Tomcat8安裝， 安全配置與性能優化

1、Tomcat 安裝

• 官網：http://tomcat.apache.org/
• Tomcat8官網下載地址：http://tomcat.apache.org/download-80.cgi
• 爲了便於文件管理，我的習慣  在/usr/local/目錄下建立 一個src目錄用於存放 軟件安裝包，在/usr 目錄下建立local文件夾用戶存放解壓文件 
• 下載安裝包： wget http://apache.fayea.com/tomcat/tomcat-8/v8.0.32/bin/apache-tomcat-8.0.32.tar.gz
• 解壓壓縮包： tar -zxvf apache-tomcat-8.0.32.tar.gz
• 移動解壓文件到 mv apache-tomcat-8.0.32/ /usr/local/
• 爲方便起見，可使用  mv /usr/local/apache-tomcat-8.0.32/ /usr/local/tomcat8/ 修改目錄名稱

 

設置端口防火牆：

   centos7如下版本設置方法： 

   方法一：便於測試，能夠先關閉關閉 iptables，防止端口攔截沒法進行測試：service iptables stop 

   方法二：在iptables中添加容許規則（如下以Tomcat默認端口8080爲例）,操做步驟以下：

              一、添加規則  sudo iptables -I INPUT -p tcp -m tcp --dport 8080 -j ACCEPT   

              二、保存規則： sudo /etc/rc.d/init.d/iptables save

              三、重啓iptables: sudo service iptables restart

 

centos7設置方法：

   firewall-cmd --zone=public --add-port=80/tcp --permanent

 

命令含義：

  --zone #做用域

  --add-port=80/tcp  #添加端口，格式爲：端口/通信協議

  --permanent   #永久生效，沒有此參數重啓後失效

 

重啓防火牆

  firewall-cmd --reload

      

Tomcat服務啓動中止：

      啓動tomcat：sh /usr/local/tomcat8/bin/startup.sh

 

      查看日誌：tail -200f /usr/local/tomcat8/logs/catalina.out

    

      中止tomcat: sh /usr/local/tomcat8/bin/shutdown.sh

 

2、Tomcat 安全配置與優化

2.1優化server.xml

2.1.1 隱藏版本信息

• 隱藏HTTP 頭部的版本信息 。   

 編輯server.xml: vi /usr/local/tomcat8/conf/server.xml 

爲Connector 添加 server 屬性:      

<span style="font-family:Consolas, Liberation Mono, Menlo, Courier, monospace;">                </span><span style="font-family:Microsoft YaHei;"> <Connector port="8080" protocol="HTTP/1.1"  
                                          connectionTimeout="20000"  
                                          redirectPort="8443" server="APP Srv1.0"/></span> 

　　

• 隱藏404頁面出現的版本號

針對該信息的顯示是由一個jar包控制的，該jar包存放在 Tomcat 安裝目錄下的lib目錄下，名稱爲 catalina.jar。

咱們能夠經過 jar xf 命令解壓這個 jar 包會獲得兩個目錄 META-INF 和 org ,經過修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段來實現來更改咱們tomcat的版本信息。

文件信息以下：

[root@localhost ~]#  cat /usr/local/tomcat8/lib/org/apache/catalina/util/ServerInfo.properties |grep -v '^$|#'

server.info=Apache Tomcat /8 .0.23

server.number=8.0.23.0

server.built=Mar 18 2016 20:31:49 UTC

 

還有另一種方法來實現隱藏或假裝Tomcat的版本信息，其本質和上面同樣，操做以下：

[root@localhost ~] # cd /usr/local/tomcat8/lib

[root@localhost lib] # mkdir -p org/apache/catalina/util

[root@localhost lib] # cd org/apache/catalina/util

[root@localhost util] # vim ServerInfo.properties

server.info=nolinux         # 若是想修改爲其它版本號，把這個地方的值改爲其它值就好了

2.1.2禁用Tomcat管理界面

生產環境通常不適用Tomcat默認的管理界面，這些頁面存放在Tomcat 的webapps安裝目錄下，

把該目錄下的全部文件刪除便可：rm -rf  /usr/local/tomcat8/webapps/*

另外刪除相關的配置文件 host-manager.xml 和 manager.xml，在Tomcat 安裝目錄 conf/Catalina/localhost目錄下。

註釋或刪除tomcat_user.xml 中的全部用戶權限。

2.1.3  應用程序安全

tomcat默認 開啓了對war熱部署。爲了防止被植入木馬惡意攻擊，咱們要關閉war包自動部署。

關閉自動加載最新代碼（設置reloadable）

 

修改實例：     

<Host name="localhost"  appBase="webapps"    
  unpackWARs="false" autoDeploy="false"     
   reloadable="false">  

2.1.4 更改關閉Tomcat的指令

server.xml中定義了能夠直接關閉 Tomcat 實例的管理端口。咱們經過 telnet 鏈接上該端口以後，輸入 SHUTDOWN （此爲默認關閉指令）便可關閉 Tomcat 實例（注意，此時雖然實例關閉了，可是進程仍是存在的）。因爲默認關閉 Tomcat 的端口和指令都很簡單。默認端口爲8005，指令爲SHUTDOWN 。所以咱們須要將關閉指令修改複雜一點。

固然，在新版的 Tomcat 中該端口僅監聽在127.0.0.1上，所以你們也沒必要擔憂。除非黑客登錄到tomcat本機去執行關閉操做。

修改實例：

<Server port="8005" shutdown="9SDKJ29jksjf23sjf0LSDF92JKS9DKkjsd">

或者禁用8005端口

<Server port="-1" shutdown="SHUTDOWN">

 

2.1.5 鏈接池配置

使用線程池，用較少的線程處理較多的訪問，能夠提升tomcat處理請求的能力。

編輯配置文件 server.xml : vi  /usr/local/tomcat8/conf/server.xml

2.1.5.1 打開被註釋的默認鏈接池配置

 默認配置：  　　

<!--  
             <Executor name="tomcatThreadPool" namePrefix="catalina-exec-"  
                    maxThreads="150" minSpareThreads="4"/>  
                 -->  

修改實例：

<Executor name="tomcatThreadPool" namePrefix="catalina-exec-"  
            maxThreads="500" minSpareThreads="30" maxIdleTime="60000"
prestartminSpareThreads="true" maxQueueSize="100"/>

　　

參數講解：

• name: 線程名稱
• namePrefix: 線程前綴
• maxThreads，最大併發數，默認設置 200，通常建議在 500 ~ 800，根據硬件設施和業務來判斷
• minSpareThreads，Tomcat 初始化時建立的線程數，默認設置 25
• prestartminSpareThreads，在 Tomcat 初始化的時候就初始化 minSpareThreads 的參數值，若是不等於 true，minSpareThreads 的值就沒啥效果了
• maxQueueSize，最大的等待隊列數，超過則拒絕請求
• maxIdleTime，若是當前線程大於初始化線程，那空閒線程存活的時間，單位毫秒，默認60000=60秒=1分鐘。

 

2.1.5.2 修改連接配置

默認配置：

<Connector port="8080" protocol="HTTP/1.1"  
              connectionTimeout="20000"  
              redirectPort="8443" />  

修改配置：

<Connector port="8080" protocol="org.apache.coyote.http11.Http11Nio2Protocol"  
        connectionTimeout="20000"
        maxConnections="10000"  
        redirectPort="8443"   
        executor="tomcatThreadPool"  
        enableLookups="false"   
        acceptCount="100"   
        maxPostSize="10485760"
        maxHttpHeaderSize="8192"   
        compression="on"   
        disableUploadTimeout="true"   
        compressionMinSize="2048"   
        noCompressionUserAgents="gozilla, traviata"   
        acceptorThreadCount="2"   
        compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript"   
        URIEncoding="utf-8"/>  

　　

 參數講解：

•   port：鏈接端口。  
•   protocol：鏈接器使用的傳輸方式。  Tomcat 8 設置 nio2 更好：org.apache.coyote.http11.Http11Nio2Protocol    
•   protocol：Tomcat 六、7 設置 nio 更好：org.apache.coyote.http11.Http11NioProtocol      

注：

每一個web客戶端請求對於服務器端來講就一個單獨的線程，客戶端的請求數量增多將會致使線程數就上去了，CPU就忙着跟線程切換。

而NIO則是使用單線程(單個CPU)或者只使用少許的多線程(多CPU)來接受Socket，而由線程池來處理堵塞在pipe 或者隊列裏的請求.這樣的話，只要OS能夠接受TCP的鏈接，web服務器就能夠處理該請求。大大提升了web服務器的可伸縮性。   

•  executor： 鏈接器使用的線程池名稱
•  enableLookups：禁用DNS  查詢 
•  acceptCount：指定當全部可使用的處理請求的線程數都被使用時，能夠放處處理隊列中的請求數，超過這個數的請求將不予處理，默認設置 100 。
•  maxPostSize：限制 以FORM URL 參數方式的POST請求的內容大小，單位字節，默認是 2097152(2兆)，10485760 爲 10M。若是要禁用限制，則能夠設置爲 -1。
•  maxHttpHeaderSize，http請求頭信息的最大程度，超過此長度的部分不予處理。通常8K。
•  acceptorThreadCount： 用於接收鏈接的線程的數量，默認值是1。通常這個指須要改動的時候是由於該服務器是一個多核CPU，若是是多核 CPU 通常配置爲 2。
•  compression：傳輸時是壓縮。
•  compressionMinSize：壓縮的大小
•  noCompressionUserAgents：不啓用壓縮的瀏覽器

提示：

壓縮會增長Tomcat負擔，最好採用Nginx + Tomcat 或者 Apache + Tomcat 方式，壓縮交由Nginx/Apache 去作。 

Tomcat 的壓縮是在客戶端請求服務器對應資源後，從服務器端將資源文件壓縮，再輸出到客戶端，由客戶端的瀏覽器負責解壓縮並瀏覽。相對於普通的 瀏覽過程 HTML、CSS、Javascript和Text，它能夠節省40% 左右的流量。更爲重要的是，它能夠對動態生成的，包括CGI、PHP、JSP、ASP、Servlet,SHTML等輸出的網頁也能進行壓縮，壓縮效率也很高。

 

2.1.6 管理AJP端口

 AJP是爲 Tomcat 與 HTTP 服務器之間通訊而定製的協議，能提供較高的通訊速度和效率。若是tomcat前端放的是apache的時候，會使用到AJP這個鏈接器。 默認是開啓的。若是不使用apache，註釋該鏈接器。

實例：            

 

<span style="font-family:Microsoft YaHei;">                             <!--<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />--></span>  

　　

2.2 JVM

推薦閱讀： https://github.com/judasn/Linux-Tutorial/blob/master/Tomcat-Install-And-Settings.md

 

   

2.3 應用程序部署

默認tomcat是root身份運行的，這樣不安全。不要使用root用戶啓動tomcat。Java程序與C程序不一樣。nginx,httpd 使用root用戶啓動守護80端口，子進程/線程會經過setuid(),setgid()兩個函數切換到普通用戶。即父進程全部者是root用戶，子進程與多線程全部者是一個非root用戶，這個用戶沒有shell，沒法經過ssh與控制檯登錄系統，Java 的JVM 是與系統無關的，是創建在OS之上的，你使用什麼用戶啓動Tomcat，那麼Tomcat 就會繼承該全部者的權限。爲了防止 Tomcat 被植入 web shell 程序後，能夠修改項目文件。所以咱們要將 Tomcat 和項目的屬主作分離，這樣子，即使被搞，他也沒法建立和編輯項目文件。 

設置普通用戶，用來啓動tomcat

[root@localhost ~]# groupadd tomcat
[root@localhost ~]# useradd -g tomcat tomcat
[root@localhost ~]# passwd tomcat
[root@localhost ~]# chown tomcat.tomcat -R /usr/local/tomcat8
[root@localhost ~]# su - tomcat /usr/local/tomcat8/bin/startup.sh
[root@localhost ~]# echo 'su - tomcat -c "tomcat /usr/local/tomcat8/bin/startup.sh"' >> /etc/rc.local  #開機啓動