Tomcat实战之路
第一节、安装升级
1.1、jdk
yum -y install java-1.8.0-openjdk
yum -y install java-1.8.0-openjdk-headless
java -version
下载oracle JDK
tar -xvf jdk-11.0.10_linux-x64_bin.tar.gz
mv jdk-11.0.10 /usr/local/
vim /etc/profile
export JAVA_HOME=/usr/local/jdk-11.0.10
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$JAVA_HOME/bin:$HOME/bin:$HOME/.local/bin:$PATH
source /etc/profile
java -version
1.2、安装
- 下载
wget https://mirrors.bfsu.edu.cn/apache/tomcat/tomcat-10/v10.0.7/bin/apache-tomcat-10.0.7.tar.gz
tar -xvf apache-tomcat-10.0.7.tar.gz
mv apache-tomcat-10.0.7 /usr/local/tomcat10
目录结构
/bin:脚本文件目录。
/lib:存放所有web项目都可以访问的公共jar包(使用Common类加载器加载)。
/conf:存放配置文件,最重要的是server.xml。
/logs:存放日志文件。
/temp:Tomcat运行时候存放临时文件用的。
/webapps:web应用发布目录。
/work:Tomcat把各种由jsp生成的servlet文件放在这个目录下。删除后,启动时会自动创建。
- 启动
#启动
/usr/local/tomcat10/bin/startup.sh
ss -tunlp | grep 8080
#关闭
/usr/local/tomcat10/bin/shutdown.sh
提示:如果检查端口时,8005端口启动非常慢,可用使用下面的命令用urandom替换random(非必须操作)。
mv /dev/random /dev/random.bak
ln -s /dev/urandom /dev/random
1.3、升级
提示:下载新版本tomcat直接替换即可
第二节、配置
2.1、虚拟主机
1)修改server.xml配置文件,创建虚拟主机
[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
… …
<Host name="www.a.com" appBase="a" unpackWARS="true" autoDeploy="true">
</Host>
<Host name="www.b.com" appBase="b" unpackWARS="true" autoDeploy="true">
</Host>
2)创建虚拟主机对应的页面根路径
[root@web1 ~]# mkdir -p /usr/local/tomcat/{a,b}/ROOT
[root@web1 ~]# echo "AAA" > /usr/local/tomcat/a/ROOT/index.html
[root@web1 ~]# echo "BBB" > /usr/local/tomcat/b/ROOT/index.html
3)重启Tomcat服务器
[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh
4)客户端设置host文件,并浏览测试页面进行测试(proxy充当客户端角色)
注意:ssh远程连接时使用使用-X参数才可以!!!
[root@proxy ~]# vim /etc/hosts
… …
192.168.2.100 www.a.com www.b.com
[root@proxy ~]# firefox http://www.a.com:8080/ //注意访问的端口为8080
[root@proxy ~]# firefox http://www.b.com:8080/
2.2、默认网站首页路径
修改www.b.com网站的首页目录为base
1)使用docBase参数可以修改默认网站首页路径
[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
… …
<Host name="www.a.com" appBase="a" unpackWARS="true" autoDeploy="true">
</Host>
<Host name="www.b.com" appBase="b" unpackWARS="true" autoDeploy="true">
<Context path="" docBase="base"/>
</Host>
… …
[root@web1 ~]# mkdir /usr/local/tomcat/b/base
[root@web1 ~]# echo "BASE" > /usr/local/tomcat/b/base/index.html
[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh
2)测试查看页面是否正确(proxy充当客户端角色)
[root@proxy ~]# curl http://www.b.com:8080/
BASE
2.3、跳转
1)当用户访问http://www.a.com/test打开/var/www/html目录下的页面
[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
… …
<Host name="www.a.com" appBase="a" unpackWARS="true" autoDeploy="true">
<Context path="/test" docBase="/var/www/html/" />
</Host>
<Host name="www.b.com" appBase="b" unpackWARS="true" autoDeploy="true">
<Context path="" docBase="base" />
</Host>
… …
[root@web1 ~]# echo "Test" > /var/www/html/index.html
[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh
2)测试查看页面是否正确(proxy充当客户端角色)
[root@proxy ~]# curl http://www.a.com:8080/test
Test
2.4、配置Tomcat日志
1)为每个虚拟主机设置不同的日志文件
[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
.. ..
<Host name="www.a.com" appBase="a" unpackWARS="true" autoDeploy="true">
<Context path="/test" docBase="/var/www/html/" />
#从默认localhost虚拟主机中把Valve这段复制过来,适当修改下即可
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix=" a_access" suffix=".txt"
pattern="%h %l %u %t "%r" %s %b" />
</Host>
<Host name="www.b.com" appBase="b" unpackWARS="true" autoDeploy="true">
<Context path="" docBase="base" />
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix=" b_access" suffix=".txt"
pattern="%h %l %u %t "%r" %s %b" />
</Host>
.. ..
2)重启Tomcat服务器
[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh
3)查看服务器日志文件
[root@web1 ~]# ls /usr/local/tomcat/logs/
第三节、安全
3.1、隐藏版本信息
修改tomcat服务器配置文件,修改版本信息
[root@web1 lib]# vim /usr/local/tomcat/conf/server.xml
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000" redirectPort="8443" server="jacob" />
[root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh //关闭服务
[root@web1 lib]# /usr/local/tomcat/bin/startup.sh //启动服务
客户端再次查看版本信息
[root@redis238 ~]# curl -I 192.168.110.236:8080
HTTP/1.1 200 OK
Content-Type: text/html;charset=ISO-8859-1
Transfer-Encoding: chunked
Date: Wed, 17 Nov 2021 07:24:22 GMT
Server: jacob
[root@redis238 ~]# curl -I 192.168.110.236:8080/xxx
HTTP/1.1 404 Not Found
Content-Type: text/html;charset=utf-8
Content-Language: en
Transfer-Encoding: chunked
Date: Wed, 17 Nov 2021 07:24:33 GMT
Server: jacob
3.2、SSL加密网站
1)创建加密用的私钥和证书文件
[root@web1 ~]# keytool -genkeypair -alias tomcat -keyalg RSA -keystore /usr/local/tomcat/keystore //提示输入密码为:123456
//-genkeypair 生成密钥对
//-alias tomcat 密钥别名
//-keyalg RSA 定义密钥算法为RSA算法
//-keystore 定义密钥文件存储在:/usr/local/tomcat/keystore
2)再次修改server.xml配置文件,创建支持加密连接的Connector
[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
… …
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="/usr/local/tomcat/keystore" keystorePass="123456" clientAuth="false" sslProtocol="TLS" />
//备注,默认这段Connector被注释掉了,打开注释,添加密钥信息即可
3)重启Tomcat服务器
[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh
4)客户端设置host文件,并浏览测试页面进行测试(proxy充当客户端角色)
[root@proxy ~]# vim /etc/hosts
… …
192.168.2.100 www.a.com www.b.com
[root@proxy ~]# firefox https://www.a.com:8443/
[root@proxy ~]# firefox https://www.b.com:8443/
[root@proxy ~]# firefox https://192.168.2.100:8443/
3.3、降级启动
1、默认tomcat使用系统高级管理员账户root启动服务,启动服务尽量使用普通用户。
[root@web1 ~]# useradd tomcat
[root@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
//修改tomcat目录的权限,让tomcat账户对该目录有操作权限
[root@web1 ~]# su -c /usr/local/tomcat/bin/startup.sh tomcat
//使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务
[root@web1 ~]# chmod +x /etc/rc.local //该文件为开机启动文件
[root@web1 ~]# vim /etc/rc.local //修改文件,添加如下内容
su -c /usr/local/tomcat/bin/startup.sh tomcat
第四节、优化
4.1、JVM优化
linux修改TOMCAT_HOME/bin/catalina.sh,在前面加入
JAVA_OPTS="-server -Xms4096m -Xmx4096m -XX:PermSize=256M -XX:MaxNewSize=256m -XX:MaxPermSize=256m -Duser.timezone=Asia/Shanghai"
windows修改TOMCAT_HOME/bin/catalina.bat,在前面加入
set JAVA_OPTS=-server -Xms4096m -Xmx4096m -XX:PermSize=256M -XX:MaxNewSize=256m -XX:MaxPermSize=256m -Duser.timezone=Asia/Shanghai
Tomcat内存参数:
- -server:一定要作为第一个参数,在多个CPU时性能佳
- -Xms:java Heap初始大小。 默认是物理内存的1/64。
- -Xmx:java heap最大值。建议均设为物理内存的一半。不可超过物理内存。
- -XX:PermSize:设定内存的永久保存区初始大小。缺省值为64M。
- -XX:MaxNewSize:新生代占整个堆内存的最大值。
- -XX:MaxPermSize:设定内存的永久保存区最大 大小。缺省值为64M。
4.2、tomcat优化
1、tomcat 线程优化
<Connector port="80" protocol="HTTP/1.1" maxThreads="600" minSpareThreads="100" maxSpareThreads="500" acceptCount="700" enableLookups="false"
connectionTimeout="20000" redirectPort="8443" />
//Tomcat使用线程来处理接收的每个请求。这个值表示Tomcat可创建的最大的线程数。默认值200。 可以根据机器的时期性能和内存大小调整,一般可以在400-500。最大可以在800左右。
maxThreads="600"
//Tomcat初始化时创建的线程数。默认值4。
minSpareThreads="100"
//一旦创建的线程超过这个值,Tomcat就会关闭不再需要的socket线程。默认值50。
maxSpareThreads="500"
//指定当所有可以使用的处理请求的线程数都被使用时,可以放到处理队列中的请求数,超过这个数的请求将不予处理。默认值10。
acceptCount="700"
//是否反查域名,默认值为true。为了提高处理能力,应设置为false
enableLookups
//网络连接超时,默认值20000,单位:毫秒。设置为0表示永不超时,这样设置有隐患的。通常可设置为30000毫秒。
connnectionTimeout
//输入流缓冲大小,默认值2048 bytes。
bufferSize
//保持请求数量,默认值100。
maxKeepAliveRequests
compression
压缩传输,取值on/off/force,默认值off。
其中和最大连接数相关的参数为maxThreads和acceptCount。如果要加大并发连接数,应同时加大这两个参数。web server允许的最大连接数还受制于操作系统的内核参数设置,通常Windows是2000个左右,Linux是1000个左右。
2、启用Tomcat压缩(HTTP压缩)功能
HTTP 压缩可以大大提高浏览网站的速度,现在流行的浏览器都是支持的,包括 IE、FireFox、Opera 等。
压缩对象
对静态对象:相对于普通的浏览过程HTML ,CSS,Javascript , Text ,它可以节省40%左右的流量。更为重要的是对动态生成的,包括CGI、PHP , JSP , ASP , Servlet,SHTML等输出的网页也能进行压缩,压缩效率惊人。
<Connector port="80" maxHttpHeaderSize="8192" maxThreads="600" minSpareThreads="100"
maxSpareThreads="500" enableLookups="false" redirectPort="8443" acceptCount="700" connectionTimeout="20000" disableUploadTimeout="true" URIEncoding="utf-8"compression="on" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata" compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain" />
-
- compression="on" 打开压缩功能
-
- compressionMinSize="2048" 启用压缩的输出内容大小,这里面默认为2KB
-
- noCompressionUserAgents="gozilla, traviata" 对于以下的浏览器,不启用压缩
-
- compressableMimeType="text/html,text/xml" 压缩类型
3、设置session过期时间
conf\web.xml中通过参数指定:
<session-config>
<session-timeout>180</session-timeout>
</session-config>
单位为分钟。
第五节、漏洞修复
5.1、常规CVE漏洞
1、升级tomcat
升级至相应版本可修复CVE漏洞
CVE漏洞影响版本可参考地址:https://tomcat.apache.org/security.html
5.2、Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)
1、官方补丁 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、临时缓解措施:
(1). jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2). log4j2.formatMsgNoLookups=True
(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
3、验证
根据Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)原理,通过执行whoami命令并根据命令执行结果进行漏洞验证。(验证成功需要目标主机JDK版本<jdk8u191)
