Tomcat 是 Apache軟體基金會下的一個免費、開源的WEB應用伺服器,它可以運行在 Linux 和 Windows 等多個平臺上,由於其性能穩定、擴展性好、免費等特點深受廣大用戶喜愛。目前,很多互聯網應用和企業應用都部署在 Tomcat 伺服器上,比如我們公司,哈。 之前我們 tomcat ...
Tomcat 是 Apache軟體基金會下的一個免費、開源的WEB應用伺服器,它可以運行在 Linux 和 Windows 等多個平臺上,由於其性能穩定、擴展性好、免費等特點深受廣大用戶喜愛。目前,很多互聯網應用和企業應用都部署在 Tomcat 伺服器上,比如我們公司,哈。
之前我們 tomcat 都採用的是預設的配置,因此在安全方面還是有所隱患的。上周對測試環境的所有伺服器的tomcat都做了安全優化,其間也粗略做了一些性能優化,這裡就簡單記錄分享下!
一、版本安全
升級當前的tomcat版本為最新穩定版本。故名思議,最新穩定版本就要兼顧最新和穩定這兩個概念。一個穩定的版本,是需要時間沉澱的,而最新又是相對於穩定版而言的最新。因此我們一般會選擇當前大版本中,最新版本往前推幾個版本或者往前推幾個月出的版本。
目前,企業常用的tomcat大版本為6.0和7.0版本,8.0版本雖然已經出了很久了,但是仍然不建議使用。
在升級版本中,需要註意的事情有兩點:
1、儘量避免跨大版本的升級
2、將當前老版本 tomcat 的server.xml、catalina.sh、web.xml和tomcat-users.xml文件進行備份,然後部署完新版本的 tomcat 之後,將這些配置文件覆蓋過去即可,然後停掉舊版本,啟動新版本即可完成升級操作。
二、隱藏版本信息
為了避免黑客針對某些版本進行攻擊,因此我們需要隱藏或者偽裝 Tomcat 的版本信息。
針對該信息的顯示是由一個jar包控制的,該jar包存放在 Tomcat 安裝目錄下的lib目錄下,名稱為 catalina.jar。
我們可以通過 jar xf 命令解壓這個 jar 包會得到兩個目錄 META-INF 和 org ,通過修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 欄位來實現來更改我們tomcat的版本信息。
文件信息如下:
[root@localhost ~]# cat org/apache/catalina/util/ServerInfo.properties |grep -v '^$|#'
server.info=Apache Tomcat/7.0.53
server.number=7.0.53.0
server.built=Mar 25 2014 06:20:16
當然,還有另外一種方法來實現隱藏或偽裝Tomcat的版本信息,不過本質和上面一樣,操作如下:
[root@localhost ~]# cd /usr/local/apache-tomcat-7.0.53/lib
[root@localhost lib]# mkdir -p org/apache/catalina/util
[root@localhost lib]# cd org/apache/catalina/util
[root@localhost util]# vim ServerInfo.properties
server.info=nolinux # 如果想修改成其它版本號,把這個地方的值改成其它值就行了
修改完畢之後,重啟 Tomcat即可看到效果!
三、優化 web.xml
servlet與其它適用於整個Web應用程式設置的配置文件,必須符合servlet規範的標準格式。通過它可以配置你web應用的相關選項,tomcat在啟動的時候會讀取這個文件,完成你開發的系統的一些初始化操作。
它可以做如下事情:
1、提供基於 servlet 的相關配置
2、增加監聽器,監控session或在tomcat啟動時,載入一些你希望載入的資源。比如創建資料庫連接池等等
3、設置session過期時間,tomcat預設是30分鐘
4、更改應用的預設網頁,常用為index.html/index.jsp等
5、增加過濾器,做一些你希望的過濾操作,比如敏感辭彙的過濾
6、增加一些 jstl(標準標簽庫)的定義,方便在jsp中直接includ進來,直接使用這些標簽
7、struts,spring或hibernate的一些配置等等
下麵摘錄下O'REILLY 的《Tomcat 權威指南》中的一段話:
web.xml 的文件格式定義在 Servlet 規範中,因此所有符合 Servlet 規範的 Java Servlet Container 都會用到它。當 Tomcat 部署應用程式時(在激活過程中,或載入應用程式後),它都會讀取通用的conf/web.xml,然後再讀取web應用程式中的WEB-INF/web.xml。其實根據他們的位置,我們就可以知道,conf/web.xml文件中的設定會應用於所有的web應用程式,而某些web應用程式的WEB-INF/web.xml中的設定只應用於該應用程式本身。
如果沒有WEB-INF/web.xml文件,tomcat會輸出找不到的消息,但仍然會部署並使用web應用程式,servlet規範的作者想要實現一種能迅速並簡易設定新範圍的方法,以用作測試,因此,這個web.xml並不是必要的,不過通常最好還是讓每一個上線的web應用程式都有一個自己的WEB-INF/web.xml,即使它只用做識別,但我想這是一個好的習慣。
由於Servlet規範主要是對於web程式員,而非系統管理員使用的。因此,對於運維來講,我們可能更關心的是站點的預設網頁、自定義錯誤頁面、禁止列目錄等功能。
由於,正常生產環境中,肯定不會直接由tomcat對公網提供服務,前端肯定放的有apache或者nginx。因此,針對站點的預設主頁和自定義錯誤頁面,我們均在前端的apache或者nginx中做。另外,公司也可能交由程式猿在項目內的WEB-INF/web.xml中去做定義。
在tomcat新版本中,自動預設已經禁止列目錄功能。
下麵,我列出幾種常見功能,在web.xml中的表現形式:
站點預設主頁,
自定義錯誤頁面,
定義會話超時時間,
禁止列目錄.
四、優化 tomcat-user.xml
該文件含有用戶名、角色以及密碼的清單文件。負責提供webapps下manager項目的登錄認證管理。
在生產環境中,我們需要將該文件全部註釋。
五、優化 server.xml
Tomcat的主配置文件,該文件中包含很多主要元素,比如Service、Connector、Host等,這些元素都會創建軟體"對象"、排序及進程管道中設置的這些元素嵌套方,使我們可以執行過濾、分組等工作。
如果要對改文件做優化,我們需要先瞭解該文件的結構!
server.xml的結構圖:
該文件描述瞭如何啟動Tomcat Server
<Server>
<Listener />
<GlobaNamingResources>
</GlobaNamingResources
<Service>
<Connector />
<Engine>
<Logger />
<Realm />
<host>
<Logger />
<Context />
</host>
</Engine>
</Service>
</Server>
針對該文件,我們需要優化的點有如下:
1、maxThreads 連接數限制
maxThreads 是 Tomcat 所能接受最大連接數。一般設置不要超過8000以上,如果你的網站訪問量非常大可能使用運行多個Tomcat實例的方法,即,在一個伺服器上啟動多個tomcat然後做負載均衡處理。
這裡還需要註意的一點是,tomcat 和 php 不同。php可以按照cpu和記憶體的情況去配置連接數,上萬很正常。而 java 還需要註意 jvm 的參數配置。如果不註意就會因為jvm參數過小而崩潰。
2、多虛擬主機
強烈建議不要使用 Tomcat 的虛擬主機,推薦每個站點使用一個實例。即,可以啟動多個 Tomcat,而不是啟動一個 Tomcat 裡面包含多個虛擬主機。因為 Tomcat是多線程,共用記憶體,任何一個虛擬主機中的應用崩潰,都會影響到所有應用程式。雖然採用多實例的方式會產生過多的開銷,但至少保障了應用程式的隔離和安全。
3、壓錯傳輸
tomcat作為一個應用伺服器,也是支持 gzip 壓縮功能的。我們可以在 server.xml 配置文件中的 Connector 節點中配置如下參數,來實現對指定資源類型進行壓縮。
compression="on"
# 打開壓縮功能
compressionMinSize="50"
# 啟用壓縮的輸出內容大小,預設為2KB
noCompressionUserAgents="gozilla, traviata"
# 對於以下的瀏覽器,不啟用壓縮
compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain"
# 哪些資源類型需要壓縮提示:
Tomcat 的壓縮是在客戶端請求伺服器對應資源後,從伺服器端將資源文件壓縮,再輸出到客戶端,由客戶端的瀏覽器負責解壓縮並瀏覽。相對於普通的瀏覽過程 HTML、CSS、Javascript和Text,它可以節省40% 左右的流量。更為重要的是,它可以對動態生成的,包括CGI、PHP、JSP、ASP、Servlet,SHTML等輸出的網頁也能進行壓縮,壓縮效率也很高。但是,壓縮會增加 Tomcat 的負擔,因此最好採用Nginx + Tomcat 或者 Apache + Tomcat 方式,將壓縮的任務交由 Nginx/Apache 去做。
4、管理AJP埠
AJP是為 Tomcat 與 HTTP 伺服器之間通信而定製的協議,能提供較高的通信速度和效率。如果tomcat前端放的是apache的時候,會使用到AJP這個連接器。由於我們公司前端是由nginx做的反向代理,因此不使用此連接器,因此需要註銷掉該連接器。
<!--
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
-->
5、更改關閉 Tomcat 實例的指令
server.xml中定義了可以直接關閉 Tomcat 實例的管理埠。我們通過 telnet 連接上該埠之後,輸入 SHUTDOWN (此為預設關閉指令)即可關閉 Tomcat 實例(註意,此時雖然實例關閉了,但是進程還是存在的)。由於預設關閉 Tomcat 的埠和指令都很簡單。預設埠為8005,指令為SHUTDOWN 。因此我們需要將關閉指令修改複雜一點。
當然,在新版的 Tomcat 中該埠僅監聽在127.0.0.1上,因此大家也不必擔心。除非黑客登陸到tomcat本機去執行關閉操作。
修改實例:
<Server port="8005" shutdown="9SDKJ29jksjf23sjf0LSDF92JKS9DKkjsd">
6、更改 Tomcat 的服務監聽埠
一般公司的 Tomcat 都是放在內網的,因此我們針對 Tomcat 服務的監聽地址都是內網地址。
修改實例:
<Connector port="8080" address="172.16.100.1" />
7、關閉war自動部署
預設 Tomcat 是開啟了對war包的熱部署的。為了防止被植入木馬等惡意程式,因此我們要關閉自動部署。
修改實例:
<Host name="localhost" appBase=""
unpackWARs="false" autoDeploy="false">
六、禁用 Tomcat 管理頁面
我們線上是不使用 Tomcat 預設提供的管理頁面的,因此都會在初始化的時候就把這些頁面刪掉。這些頁面是存放在 Tomcat 安裝目錄下的webapps目錄下的。
我們只需要刪除該目錄下的所有文件即可。
當然,還有涉及管理頁面的2個配置文件 host-manager.xml 和 manager.xml 也需要一併刪掉。這兩個文件存放在 Tomcat 安裝目錄下的conf/Catalina/localhost目錄下。
七、用普通用戶啟動 Tomcat
為了進一步安全,我們不建議使用 root 來啟動 Tomcat。這邊建議使用專用用戶 tomcat 或者 nobody 用戶來啟動 Tomcat。
在啟動之前,需要對我們的tomcat 安裝目錄下所有文件的屬主和屬組都設置為指定用戶。
八、分離 Tomcat 和項目的用戶
為了防止 Tomcat 被植入 web shell 程式後,可以修改項目文件。因此我們要將 Tomcat 和項目的屬主做分離,這樣子,即便被搞,他也無法創建和編輯項目文件。
