Tomcat的常用设置
当我们公司使用tomcat作为web应用服务器的规模越来越大,为保证Tomcat配置安全,防止信息泄露,恶意攻击以及配置的安全规范,特制定此Tomcat安全配置规范.本文章从别处转载并做了补充
Tomcat用户设置
useradd -d /tomcat -u 501 tomcat
echo "123" |passwd --stdin tomcat
su - tomcat
id tomcat
# uid=501(tomcat) gid=1000(tomcat) groups=1000(tomcat)
pwd
# /tomcat
Tomcat配置
wget https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-8/v8.5.55/bin/apache-tomcat-8.5.55.tar.gz
tail -5 .bash_profile
JAVA_HOME=/usr/local/jdk
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export CATALINA_HOME=/usr/local/tomcat
应用程序配置
mkdir webapps
tar xvf apache-tomcat-8.5.55.tar.gz -C /tomcat/webapps/
/tomcat/webapps/apache-tomcat-8.5.55/bin/startup.sh
安全设置规范
telnet管理端口保护(强制)
ajp链接端口保护(推荐)
禁用管理端(强制)
tomcat/webapps/*
tomcat/conf/tomcat-user.xml
降权启动(强制)
文件列表访问控制(强制)
版本信息隐藏(强制)
Server header重写(推荐)
访问限制(可选)
起停脚本权限回收(推荐)
chmod 744 –R tomcat/bin/*
访问日志格式规范(推荐)
屏蔽DNS查询
enableLookups: 调用request,getRemoteHost()执行DNS查询,以返回远程主机的主机名,如果设置为false,
<Connector enableLookups="false"/>
压缩管理
tomcat作为一个应用服务器,也是支持 gzip 压缩功能的。我们可以在 server.xml 配置文件中的 Connector 节点中配置如下参数,来实现对指定资源类型进行压缩。 前端使用nginx作为反向代理,一般不需要启用tomcat压缩功能。
compression="on" # 打开压缩功能
compressionMinSize="50" # 启用压缩的输出内容大小,默认为2KB
noCompressionUserAgents="gozilla,traviata" # 对于以下的浏览器,不启用压缩
compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain" # 哪些资源类型需要压缩
server.xml配置
<Server port="8527" shutdown=" dangerous">
<!--Define a non-SSL HTTP/1.1Connector on port 8080-->
<Connector port="8080" server="webserver"/>
<!--Define an AJP 1.3Connector on port 8528-->
<!--Define an accesslog -->
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt"
pattern="%h %l %u %t %r %s %b %{Referer}i %{User-Agent}i %D" resolveHosts="false"/>
<Connector port="8528" protocol="AJP/1.3"/>
<Context path="" docBase="/home/work/local/tomcat_webapps" debug="0" reloadable="false" crossContext="true"/>
web.xml配置
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<error-page>
<error-code>403</error-code>
<location>/forbidden.jsp</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/notfound.jsp</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/systembusy.jsp</location>
</error-page>
安全优化
# 降权启动
# telnet管理端口保护
# ajp链接端口保护
# 禁用管理端
# 可以看上面
Tomcat本身优化
# 1.首先对代码进行动静分离,让Tomcat只负责Jsp文件的解析工作。
# 2.Connector连接器配置:
# Bio,Nio和APR,三种方式性能差别很大,APR性能最好;
性能优化
屏蔽DNS查询
<Connector port="8081" protocol="HTTP/1.1" connectionTimeout="6000" enableLookups="false" acceptCount="800" redirectPort="8443" />
JVM调优
Tomcat最吃内存,只要内存足够,就跑的快,但是听说超过32G可能性能有些不稳定,可以开多实例
.
如果系统资源有限,那就需要条鱼哦,提高资源使用率
.
优化catalina.sh配置文件,再catlina.sh配置文件添加如下代码
JAVA_OPTS="-Djava.awt.headless=true -Dfile.encoding=UTF-8 -server -Xms1024m -Xmx1024m -XX:NewSize=512m -XX:MaxNewSize=512m -XX:PermSize=512m -XX:MaxPermSize=512m"
server:一定要作为第一个参数,在多个CPU时性能佳
-Xms:初始堆内存Heap大小,使用的最小内存,cpu性能高时此值应设的大一些
-Xmx:初始堆内存heap最大值,使用的最大内存
上面两个值是分配JVM的最小和最大内存,取决于硬件物理内存的大小,建议均设为物理内存的一半。
-XX:PermSize:设定内存的永久保存区域
-XX:MaxPermSize:设定最大内存的永久保存区域
-XX:MaxNewSize:
-Xss 15120 这使得JBoss每增加一个线程(thread)就会立即消耗15M内存,而最佳值应该是128K,默认值好像是512k.
+XX:AggressiveHeap 会使得 Xms没有意义。这个参数让jvm忽略Xmx参数,疯狂地吃完一个G物理内存,再吃尽一个G的swap。
-Xss:每个线程的Stack大小
-verbose:gc 现实垃圾收集信息
-Xloggc:gc.log 指定垃圾收集日志文件
-Xmn:young generation的heap大小,一般设置为Xmx的3、4分之一
-XX:+UseParNewGC :缩短minor收集的时间
-XX:+UseConcMarkSweepGC :缩短major收集的时间
设置JVM相关运行的参数
1.32位系统jvm对内存限制不能突破2G,
2.-server: 第一个参数,多个CPU时性能佳,还有一种-client的模式,特点是启动速度比较快,但运行时性能和内存管理效率不高,通常用于客户端应用程序或者开发调试,32位环境默认该模式。 server模式特点: 启动速度比较慢,但运行时性能和内存管理效率很高,适用于生产环境,64位jdk环境默认该模式;
3.-Xms: 表示java初始化堆的大小,-Xms与-Xmx设定一样的值,避免JVM反复申请内存,导致性能大起大落,默认为物理内存物理内存1/64,,默认空闲堆内存小于40%,jvm就会增大堆直到-Xmx的最大限制;
4.-Xmx: 表示最大java堆大小,当应用程序需要的内存超过堆的最大值就会提示内存溢出,并且导致应用服务器崩溃,因此一般建议最大值设置为可用内存最大值的80%;
使用java -Xmx512M -version命令测试,逐步增大512值,执行正常就表示指定的内存大小可用,否则打印错误信息;5.-Xss: 表示每个java线程堆栈大小,JDK5.0以后每个线程堆栈大小为1M,以前每个线程堆栈大小为256k,根据应用线程所需内存大小进行调整,相同物理内存下,减少这个值能生成更多的线程,但是操作系统对一个进程内的线程数有限制,一般小的应用,如果栈不是很深,128k够用的,大的256或512,一般不易超过1M,要不然容易出现out ofmemory,性能影响很大,需要严格测试;
Tomcat内存优化
Tomcat内存优化主要是对tomcat启动参数优化,我们可以在tomcat的启动脚本 catalina.sh设置java_OPTS参数
JAVA_OPTS参数说明
-server 启用jdk 的 server 版;
-Xms java虚拟机初始化时的最小内存;
-Xmx java虚拟机可使用的最大内存;
-XX: PermSize 内存永久保留区域
-XX:MaxPermSize 内存最大永久保留区域
Tomcat配置优化
server.xml优化,大大提高Tomcat处理请求的能力
1.默认配置下,Tomcat会为每个连接器创建一个绑定的线程池,最大200,服务器启动默认创建5个空闲进程随时等待用户请求。
2.Tomcat7在开启线程池前,一定要安装Apr库,并可以启用,否则有错误报出,shutdown.sh脚本无法关闭进程;
3.最大线程500,根据自己实际情况合理设置,越大越耗费内存和CPU,因为CPU疲于线程上下文切换,没有精力提供服务了,最小空闲线程数20,线程最大空闲时间60秒,允许最大线程数还受制于操作系统的内核参数设置,根据自己需求和环境;
4.Connection<肯莱克行> Timeout; 网络连接超时,设置为0表示永不超时,有隐患,通常30000毫秒,根据实际情况,适当修改;
5.DisableUploadTimout: <滴虽播,啊谱楼的,> 上传时是否启用超时机制;
6.ConnectionUploadTimeout: <>上传超时时间,根据业务自己调,
7.keepalive<K普林>timeout: 表示下次请求过来之前,Tomcat保持该连接多久,一般使用Connection Timeout时间8.compression: 是否对响应数据进行Gzip压缩,压缩后数据可以有效减少页面大小,一般可以减少1/3左右,节省宽带;
9.compression<肯坡逊 >MinSize: 表示压缩响应的最小值,只有当响应报文大小大于这个值的时候才会对报文进行压缩;指定压缩类型,对那些类型文件进行数据压缩,但是配置了动静分离,也就不需要配置压缩了;因为静态页面和图片录音数据不需要Tomcat处理了;
服务器参数配置
现公司服务器内存一般可以加到最大2G,所以可以采取以下配置:
JAVA_OPTS=’-Xms1024m -Xmx2048m -XX: PermSize=256M -XX:MaxNewSize=256m -XX:MaxPermSize=256m’
Tomcat并发优化
1 . Tomcat连接相关参数
在Tomcat配置文件的server.xml中的
<Connector port="9027"
protocol="HTTP/1.1"
maxHttpHeaderSize="8192"
minProcessors="100"
maxProcessors="1000"
acceptCount="1000"
redirectPort="8443"
disableUploadTimeout="true"/>
2 . 调整连接器connector的并发连接能力
1>参数说明
maxThreads 客户请求最大线程数
minSpareThreads Tomcat初始化时创建的 socket 线程数
maxSpareThreads Tomcat连接器的最大空闲 socket 线程数
enableLookups 若设为true,则支持域名解析,可把 ip 地址解析为主机名
redirectPort 在需要基于安全通道的场合,把客户请求转发到基于SSL 的 redirectPort 端口
acceptAccount 监听端口队列最大数,满了之后客户请求会被拒绝(不能小于maxSpareThreads )
connectionTimeout 连接超时
minProcessors 服务器创建时的最小处理线程数
maxProcessors 服务器同时最大处理线程数
URIEncoding URL统一编码
2>Tomcat中的配置示例
<Connector port="9027"
protocol="HTTP/1.1"
maxHttpHeaderSize="8192"
maxThreads="1000"
minSpareThreads="100"
maxSpareThreads="1000"
minProcessors="100"
maxProcessors="1000"
enableLookups="false"
URIEncoding="utf-8"
acceptCount="1000"
redirectPort="8443"
disableUploadTimeout="true"/>
3 . Tomcat缓存优化
1>参数说明
c ompression 打开压缩功能
compressionMinSize 启用压缩的输出内容大小,这里面默认为2KB
compressableMimeType 压缩类型
connectionTimeout 定义建立客户连接超时的时间. 如果为 -1,表示不限制建立客户连接的时间
2>Tomcat中的配置示例
<Connector port="9027"
protocol="HTTP/1.1"
maxHttpHeaderSize="8192"
maxThreads="1000"
minSpareThreads="100"
maxSpareThreads="1000"
minProcessors="100"
maxProcessors="1000"
enableLookups="false"
compression="on"
compressionMinSize="2048"
compressableMimeType="text/html,text/plain"
connectionTimeout="20000"
URIEncoding="utf-8"
acceptCount="1000"
redirectPort="8443"
disableUploadTimeout="true"/>
参考配置
参考旧的配置
<Connector port="9027"
protocol="HTTP/1.1"
maxHttpHeaderSize="8192"
maxThreads="1000"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
compression="on"
compressionMinSize="2048"
compressableMimeType="text/html,text/plain"
connectionTimeout="20000"
URIEncoding="utf-8"
acceptCount="200"
redirectPort="8443"
disableUploadTimeout="true" />
后来发现在访问量达到3 百万多的时候出现性能瓶颈。
2>更改后的配置
<Connector port="9027"
protocol="HTTP/1.1"
maxHttpHeaderSize="8192"
maxThreads="1000"
minSpareThreads="100"
maxSpareThreads="1000"
minProcessors="100"
maxProcessors="1000"
enableLookups="false"
compression="on"
compressionMinSize="2048"
compressableMimeType="text/html,text/plain"
connectionTimeout="20000"
URIEncoding="utf-8"
acceptCount="1000"
redirectPort="8443"
disableUploadTimeout="true"/>
Tomcat升级
war包迁移
把tomcat/webapps目录下war包复制到新tomcat/webapps目录下
数据源配置
检查tomcat/conf/目录下context.xml以及server.xml是否配置了数据源,如果有也需要在新tomcat里配置一遍
tomcat-redis-session配置
分布式部署需要session会话共享,在tomcat里直接集成tomcat-redis-session是一种解决方案,所以需要检查旧tomcat是否配置了这个
1.检查方法
检查tomcat/conf/context.xml有没有配置redis数据源,如果没有配置表示没有启用redis管理session,如果配置了那么新tomcat中也要配置一下。
2.配置方法
tomcat大版本相同,直接复制旧tomcat/lib目录下commons-logging,commons-pool,tomcat-redis-session,jedis这几个jar包到新tomcat下,复制旧tomcat/conf/context.xml里的配置到新tomcat/conf/context.xml下
java虚拟机配置
检查配置文件tomcat/bin/catalina.bat(windows平台),ltomcat/bin/catalina.sh(inux平台)是否配置了JAVA_OPTS,如果有那么新tomcat里也需要配置下。
tomcat管理账号密码
主要用来可视化部署war包
检查配置文件tomcat/conf/tomcat-users.xml,如果配置了,那么新tomcat也需要配置一下
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。