Tomcat学习总结（11）——Linux下的Tomcat安全优化

1、web.xml配置及修改：

站点默认主页：

<welcome-file-list>

<welcome-file>index.html</welcome-file>

<welcome-file>index.htm</welcome-file>

<welcome-file>index.jsp</welcome-file>

</welcome-file-list>

404及500设置

<error-page>

<error-code>404</error-code>

<location>/404.html</location>

</error-page>

<error-page>

<error-code>500</error-code>

<location>/500.html</location>

</error-page>

默认会话超时时间：

<session-config>

<session-timeout>60</session-timeout>

</session-config>

禁止列表目录结构：

<init-param>

<param-name>listings</param-name>

<param-value>false</param-value>

</init-param>

2、server.xml配置安全修改

<Server port="8005" shutdown="SHUTDOWN">

把SHUTDOWN改成forevernotdown，端口也可自行修改

3、修改或隐藏默认Tomcat的版本信息

类似于nginx的server_tokens off ,tomcat也可以隐藏版本号，具体步骤如下：

cd apache-tomcat-7.0.59/lib

mkdir test

cd test

jar xf ../catalina.jar

cat org/apache/catalina/util/ServerInfo.properties |grep -v '^$|#'

server.info=Apache Tomcat/7.0.59

server.number=7.0.59.0

vi org/apache/catalina/util/ServerInfo.properties

server.info=Tomcat

server.number=6

server.built=Jan 18 2013 14:51:10 UTC

jar cf ../catalina.jar ./*

rm -rf test

curl -I http://127.0.0.1:8080

4、删除$CATALINA_HOME/webapps下的不必要的目录

当Tomcat首次完成安装后，立即删除webapps下面的所有代码

rm -rf /srv/apache-tomcat/webapps/*

5、tomcat-users.xml该文件含有用户名、角色以及密码的清单文件，如果不需要web部署，生产环境需要注释掉：

# cat conf/tomcat-users.xml

<!--

<role rolename="tomcat"/>

<role rolename="role1"/>

<user username="tomcat" password="<must-be-changed>" roles="tomcat"/>

<user username="both" password="<must-be-changed>" roles="tomcat,role1"/>

<user username="role1" password="<must-be-changed>" roles="role1"/>

-->

6、server.xml线程数修改/热部署修改／

1）maxThreads 为Tomcat的最大线程数，minSpareThreads 初始化时创建的Socket线程数。如果连接过多，组建tomcat集群负载均衡处理

2）默认 Tomcat 是开启了对war包的热部署的。为了防止被植入木马等恶意程序，因此我们要关闭自动部署。

<Host name="localhost" appBase="webapps"

unpackWARs="false" autoDeploy="false">

7、多虚拟主机

强烈建议不要使用Tomcat的虚拟主机，每个站点一个实例。即，启动多个tomcat，虽然开销比较大，但保证了应用程序隔离与安全。

8、Tomacat虽然可以启用压缩通过compression="on" 来配置，但最好把它前置通过apache和nginx来统一处理

9、应用程序安全，Tomcat目录与应用程序部署分离

不建议用root启动，建议单独设置独立用户启动，把Tomcat目录的属主设置为指定用户，比如tomcat。

10、生产环境部署

apache+tomcat/nginx+tomcat,站点的默认主页和自定义错误页面，可在前端的apache或者nginx中做。

优化

Tomcat的运行模式有3种

1、bio

默认的模式,效率性能非常低。

2、nio

使用NIO在服务器端会有更好的性能，加强服务器端对并发处理的性能。 Tomcat8默认以nio模式运行，想运行在该模式下，直接修改server.xml里的Connector节点,修改protocol为

<Connector port="8080″

protocol="org.apache.coyote.http11.Http11NioProtocol"

connectionTimeout="20000"

URIEncoding="UTF-8"

useBodyEncodingForURI="true"

enableLookups="false"

redirectPort="8443">

重启tomcat ,就可以生效。

3、apr安装及优化

从操作系统级别来解决异步的IO问题,大幅度的提高性能。必须要安装apr和native，直接启动就支持apr修改protocol为org.apache.coyote.http11.Http11AprProtocol

安装apr

yum -y install apr apr-util apr-devel openssl-devel

安装native 进入tomcat/bin目录，比如：

cd /usr/local/tomcat/bin/

tar xzfv tomcat-native.tar.gz

cd tomcat-native-1.1.20-src/jni/native/

./configure --with-apr=/usr/bin/apr-1-config

make && make install

安装完成之后 会出现如下提示信息

Libraries have been installed in: /usr/local/apr/lib

安装成功后还需要对tomcat设置环境变量，方法是在setenv.sh文件中增加1行：

CATALINA_OPTS="-Djava.library.path=/usr/local/apr/lib"

或者：

export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/apr/lib

source /etc/profile

修改8080端对应的conf/server.xml

protocol="org.apache.coyote.http11.Http11AprProtocol"

启动tomcat之后，查看日志会有这一行信息，说明已经是APR模式启动了。INFO: APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].

4、内存参数优化

并发优化 1.JVM调优 新增文件TOMCAT_HOME/bin/setenv.sh如下语句，具体数值视情况而定。

JAVA_OPTS="-Xms1024m -Xmx1024m -Xss1024K -XX:PermSize=64m -XX:MaxPermSize=128m"

参数详解

-Xms JVM初始化堆内存大小 -Xmx JVM堆的最大内存 -Xss 线程栈大小 -XX:PermSize JVM非堆区初始内存分配大小 -XX:MaxPermSize JVM非堆区最大内存 建议和注意事项: -Xms和-Xmx选项设置为相同堆内存分配，以避免在每次GC 后调整堆的大小，堆内存建议占内存的60%~80%;非堆内存是不可回收内存，大小视项目而定;线程栈大小推荐256k.

32G内存配置如下：

JAVA_OPTS="-Xms20480m -Xmx20480m -Xss1024K -XX:PermSize=512m -XX:MaxPermSize=2048m"

5、.关闭DNS反向查询 在<Connector port=”8080″中加入如下参数

<Connector port="8081" protocol="HTTP/1.1"

connectionTimeout="6000" enableLookups="false" acceptCount="800"

redirectPort="8443" />

6、优化tomcat参数(使用APR)参考：

<Listener className="org.apache.catalina.core.AprLifecycleListener" />

...

<Connector port="8080"

protocol="org.apache.coyote.http11.Http11AprProtocol"

connectionTimeout="20000" //链接超时时长

redirectPort="8443"

maxThreads="500"

minSpareThreads="20"

acceptCount="1000"

enableLookups="false"

compression="on" //压缩传输，取值on|off|force，默认值off。

noCompressionUserAgents="gozilla, traviata"

compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain,,application/octet-stream"="2048"

URIEncoding="UTF-8"

server="office" />

升级版本一般将当前老版本 tomcat 的server.xml、catalina.sh、web.xml和tomcat-users.xml文件进行备份，然后部署完新版本的 tomcat 之后，将这些配置文件覆盖过去即可，然后停掉旧版本，启动新版本即可完成升级操作