Tomcat 是 Apache軟件基金會下的一個免費、開源的WEB應用服務器,它可以運行在 Linux 和 Windows 等多個平臺上,由於其性能穩定、擴展性好、免費等特點深受廣大用戶喜愛。目前,很多互聯網應用和企業應用都部署在 Tomcat 服務器上,比如我們公司,哈。
之前我們 tomcat 都採用的是默認的配置,因此在安全方面還是有所隱患的。上週對測試環境的所有服務器的tomcat都做了安全優化,其間也粗略做了一些性能優化,這裏就簡單記錄分享下!
一、版本安全
升級當前的tomcat版本爲最新穩定版本。故名思議,最新穩定版本就要兼顧最新和穩定這兩個概念。一個穩定的版本,是需要時間沉澱的,而最新又是相對於穩定版而言的最新。因此我們一般會選擇當前大版本中,最新版本往前推幾個版本或者往前推幾個月出的版本。
目前,企業常用的tomcat大版本爲6.0和7.0版本,8.0版本雖然已經出了很久了,但是仍然不建議使用。
在升級版本中,需要注意的事情有兩點:
1、儘量避免跨大版本的升級
2、將當前老版本 tomcat 的server.xml、catalina.sh、web.xml和tomcat-users.xml文件進行備份,然後部署完新版本的 tomcat 之後,將這些配置文件覆蓋過去即可,然後停掉舊版本,啓動新版本即可完成升級操作。
二、隱藏版本信息
爲了避免***針對某些版本進行***,因此我們需要隱藏或者僞裝 Tomcat 的版本信息。
默認 Tomcat 的版本信息如下:
針對該信息的顯示是由一個jar包控制的,該jar包存放在 Tomcat 安裝目錄下的lib目錄下,名稱爲 catalina.jar。
我們可以通過 jar xf 命令解壓這個 jar 包會得到兩個目錄 META-INF 和 org ,通過修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段來實現來更改我們tomcat的版本信息。
文件信息如下:
1 2 3 4 5 6 7 8 9 10 | [root@localhost ~]# cat org/apache/catalina/util/ServerInfo.properties |grep -v '^$|#' server.info=Apache Tomcat/7.0.53 server.number=7.0.53.0 server.built=Mar 25 2014 06:20:16 當然,還有另外一種方法來實現隱藏或僞裝Tomcat的版本信息,不過本質和上面一樣,操作如下: [root@localhost ~]# cd /usr/local/apache-tomcat-7.0.53/lib [root@localhost lib]# mkdir -p org/apache/catalina/util [root@localhost lib]# cd org/apache/catalina/util [root@localhost util]# vim ServerInfo.properties server.info=nolinux # 如果想修改成其它版本號,把這個地方的值改成其它值就行了 |
修改完畢之後,重啓 Tomcat即可看到效果!
效果如下:
三、優化 web.xml
servlet與其它適用於整個Web應用程序設置的配置文件,必須符合servlet規範的標準格式。通過它可以配置你web應用的相關選項,tomcat在啓動的時候會讀取這個文件,完成你開發的系統的一些初始化操作。
它可以做如下事情:
1、提供基於 servlet 的相關配置
2、增加監聽器,監控session或在tomcat啓動時,加載一些你希望加載的資源。比如創建數據庫連接池等等
3、設置session過期時間,tomcat默認是30分鐘
4、更改應用的默認網頁,常用爲index.html/index.jsp等
5、增加過濾器,做一些你希望的過濾操作,比如敏感詞彙的過濾
6、增加一些 jstl(標準標籤庫)的定義,方便在jsp中直接includ進來,直接使用這些標籤
7、struts,spring或hibernate的一些配置等等
下面摘錄下O'REILLY 的《Tomcat 權威指南》中的一段話:
web.xml 的文件格式定義在 Servlet 規範中,因此所有符合 Servlet 規範的 Java Servlet Container 都會用到它。當 Tomcat 部署應用程序時(在激活過程中,或加載應用程序後),它都會讀取通用的conf/web.xml,然後再讀取web應用程序中的WEB-INF/web.xml。其實根據他們的位置,我們就可以知道,conf/web.xml文件中的設定會應用於所有的web應用程序,而某些web應用程序的WEB-INF/web.xml中的設定只應用於該應用程序本身。
如果沒有WEB-INF/web.xml文件,tomcat會輸出找不到的消息,但仍然會部署並使用web應用程序,servlet規範的作者想要實現一種能迅速並簡易設定新範圍的方法,以用作測試,因此,這個web.xml並不是必要的,不過通常最好還是讓每一個上線的web應用程序都有一個自己的WEB-INF/web.xml,即使它只用做識別,但我想這是一個好的習慣。
由於Servlet規範主要是對於web程序員,而非系統管理員使用的。因此,對於運維來講,我們可能更關心的是站點的默認網頁、自定義錯誤頁面、禁止列目錄等功能。
由於,正常生產環境中,肯定不會直接由tomcat對公網提供服務,前端肯定放的有apache或者nginx。因此,針對站點的默認主頁和自定義錯誤頁面,我們均在前端的apache或者nginx中做。另外,公司也可能交由程序猿在項目內的WEB-INF/web.xml中去做定義。
在tomcat新版本中,自動默認已經禁止列目錄功能。
下面,我列出幾種常見功能,在web.xml中的表現形式:
站點默認主頁:
自定義錯誤頁面:
定義會話超時時間:
禁止列目錄:
四、優化 tomcat-user.xml
該文件含有用戶名、角色以及密碼的清單文件。負責提供webapps下manager項目的登錄認證管理。
在生產環境中,我們需要將該文件全部註釋。
註釋效果如下:
五、優化 server.xml
Tomcat的主配置文件,該文件中包含很多主要元素,比如Service、Connector、Host等,這些元素都會創建軟件"對象"、排序及進程管道中設置的這些元素嵌套方,使我們可以執行過濾、分組等工作。
如果要對改文件做優化,我們需要先了解該文件的結構!
server.xml的結構圖:
該文件描述瞭如何啓動Tomcat Server
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | <Server> <Listener /> <GlobaNamingResources> </GlobaNamingResources <Service> <Connector /> <Engine> <Logger /> <Realm /> <host> <Logger /> <Context /> </host> </Engine> </Service> </Server> |
針對該文件,我們需要優化的點有如下:
1、maxThreads 連接數限制
maxThreads 是 Tomcat 所能接受最大連接數。一般設置不要超過8000以上,如果你的網站訪問量非常大可能使用運行多個Tomcat實例的方法,即,在一個服務器上啓動多個tomcat然後做負載均衡處理。
這裏還需要注意的一點是,tomcat 和 php 不同。php可以按照cpu和內存的情況去配置連接數,上萬很正常。而 java 還需要注意 jvm 的參數配置。如果不注意就會因爲jvm參數過小而崩潰。
2、多虛擬主機
強烈建議不要使用 Tomcat 的虛擬主機,推薦每個站點使用一個實例。即,可以啓動多個 Tomcat,而不是啓動一個 Tomcat 裏面包含多個虛擬主機。因爲 Tomcat是多線程,共享內存,任何一個虛擬主機中的應用崩潰,都會影響到所有應用程序。雖然採用多實例的方式會產生過多的開銷,但至少保障了應用程序的隔離和安全。
3、壓錯傳輸
tomcat作爲一個應用服務器,也是支持 gzip 壓縮功能的。我們可以在 server.xml 配置文件中的 Connector 節點中配置如下參數,來實現對指定資源類型進行壓縮。
1 2 3 4 | compression="on" # 打開壓縮功能 compressionMinSize="50" # 啓用壓縮的輸出內容大小,默認爲2KB noCompressionUserAgents="gozilla, traviata" # 對於以下的瀏覽器,不啓用壓縮 compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain" # 哪些資源類型需要壓縮 |
提示:
Tomcat 的壓縮是在客戶端請求服務器對應資源後,從服務器端將資源文件壓縮,再輸出到客戶端,由客戶端的瀏覽器負責解壓縮並瀏覽。相對於普通的瀏覽過程 HTML、CSS、Javascript和Text,它可以節省40% 左右的流量。更爲重要的是,它可以對動態生成的,包括CGI、PHP、JSP、ASP、Servlet,SHTML等輸出的網頁也能進行壓縮,壓縮效率也很高。但是,壓縮會增加 Tomcat 的負擔,因此最好採用Nginx + Tomcat 或者 Apache + Tomcat 方式,將壓縮的任務交由 Nginx/Apache 去做。
4、管理AJP端口
AJP是爲 Tomcat 與 HTTP 服務器之間通信而定製的協議,能提供較高的通信速度和效率。如果tomcat前端放的是apache的時候,會使用到AJP這個連接器。由於我們公司前端是由nginx做的反向代理,因此不使用此連接器,因此需要註銷掉該連接器。
1 2 3 | <!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> --> |
5、更改關閉 Tomcat 實例的指令
server.xml中定義了可以直接關閉 Tomcat 實例的管理端口。我們通過 telnet 連接上該端口之後,輸入 SHUTDOWN (此爲默認關閉指令)即可關閉 Tomcat 實例(注意,此時雖然實例關閉了,但是進程還是存在的)。由於默認關閉 Tomcat 的端口和指令都很簡單。默認端口爲8005,指令爲SHUTDOWN 。因此我們需要將關閉指令修改複雜一點。
當然,在新版的 Tomcat 中該端口僅監聽在127.0.0.1上,因此大家也不必擔心。除非***登陸到tomcat本機去執行關閉操作。
修改實例:
<Server port="8005" shutdown="9SDKJ29jksjf23sjf0LSDF92JKS9DKkjsd">
6、更改 Tomcat 的服務監聽端口
一般公司的 Tomcat 都是放在內網的,因此我們針對 Tomcat 服務的監聽地址都是內網地址。
修改實例:
1 | <Connector port="8080" address="172.16.100.1" /> |
7、關閉war自動部署
默認 Tomcat 是開啓了對war包的熱部署的。爲了防止被植入***等惡意程序,因此我們要關閉自動部署。
修改實例:
1 2 | <Host name="localhost" appBase="" unpackWARs="false" autoDeploy="false"> |
六、禁用 Tomcat 管理頁面
我們線上是不使用 Tomcat 默認提供的管理頁面的,因此都會在初始化的時候就把這些頁面刪掉。這些頁面是存放在 Tomcat 安裝目錄下的webapps目錄下的。
我們只需要刪除該目錄下的所有文件即可。
當然,還有涉及管理頁面的2個配置文件 host-manager.xml 和 manager.xml 也需要一併刪掉。這兩個文件存放在 Tomcat 安裝目錄下的conf/Catalina/localhost目錄下。
七、用普通用戶啓動 Tomcat
爲了進一步安全,我們不建議使用 root 來啓動 Tomcat。這邊建議使用專用用戶 tomcat 或者 nobody 用戶來啓動 Tomcat。
在啓動之前,需要對我們的tomcat 安裝目錄下所有文件的屬主和屬組都設置爲指定用戶。
八、分離 Tomcat 和項目的用戶
爲了防止 Tomcat 被植入 web shell 程序後,可以修改項目文件。因此我們要將 Tomcat 和項目的屬主做分離,這樣子,即便被搞,他也無法創建和編輯項目文件。
本文出自 “Not Only Linux” 博客,請務必保留此出處http://nolinux.blog.51cto.com/4824967/1608940