 GMT
Cache-Control: max-age=604800, public
这也不会导致 Firefox 缓存内容。