Tomcat 安全配置與性能優化

Tomcat 是 Apache軟件基金會下的一個免費、開源的WEB應用服務器,它可以運行在 Linux 和 Windows 等多個平臺上,由於其性能穩定、擴展性好、免費等特點深受廣大用戶喜愛。目前,很多互聯網應用和企業應用都部署在 Tomcat 服務器上,比如我們公司,哈。

       之前我們 tomcat 都採用的是默認的配置,因此在安全方面還是有所隱患的。上週對測試環境的所有服務器的tomcat都做了安全優化,其間也粗略做了一些性能優化,這裏就簡單記錄分享下!


一、版本安全

       升級當前的tomcat版本爲最新穩定版本。故名思議,最新穩定版本就要兼顧最新和穩定這兩個概念。一個穩定的版本,是需要時間沉澱的,而最新又是相對於穩定版而言的最新。因此我們一般會選擇當前大版本中,最新版本往前推幾個版本或者往前推幾個月出的版本。

       目前,企業常用的tomcat大版本爲6.0和7.0版本,8.0版本雖然已經出了很久了,但是仍然不建議使用。

       在升級版本中,需要注意的事情有兩點:

       1、儘量避免跨大版本的升級

       2、將當前老版本 tomcat 的server.xml、catalina.sh、web.xml和tomcat-users.xml文件進行備份,然後部署完新版本的 tomcat 之後,將這些配置文件覆蓋過去即可,然後停掉舊版本,啓動新版本即可完成升級操作。


二、隱藏版本信息

       爲了避免***針對某些版本進行***,因此我們需要隱藏或者僞裝 Tomcat 的版本信息。

       默認 Tomcat 的版本信息如下:

wKioL1THggbTLhhwAACiJ-DsJNk917.jpg

       針對該信息的顯示是由一個jar包控制的,該jar包存放在 Tomcat 安裝目錄下的lib目錄下,名稱爲 catalina.jar。

       我們可以通過 jar xf 命令解壓這個 jar 包會得到兩個目錄 META-INF 和 org ,通過修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段來實現來更改我們tomcat的版本信息。

文件信息如下:

1
2
3
4
5
6
7
8
9
10
[root@localhost ~]#  cat org/apache/catalina/util/ServerInfo.properties |grep -v '^$|#'
server.info=Apache Tomcat/7.0.53
server.number=7.0.53.0
server.built=Mar 25 2014 06:20:16
當然,還有另外一種方法來實現隱藏或僞裝Tomcat的版本信息,不過本質和上面一樣,操作如下:
[root@localhost ~]# cd /usr/local/apache-tomcat-7.0.53/lib
[root@localhost lib]# mkdir -p org/apache/catalina/util
[root@localhost lib]# cd org/apache/catalina/util
[root@localhost util]# vim ServerInfo.properties
server.info=nolinux        # 如果想修改成其它版本號,把這個地方的值改成其它值就行了

修改完畢之後,重啓 Tomcat即可看到效果!

效果如下:

wKiom1THgTXRjNmjAACVmIAPnIw396.jpg

三、優化 web.xml

        servlet與其它適用於整個Web應用程序設置的配置文件,必須符合servlet規範的標準格式。通過它可以配置你web應用的相關選項,tomcat在啓動的時候會讀取這個文件,完成你開發的系統的一些初始化操作。

它可以做如下事情: 

        1、提供基於 servlet 的相關配置

        2、增加監聽器,監控session或在tomcat啓動時,加載一些你希望加載的資源。比如創建數據庫連接池等等

        3、設置session過期時間,tomcat默認是30分鐘

        4、更改應用的默認網頁,常用爲index.html/index.jsp等

        5、增加過濾器,做一些你希望的過濾操作,比如敏感詞彙的過濾

        6、增加一些 jstl(標準標籤庫)的定義,方便在jsp中直接includ進來,直接使用這些標籤

        7、struts,spring或hibernate的一些配置等等

下面摘錄下O'REILLY 的《Tomcat 權威指南》中的一段話:

       web.xml 的文件格式定義在 Servlet 規範中,因此所有符合 Servlet 規範的 Java Servlet Container 都會用到它。當 Tomcat 部署應用程序時(在激活過程中,或加載應用程序後),它都會讀取通用的conf/web.xml,然後再讀取web應用程序中的WEB-INF/web.xml。其實根據他們的位置,我們就可以知道,conf/web.xml文件中的設定會應用於所有的web應用程序,而某些web應用程序的WEB-INF/web.xml中的設定只應用於該應用程序本身。
       如果沒有WEB-INF/web.xml文件,tomcat會輸出找不到的消息,但仍然會部署並使用web應用程序,servlet規範的作者想要實現一種能迅速並簡易設定新範圍的方法,以用作測試,因此,這個web.xml並不是必要的,不過通常最好還是讓每一個上線的web應用程序都有一個自己的WEB-INF/web.xml,即使它只用做識別,但我想這是一個好的習慣。

       由於Servlet規範主要是對於web程序員,而非系統管理員使用的。因此,對於運維來講,我們可能更關心的是站點的默認網頁、自定義錯誤頁面、禁止列目錄等功能。

       由於,正常生產環境中,肯定不會直接由tomcat對公網提供服務,前端肯定放的有apache或者nginx。因此,針對站點的默認主頁和自定義錯誤頁面,我們均在前端的apache或者nginx中做。另外,公司也可能交由程序猿在項目內的WEB-INF/web.xml中去做定義。

       在tomcat新版本中,自動默認已經禁止列目錄功能。

       下面,我列出幾種常見功能,在web.xml中的表現形式:

站點默認主頁:

wKiom1THgX2yR-5kAACrCs_ImBs054.jpg

自定義錯誤頁面:

spacer.gifwKioL1THglzzidkDAACeimCxejE470.jpg

定義會話超時時間:

spacer.gifwKiom1THgX7gU_c9AABUIfdPmYE558.jpg

禁止列目錄:

spacer.gifwKioL1THgl2goCXFAAFWSl0ysxs201.jpg


四、優化 tomcat-user.xml

       該文件含有用戶名、角色以及密碼的清單文件。負責提供webapps下manager項目的登錄認證管理。

       在生產環境中,我們需要將該文件全部註釋。

       註釋效果如下:

spacer.gifwKiom1THgX6zBiIKAAI3e77oT-w339.jpg


五、優化 server.xml

       Tomcat的主配置文件,該文件中包含很多主要元素,比如Service、Connector、Host等,這些元素都會創建軟件"對象"、排序及進程管道中設置的這些元素嵌套方,使我們可以執行過濾、分組等工作。

       如果要對改文件做優化,我們需要先了解該文件的結構!

       server.xml的結構圖:

wKiom1THgX6CdvJRAADYw0nW4Dw501.jpg

      該文件描述瞭如何啓動Tomcat Server 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<Server>
    <Listener />
    <GlobaNamingResources>
    </GlobaNamingResources
    <Service>
        <Connector />
        <Engine>
            <Logger />
            <Realm />
               <host>
                   <Logger />
                   <Context />
               </host>
        </Engine>
    </Service>
</Server>

針對該文件,我們需要優化的點有如下:

1、maxThreads 連接數限制

       maxThreads 是 Tomcat 所能接受最大連接數。一般設置不要超過8000以上,如果你的網站訪問量非常大可能使用運行多個Tomcat實例的方法,即,在一個服務器上啓動多個tomcat然後做負載均衡處理。

這裏還需要注意的一點是,tomcat 和 php 不同。php可以按照cpu和內存的情況去配置連接數,上萬很正常。而 java 還需要注意 jvm 的參數配置。如果不注意就會因爲jvm參數過小而崩潰。

2、多虛擬主機

       強烈建議不要使用 Tomcat 的虛擬主機,推薦每個站點使用一個實例。即,可以啓動多個 Tomcat,而不是啓動一個 Tomcat 裏面包含多個虛擬主機。因爲 Tomcat是多線程,共享內存,任何一個虛擬主機中的應用崩潰,都會影響到所有應用程序。雖然採用多實例的方式會產生過多的開銷,但至少保障了應用程序的隔離和安全。

3、壓錯傳輸

       tomcat作爲一個應用服務器,也是支持 gzip 壓縮功能的。我們可以在 server.xml 配置文件中的 Connector 節點中配置如下參數,來實現對指定資源類型進行壓縮。

1
2
3
4
   compression="on"             # 打開壓縮功能 
   compressionMinSize="50"      # 啓用壓縮的輸出內容大小,默認爲2KB 
   noCompressionUserAgents="gozilla, traviata"      # 對於以下的瀏覽器,不啓用壓縮 
   compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain" # 哪些資源類型需要壓縮

提示:

       Tomcat 的壓縮是在客戶端請求服務器對應資源後,從服務器端將資源文件壓縮,再輸出到客戶端,由客戶端的瀏覽器負責解壓縮並瀏覽。相對於普通的瀏覽過程 HTML、CSS、Javascript和Text,它可以節省40% 左右的流量。更爲重要的是,它可以對動態生成的,包括CGI、PHP、JSP、ASP、Servlet,SHTML等輸出的網頁也能進行壓縮,壓縮效率也很高。但是,壓縮會增加 Tomcat 的負擔,因此最好採用Nginx + Tomcat 或者 Apache + Tomcat 方式,將壓縮的任務交由 Nginx/Apache 去做。

4、管理AJP端口

       AJP是爲 Tomcat 與 HTTP 服務器之間通信而定製的協議,能提供較高的通信速度和效率。如果tomcat前端放的是apache的時候,會使用到AJP這個連接器。由於我們公司前端是由nginx做的反向代理,因此不使用此連接器,因此需要註銷掉該連接器。

1
2
3
<!--
    <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
-->

5、更改關閉 Tomcat 實例的指令

       server.xml中定義了可以直接關閉 Tomcat 實例的管理端口。我們通過 telnet 連接上該端口之後,輸入 SHUTDOWN (此爲默認關閉指令)即可關閉 Tomcat 實例(注意,此時雖然實例關閉了,但是進程還是存在的)。由於默認關閉 Tomcat 的端口和指令都很簡單。默認端口爲8005,指令爲SHUTDOWN 。因此我們需要將關閉指令修改複雜一點。

       當然,在新版的 Tomcat 中該端口僅監聽在127.0.0.1上,因此大家也不必擔心。除非***登陸到tomcat本機去執行關閉操作。

       修改實例:

<Server port="8005" shutdown="9SDKJ29jksjf23sjf0LSDF92JKS9DKkjsd">

6、更改 Tomcat 的服務監聽端口

       一般公司的 Tomcat 都是放在內網的,因此我們針對 Tomcat 服務的監聽地址都是內網地址。

       修改實例:

1
<Connector port="8080" address="172.16.100.1" />

7、關閉war自動部署

       默認 Tomcat 是開啓了對war包的熱部署的。爲了防止被植入***等惡意程序,因此我們要關閉自動部署。

       修改實例:

1
2
      <Host name="localhost"  appBase=""
            unpackWARs="false" autoDeploy="false">


六、禁用 Tomcat 管理頁面

       我們線上是不使用 Tomcat 默認提供的管理頁面的,因此都會在初始化的時候就把這些頁面刪掉。這些頁面是存放在 Tomcat 安裝目錄下的webapps目錄下的。

       我們只需要刪除該目錄下的所有文件即可。

       當然,還有涉及管理頁面的2個配置文件 host-manager.xml 和 manager.xml 也需要一併刪掉。這兩個文件存放在 Tomcat 安裝目錄下的conf/Catalina/localhost目錄下。


七、用普通用戶啓動 Tomcat

       爲了進一步安全,我們不建議使用 root 來啓動 Tomcat。這邊建議使用專用用戶 tomcat 或者 nobody 用戶來啓動 Tomcat。

       在啓動之前,需要對我們的tomcat 安裝目錄下所有文件的屬主和屬組都設置爲指定用戶。


八、分離 Tomcat 和項目的用戶

        爲了防止 Tomcat 被植入 web shell 程序後,可以修改項目文件。因此我們要將 Tomcat 和項目的屬主做分離,這樣子,即便被搞,他也無法創建和編輯項目文件。


本文出自 “Not Only Linux” 博客,請務必保留此出處http://nolinux.blog.51cto.com/4824967/1608940


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章