Tomcat的优化

1.JVM的内存设置
在/app/tomcat/apache-tomcat-8.0.38/bin/catalina.sh配置文件的可编辑内容最上面（98 行开始），加上如下内容（具体参数根据你服务器情况自行修改）：
JAVA_HOME=/app/jdk
CATALINA_HOME=/app/tomcat/apache-tomcat-8.0.38/
JAVA_OPTS="-Dfile.encoding=UTF-8 -server -Xms6144m -Xmx6144m -XX:NewSize=1024m -XX:MaxNewSize=2048m -XX:PermSize=512m -XX:MaxPermSize=512m -XX:MaxTenuringThreshold=10 -XX:NewRatio=2 -XX:+DisableExplicitGC"
CATALINA_PID=$CATALINA_HOME/catalina.pid


JAVA_HOME=/app/jdk jdk的安装目录
CATALINA_HOME=/app/tomcat/apache-tomcat-8.0.38/ 指定tomcat的安装目录

JAVA_OPTS="-Dfile.encoding=UTF-8 -server -Xms6144m -Xmx6144m -XX:NewSize=1024m -XX:MaxNewSize=2048m -XX:PermSize=512m -XX:MaxPermSize=512m -XX:MaxTenuringThreshold=10 -XX:NewRatio=2 -XX:+DisableExplicitGC"

参数说明
-Dfile.encoding：默认文件编码为utf-8
-server：表示这是应用于服务器的配置，JVM 内部会有特殊处理的
-Xms6144m设置JVM最小内存为6144MB此值可以设置与-Xmx相同，以避免每次垃圾回收完成后JVM重新分配内存。
-Xmx6144m：设置JVM最大可用内存为6144MB
-XX:NewSize=1024m：设置年轻代大小为1024M
-XX:MaxNewSize=2048m：设置最大的年轻代大小为2048M
-XX:PermSize=512m：设置永久代大小为512m
-XX:MaxTenuringThreshold=10设置垃圾最大年龄，默认为：15。如果设置为 0 的话，则年轻代对象不经过 Survivor 区，直接进入年老代。对于年老代比较多的应用，可以提高效率。如果将此值设置为一个较大值，则年轻代对象会在 Survivor 区进行多次复制，这样可以增加对象再年轻代的存活时间，增加在年轻代即被回收的概论。
-XX:NewRatio=2设置年轻代（包括 Eden 和两个 Survivor 区）与终身代的比值（除去永久代）。设置为 2，则年轻代与终身代所占比值为 1：2，年轻代占整个堆栈的 1/4
-XX:+DisableExplicitGC"这个将会忽略手动调用 GC 的代码使得 System.gc() 的调用就会变成一个空调用，完全不会触发任何 GC

Linux 修改 /app/tomcat/apache-tomcat-8.0.38/bin/catalina.sh 文件，把下面信息添加到文件第一行。Windows 和 Linux 有点不一样的地方在于，在 Linux 下，下面的的参数值是被引号包围的，而 Windows 不需要引号包围。
如果服务器只运行一个 Tomcat
机子内存如果是 8G，一般 PermSize 配置是主要保证系统能稳定起来就行：
JAVA_OPTS="-Dfile.encoding=UTF-8 -server -Xms6144m -Xmx6144m -XX:NewSize=1024m -XX:MaxNewSize=2048m -XX:PermSize=512m -XX:MaxPermSize=512m -XX:MaxTenuringThreshold=10 -XX:NewRatio=2 -XX:+DisableExplicitGC"

机子内存如果是 16G，一般 PermSize 配置是主要保证系统能稳定起来就行：
JAVA_OPTS="-Dfile.encoding=UTF-8 -server -Xms13312m -Xmx13312m -XX:NewSize=3072m -XX:MaxNewSize=4096m -XX:PermSize=512m -XX:MaxPermSize=512m -XX:MaxTenuringThreshold=10 -XX:NewRatio=2 -XX:+DisableExplicitGC"

机子内存如果是 32G，一般 PermSize 配置是主要保证系统能稳定起来就行：
JAVA_OPTS="-Dfile.encoding=UTF-8 -server -Xms29696m -Xmx29696m -XX:NewSize=6144m -XX:MaxNewSize=9216m -XX:PermSize=1024m -XX:MaxPermSize=1024m -XX:MaxTenuringThreshold=10 -XX:NewRatio=2 -XX:+DisableExplicitGC"

如果是开发机
-Xms550m -Xmx1250m -XX:PermSize=550m -XX:MaxPermSize=1250m

2.编辑配置文件vim /usr/program/tomcat7/conf/server.xml
打开默认被注释的连接池配置：
默认值：
<!--
<Executor name="tomcatThreadPool" namePrefix="catalina-exec-"
    maxThreads="150" minSpareThreads="4"/>
-->
修改为：
<Executor 
    name="tomcatThreadPool" 
    namePrefix="catalina-exec-"
    maxThreads="500" 
    minSpareThreads="100" 
    prestartminSpareThreads = "true"
    maxQueueSize = "100"
/>
重点参数解释：
maxThreads，最大并发数，默认设置 200，一般建议在 500 ~ 800，根据硬件设施和业务来判断
minSpareThreads，Tomcat 初始化时创建的线程数，默认设置 25
prestartminSpareThreads，在 Tomcat 初始化的时候就初始化 minSpareThreads 的参数值，如果不等于 true，minSpareThreads 的值就没啥效果了
maxQueueSize，最大的等待队列数，超过则拒绝请求

3.修改默认的链接参数配置：
默认值：
<Connector 
    port="8080" 
    protocol="HTTP/1.1" 
    connectionTimeout="20000" 
    redirectPort="8443" 
/>
修改为：
<Connector 
   executor="tomcatThreadPool"
   port="8080" web的使用的端口
   protocol="org.apache.coyote.http11.Http11Nio2Protocol" 
   connectionTimeout="20000" 
   maxConnections="10000" 
   redirectPort="8443" 
   enableLookups="false" 
   acceptCount="100" 
   maxPostSize="10485760" 
   compression="on" 
   disableUploadTimeout="true" 
   compressionMinSize="2048" 
   acceptorThreadCount="2" 
   compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript" 
   URIEncoding="utf-8"
/>
重点参数解释：
protocol，Tomcat 8 设置 nio2 更好：org.apache.coyote.http11.Http11Nio2Protocol（如果这个用不了，就用下面那个）
protocol，Tomcat 6、7 设置 nio 更好：org.apache.coyote.http11.Http11NioProtocol
enableLookups，禁用DNS查询
acceptCount，指定当所有可以使用的处理请求的线程数都被使用时，可以放到处理队列中的请求数，超过这个数的请求将不予处理，默认设置 100
maxPostSize，以 FORM URL 参数方式的 POST 提交方式，限制提交最大的大小，默认是 2097152(2兆)，它使用的单位是字节。10485760 为 10M。如果要禁用限制，则可以设置为 -1。
acceptorThreadCount，用于接收连接的线程的数量，默认值是1。一般这个指需要改动的时候是因为该服务器是一个多核CPU，如果是多核 CPU 一般配置为 2.
禁用 AJP（如果你服务器没有使用 Apache）
把下面这一行注释掉，默认 Tomcat 是开启的。
<!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->

4.安全优化
telnet管理端口保护
1.修改默认的8005管理端口为不易猜测的端口（大于1024）；
2.修改SHUTDOWN指令为其他字符串；
sed -i 's#8005#9789#g' server.xml
sed -i 's#SHUTDOWN#good#g' server.xml
1.以上配置项的配置内容只是建议配置，可以按照服务实际情况进行合理配置，但要求端口配置在8000~8999之间；


1.修改默认的ajp 8009端口为不易冲突的大于1024端口；
2.通过iptables规则限制ajp端口访问的权限仅为线上机器；
把下面这一行注释掉，默认 Tomcat 是开启的。
<!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->
以上配置项的配置内容仅为建议配置，请按照服务实际情况进行合理配置，但要求端口配置在8000~8999之间；；
保护此端口的目的在于防止线下的测试流量被mod_jk转发至线上tomcat服务器；



Ajp 连接端口保护
1. 删除默认的{Tomcat安装目录}/conf/tomcat-users.xml文件，重启tomcat后将会自动生成新的文件；
2. 删除{Tomcat安装目录}/webapps下默认的所有目录和文件；
3.将tomcat 应用根目录配置为tomcat安装目录以外的目录；
<Context path="" docBase="/home/work/local/tomcat_webapps" debug="0" reloadable="false" crossContext="tru
e"/>
sed -i 's#webapps#/date/www#g' server.xml
对于前段web模块，Tomcat管理端属于tomcat的高危安全隐患，一旦被攻破，黑客通过上传web shell的方式将会直接取得服务器的控制权，后果极其严重；

降权启动
1.tomcat启动用户权限必须为非root权限，尽量降低tomcat启动用户的目录访问权限；
2.如需直接对外使用80端口，可通过普通账号启动后，配置iptables规则进行转发；
避免一旦tomcat 服务被入侵，黑客直接获取高级用户权限危害整个server的安全；


文件列表访问控制
1.conf/web.xml文件中default部分listings的配置必须为false；
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
false为不列出目录文件，true为允许列出，默认为false；
默认为关闭状态

版本信息隐藏
1.修改conf/web.xml，重定向403、404以及500等错误到指定的错误页面；
2.也可以通过修改应用程序目录下的WEB-INF/web.xml下的配置进行错误页面的重定向；
<error-page>
<error-code>403</error-code>
<location>/forbidden.jsp</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/notfound.jsp</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/systembusy.jsp</location>
</error-page>
在配置中对一些常见错误进行重定向，避免当出现错误时tomcat默认显示的错误页面暴露服务器和版本信息；
必须确保程序根目录下的错误页面已经存在；

Server header重写
在HTTP Connector配置中加入server的配置；	server="webserver"
当tomcat HTTP端口直接提供web服务时此配置生效，加入此配置，将会替换http 响应Server header部分的默认配置，默认是Apache-Coyote/1.1

访问限制
通过配置，限定访问的ip来源
<Context path="" docBase="/home/work/tomcat" debug="0" reloadable="false" crossContext="true">
<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="61.148.18.138,61.135.165.*" deny="*.*.*.*"/>
</Context>
通过配置信任ip的白名单，拒绝非白名单ip的访问，此配置主要是针对高保密级别的系统，一般产品线不需要；

起停脚本权限回收
去除其他用户对Tomcat的bin目录下shutdown.sh、startup.sh、catalina.sh的可执行权限；
chmod -R 744 tomcat/bin/* 
防止其他用户有起停线上Tomcat的权限；

访问日志格式规范
开启Tomcat默认访问日志中的Referer和User-Agent记录
<Valve className="org.apache.catalina.valves.AccessLogValve"
                 directory="logs"  prefix="localhost_access_log." suffix=".txt"
                 pattern="%h %l %u %t %r %s %b %{Referer}i %{User-Agent}i %D" resolveHosts="false"/>
开启Referer和User-Agent是为了一旦出现安全问题能够更好的根据日志进行问题排查；


附录：建议配置及标准执行方案
1.配置部分（${ CATALINA_HOME }conf/server.xml）
<Server port="8527" shutdown=" dangerous">

<!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
<Connector port="8080" server="webserver"/> 

<!-- Define an AJP 1.3 Connector on port 8528 -->
<!--Define an accesslog --> 
<Valve className="org.apache.catalina.valves.AccessLogValve"
                 directory="logs"  prefix="localhost_access_log." suffix=".txt"
                 pattern="%h %l %u %t %r %s %b %{Referer}i %{User-Agent}i %D" resolveHosts="false"/>

    <Connector port="8528" protocol="AJP/1.3" />

<Context path="" docBase="/home/work/local/tomcat_webapps" debug="0" reloadable="false" crossContext="true"/>

2.配置部分（${ CATALINA_HOME }conf/web.xml或者WEB-INF/web.xml）
<init-param>
	<param-name>listings</param-name>
	<param-value>false</param-value>
</init-param>

<error-page>
	<error-code>403</error-code>
	<location>/forbidden.jsp</location>
</error-page>
<error-page>
	<error-code>404</error-code>
	<location>/notfound.jsp</location>
</error-page>
<error-page>
	<error-code>500</error-code>
	<location>/systembusy.jsp</location>
</error-page>

3.删除如下tomcat的默认目录和默认文件
tomcat/webapps/*
tomcat/conf/tomcat-user.xml

4.去除其他用户对tomcat 起停脚本的执行权限
chmod 744 –R tomcat/bin/*