Tomcat8安装, 安全配置与性能优化

一、Tomcat 安装

  • 官网:http://tomcat.apache.org/
  • Tomcat8官网下载地址:http://tomcat.apache.org/download-80.cgi
  • 为了便于文件管理,个人习惯  在/opt目录下创建 一个install目录用于存放 软件安装包,在/usr 目录下创建local文件夹用户存放解压文件
  • 下载安装包: wget http://apache.fayea.com/tomcat/tomcat-8/v8.0.32/bin/apache-tomcat-8.0.32.tar.gz
  • 解压压缩包: tar -zxvf apache-tomcat-8.0.32.tar.gz
  • 移动解压文件到 mv apache-tomcat-8.0.32/ /usr/local/
  • 为方便起见,可以使用  mv /usr/local/apache-tomcat-8.0.32/ /usr/local/tomcat8/ 修改目录名称

设置端口防火墙:

centos7以下版本设置方法:

方法一:便于测试,可以先关闭关闭 iptables,防止端口拦截无法进行测试:service iptables stop

方法二:在iptables中添加允许规则(以下以Tomcat默认端口8080为例),操作步骤如下:

1、添加规则  sudo iptables -I INPUT -p tcp -m tcp --dport 8080 -j ACCEPT

2、保存规则:sudo /etc/rc.d/init.d/iptables save

3、重启iptables: sudo service iptables restart

centos7设置方法:

开启端口

firewall-cmd --zone=public --add-port=80/tcp --permanent

命令含义:

--zone #作用域

--add-port=80/tcp  #添加端口,格式为:端口/通讯协议

--permanent   #永久生效,没有此参数重启后失效

重启防火墙

firewall-cmd --reload

Tomcat服务启动停止:

启动tomcat:sh /usr/local/tomcat8/bin/startup.sh

查看日志:tail -200f /usr/local/tomcat8/logs/catalina.out

停止tomcat: sh /usr/local/tomcat8/bin/shutdown.sh

二、Tomcat 安全配置与优化

   2.1优化server.xml

2.1.1 隐藏版本信息

  • 隐藏HTTP 头部的版本信息 。

编辑server.xml: vi /usr/local/tomcat8/conf/server.xml

为Connector 添加 server 属性

[html] view plain copy

  1. <span style="font-family:Consolas, Liberation Mono, Menlo, Courier, monospace;">                </span><span style="font-family:Microsoft YaHei;"> <Connector port="8080" protocol="HTTP/1.1"
  2. connectionTimeout="20000"
  3. redirectPort="8443" server="APP Srv1.0"/></span>

  • 隐藏404页面出现的版本号

针对该信息的显示是由一个jar包控制的,该jar包存放在 Tomcat 安装目录下的lib目录下,名称为 catalina.jar。

我们可以通过 jar xf 命令解压这个 jar 包会得到两个目录 META-INF 和 org ,通过修改 org/apache/catalina/util/ServerInfo.properties 文件中        的 serverinfo 字段来实现来更改我们tomcat的版本信息。

文件信息如下:

[[email protected] ~]#  cat /usr/local/tomcat8/lib/org/apache/catalina/util/ServerInfo.properties |grep -v ‘^$|#‘

server.info=Apache Tomcat/8.0.23

server.number=8.0.23.0

server.built=Mar 18 2016 20:31:49 UTC

还有另外一种方法来实现隐藏或伪装Tomcat的版本信息,其本质和上面一样,操作如下:

[[email protected] ~]# cd /usr/local/tomcat8/lib

[[email protected] lib]# mkdir -p org/apache/catalina/util

[[email protected] lib]# cd org/apache/catalina/util

[[email protected] util]# vim ServerInfo.properties

server.info=nolinux        # 如果想修改成其它版本号,把这个地方的值改成其它值就行了

修改效果如下:

2.1.2禁用Tomcat管理界面

生产环境一般不适用Tomcat默认的管理界面,这些页面存放在Tomcat 的webapps安装目录下,

把该目录下的所有文件删除即可:rm -rf  /usr/local/tomcat8/webapps/*

另外删除相关的配置文件 host-manager.xml 和 manager.xml,在Tomcat 安装目录 conf/Catalina/localhost目录下。

注释或删除tomcat_user.xml 中的所有用户权限。

2.1.3  应用程序安全

tomcat默认 开启了对war热部署。为了防止被植入木马恶意攻击,我们要关闭war包自动部署。

关闭自动加载最新代码(设置reloadable)

修改实例:

[html] view plain copy

  1. <Host name="localhost"  appBase="webapps"
  2. unpackWARs="false" autoDeploy="false"
  3. reloadable="false">

2.1.4 更改关闭Tomcat的指令

server.xml中定义了可以直接关闭 Tomcat 实例的管理端口。我们通过 telnet 连接上该端口之后,输入 SHUTDOWN (此为默认关闭指             令)即可关闭 Tomcat 实例(注意,此时虽然实例关闭了,但是进程还是存在的)。由于默认关闭 Tomcat 的端口和指令都很简单。默认端口为          8005,指令为SHUTDOWN 。因此我们需要将关闭指令修改复杂一点。

当然,在新版的 Tomcat 中该端口仅监听在127.0.0.1上,因此大家也不必担心。除非黑客登陆到tomcat本机去执行关闭操作。

修改实例:

<Server port="8005" shutdown="9SDKJ29jksjf23sjf0LSDF92JKS9DKkjsd">

或者禁用8005端口

<Server port="-1" shutdown="SHUTDOWN">

2.1.5 连接池配置

使用线程池,用较少的线程处理较多的访问,可以提高tomcat处理请求的能力。

编辑配置文件 server.xml : vi  /usr/local/tomcat8/conf/server.xml

2.1.5.1 打开被注释的默认连接池配置

默认配置:

[html] view plain copy

  1. <!--
  2. <Executor name="tomcatThreadPool" namePrefix="catalina-exec-"
  3. maxThreads="150" minSpareThreads="4"/>
  4. -->

修改实例:

[html] view plain copy

  1. <Executor name="tomcatThreadPool" namePrefix="catalina-exec-"
  2. maxThreads="150" minSpareThreads="100"
  3. prestartminSpareThreads="true" maxQueueSize="100"/>

参数讲解:

  • name: 线程名称
  • namePrefix: 线程前缀
  • maxThreads : 最大并发连接数,不配置时默认200,一般建议设置500~ 800 ,要根据自己的硬件设施条件和实际业务需求而定。
  • minSpareThreads:Tomcat启动初始化的线程数,默认值25
  • prestartminSpareThreads:在tomcat初始化的时候就初始化minSpareThreads的值, 不设置true时minSpareThreads
  • maxQueueSize: 最大的等待队列数,超过则拒绝请求

2.1.5.2 修改链接配置

默认配置:

[html] view plain copy

  1. <Connector port="8080" protocol="HTTP/1.1"
  2. connectionTimeout="20000"
  3. redirectPort="8443" />

修改配置:

[html] view plain copy

  1. <Connector port="8080" protocol="org.apache.coyote.http11.Http11Nio2Protocol"
  2. connectionTimeout="20000"
  3. redirectPort="8443"
  4. executor="tomcatThreadPool"
  5. enableLookups="false"
  6. acceptCount="100"
  7. maxPostSize="10485760"
  8. compression="on"
  9. disableUploadTimeout="true"
  10. compressionMinSize="2048"
  11. noCompressionUserAgents="gozilla, traviata"
  12. acceptorThreadCount="2"
  13. compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript"
  14. URIEncoding="utf-8"/>

参数讲解:

  • port:连接端口。
  • protocol:连接器使用的传输方式。  Tomcat 8 设置 nio2 更好:org.apache.coyote.http11.Http11Nio2Protocol
  • protocol, Tomcat 6、7 设置 nio 更好:org.apache.coyote.http11.Http11NioProtocol

注:

每个web客户端请求对于服务器端来说就一个单独的线程,客户端的请求数量增多将会导致线程数就上去了,CPU就忙着           跟线程切换。

而NIO则是使用单线程(单个CPU)或者只使用少量的多线程(多CPU)来接受Socket,而由线程池来处理堵塞在pipe     或者队       列里的请求.这样的话,只要OS可以接受TCP的连接,web服务器就可以处理该请求。大大提高了web服务器的可伸缩性。

  • executor: 连接器使用的线程池名称
  • enableLookups:禁用DNS  查询
  • acceptCount:指定当所有可以使用的处理请求的线程数都被使用时,可以放到处理队列中的请求数,超过这个数的请求将不予处理,默认设置 100 。
  • maxPostSize:限制 以FORM URL 参数方式的POST请求的内容大小,单位字节,默认是 2097152(2兆),10485760 为 10M。如果要禁用限制,则可以设置为 -1。
  • acceptorThreadCount: 用于接收连接的线程的数量,默认值是1。一般这个指需要改动的时候是因为该服务器是一个多核CPU,如果是多核 CPU 一般配置为 2。
  • compression:传输时是压缩。
  • compressionMinSize:压缩的大小
  • noCompressionUserAgents:不启用压缩的浏览器

提示:

压缩会增加Tomcat负担,最好采用Nginx + Tomcat 或者 Apache + Tomcat 方式,压缩交由Nginx/Apache 去做。

Tomcat 的压缩是在客户端请求服务器对应资源后,从服务器端将资源文件压缩,再输出到客户端,由客户端的浏览器负责解压缩并浏览。相对于普通的 浏览过程 HTML、CSS、Javascript和Text,它可以节省40% 左右的流量。更为重要的是,它可以对动态生成的,包括CGI、PHP、JSP、ASP、Servlet,SHTML等输出的网页也能进行压缩,压缩效率也很高。

 2.1.6 管理AJP端口

AJP是为 Tomcat 与 HTTP 服务器之间通信而定制的协议,能提供较高的通信速度和效率。如果tomcat前端放的是apache的时候,会使用到AJP这个连接                      器。 默认是开启的。如果不使用apache,注释该连接器。

实例:

[html] view plain copy

  1. <span style="font-family:Microsoft YaHei;">                             <!--<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />--></span>

2.2 JVM

推荐阅读:https://github.com/judasn/Linux-Tutorial/blob/master/Tomcat-Install-And-Settings.md

2.3 应用程序部署

默认tomcat是root身份运行的,这样不安全。不要使用root用户启动tomcat。Java程序与C程序不同。nginx,httpd 使用root用户启动守护80端口,子进程/线程会通过setuid(),setgid()两个函数切换到普通用户。即父进程所有者是root用户,子进程与多线程所有者是一个非root用户,这个用户没有shell,无法通过ssh与控制台登陆系统,Java 的JVM 是与系统无关的,是建立在OS之上的,你使用什么用户启动Tomcat,那麽Tomcat 就会继承该所有者的权限。为了防止 Tomcat 被植入 web shell 程序后,可以修改项目文件。因此我们要将 Tomcat 和项目的属主做分离,这样子,即便被搞,他也无法创建和编辑项目文件。

设置普通用户,用来启动tomcat


1

2

3

4

5

6

[[email protected] ~]# groupadd tomcat

[[email protected] ~]# useradd -g tomcat tomcat

[[email protected] ~]# passwd tomcat

[[email protected] ~]# chown tomcat.tomcat -R /usr/local/tomcat

[[email protected] ~]# su - tomcat /usr/local/tomcat/bin/startup.sh

[[email protected] ~]# echo ‘su - tomcat -c "tomcat /usr/local/tomcat/bin/startup.sh"‘ >> /etc/rc.local  #开机启动

 

 

参考资料:

https://github.com/judasn/Linux-Tutorial/blob/master/Tomcat-Install-And-Settings.md

http://nolinux.blog.51cto.com/4824967/1608940

centos7设置防火墙:http://stackoverflow.com/questions/24729024/centos-7-open-firewall-port

JVM模型:http://xmuzyq.iteye.com/blog/599750

来源:http://blog.csdn.net/our_sky/article/details/51362676

时间: 2024-10-22 07:19:59

Tomcat8安装, 安全配置与性能优化的相关文章

nginx配置 之 性能优化

nginx配置 之 性能优化 性能优化相关的配置 1.worker_processes number | autoworker进程的数量:通常应该为当前主机的cpu的物理核心数auto 表示和CPU内核相关,有几个内核,就会开启几个进程 2.worker_cpu_affinity cpumask ...worker_cpu_affinity auto [cpumask] 提高缓存命中率CPU MASK: 00000001:0号CPU00000010:1号CPU10000000:8号CPUwork

mysql配置以及性能优化(转)

MySQL配置文件my.cnf中文详解,附mysql性能优化方法分享 ================================================================================================= Mysql参数优化对于新手来讲,是比较难懂的东西,其实这个参数优化,是个很复杂的东西,对于不同的网站,及其在线量,访问量,帖子数量,网络情况,以及机器硬件配置都有关系,优化不可能一次性完成,需要不断的观察以及调试,才有可能得到最佳效果

mysql配置以及性能优化

MySQL配置文件my.cnf中文详解,附mysql性能优化方法分享 ================================================================================================= Mysql参数优化对于新手来讲,是比较难懂的东西,其实这个参数优化,是个很复杂的东西,对于不同的网站,及其在线量,访问量,帖子数量,网络情况,以及机器硬件配置都有关系,优化不可能一次性完成,需要不断的观察以及调试,才有可能得到最佳效果

Nginx作为WEB服务相关配置(性能优化,网络连接,访问控制,虚拟主机,https等等)

编译安装nginx yum -y install pcre-devel groupadd -r nginx useradd -g nginx -r nginx tar xf nginx-1.6.2.tar.gz cd nginx-1.6.2 ./configure --prefix=/usr/local/nginx --conf-path=/etc/nginx/nginx.conf--user=nginx --group=nginx --error-log-path=/var/log/nginx

Tomcat安全配置与性能优化

Tomcat 是 Apache软件基金会下的一个免费.开源的WEB应用服务器,它可以运行在 Linux 和 Windows 等多个平台上,由于其性能稳定.扩展性好.免费等特点深受广大用户喜爱.目前,很多互联网应用和企业应用都部署在 Tomcat 服务器上,比如我们公司,哈. 之前我们 tomcat 都采用的是默认的配置,因此在安全方面还是有所隐患的.上周对测试环境的所有服务器的tomcat都做了安全优化,其间也粗略做了一些性能优化,这里就简单记录分享下! 一.版本安全 升级当前的tomcat版本

大数据技术之_29_MySQL 高級面试重点串讲_02_Mysql 简介+Linux 版的安装+逻辑架构介绍+性能优化+性能分析+查询截取分析+分区分库分表简介+锁机制+主从复制

第1章 Mysql 简介1.1 概述1.2 高级 MySQL第2章 Mysql Linux 版的安装2.1 下载地址2.2 检查当前系统是否安装过 mysql2.3 修改 Mysql 配置文件位置2.4 修改字符集和数据存储路径2.5 MySQL 的安装位置说明2.6 Mysql 配置文件说明2.7 Mysql 的数据存放目录第3章 Mysql 逻辑架构介绍3.1 总体概览3.2 查询说明第4章 Mysql 性能优化4.1 影响 mysql 的性能因素4.2 查询与索引优化分析4.2.1 性能下

nginx全局配置和性能优化

nginx目录结构和命令 1.ls /apps/nginx/:         html是测试页,sbin是主程序 2.ls /apps/nginx/sbin/:  nginx 只有一个程序文件 3.ls /apps/nginx/html/:  50x.html index.html 测试网页 ?nginx:默认为启动nginx -h 查看帮助选项 -V 查看版本和配置选项 -t 测试nginx语法错误 -c filename 指定配置文件(default: /etc/nginx/nginx.c

Nginx基本配置、性能优化指南

本文引用http://www.chinaz.com/web/2015/0424/401323.shtml. 大多数的Nginx安装指南告诉你如下基础知识——通过apt-get安装,修改这里或那里的几行配置,好了,你已经有了一个Web服务器了!而且,在大多数情况下,一个常规安装的nginx对你的网站来说已经能很好地工作了.然而,如果你真的想挤压出nginx的性能,你必须更深入一些.在本指南中,我将解释Nginx的那些设置可以微调,以优化处理大量客户端时的性能.需要注意一点,这不是一个全面的微调指南

绝对详细!Nginx基本配置、性能优化指南

大多数的Nginx安装指南告诉你如下基础知识——通过apt-get安装,修改这里或那里的几行配置,好了,你已经有了一个Web服务器了!而且,在大多数情况下,一个常规安装的nginx对你的网站来说已经能很好地工作了.然而,如果你真的想挤压出nginx的性能,你必须更深入一些.在本指南中,我将解释Nginx的那些设置可以微调,以优化处理大量客户端时的性能.需要注意一点,这不是一个全面的微调指南.这是一个简单的预览——那些可以通过微调来提高性能设置的概述.你的情况可能不同. 基本的 (优化过的)配置