Tomcat实战之路

第一节、安装升级

1.1、jdk

yum -y install  java-1.8.0-openjdk
yum -y install java-1.8.0-openjdk-headless 
java -version  

下载oracle JDK


tar -xvf jdk-11.0.10_linux-x64_bin.tar.gz
mv jdk-11.0.10 /usr/local/
vim /etc/profile
export JAVA_HOME=/usr/local/jdk-11.0.10
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$JAVA_HOME/bin:$HOME/bin:$HOME/.local/bin:$PATH

source /etc/profile
java -version

1.2、安装

  • 下载

下载tomcat

wget https://mirrors.bfsu.edu.cn/apache/tomcat/tomcat-10/v10.0.7/bin/apache-tomcat-10.0.7.tar.gz
tar -xvf apache-tomcat-10.0.7.tar.gz
mv apache-tomcat-10.0.7 /usr/local/tomcat10

目录结构
 /bin:脚本文件目录。
 /lib:存放所有web项目都可以访问的公共jar包(使用Common类加载器加载)。
 /conf:存放配置文件,最重要的是server.xml。
 /logs:存放日志文件。
 /temp:Tomcat运行时候存放临时文件用的。
 /webapps:web应用发布目录。
 /work:Tomcat把各种由jsp生成的servlet文件放在这个目录下。删除后,启动时会自动创建。
  • 启动
#启动
/usr/local/tomcat10/bin/startup.sh
ss -tunlp | grep 8080
#关闭
/usr/local/tomcat10/bin/shutdown.sh

提示:如果检查端口时,8005端口启动非常慢,可用使用下面的命令用urandom替换random(非必须操作)。

mv /dev/random  /dev/random.bak
ln -s /dev/urandom  /dev/random

1.3、升级

提示:下载新版本tomcat直接替换即可

第二节、配置

2.1、虚拟主机

1)修改server.xml配置文件,创建虚拟主机

[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
… …
<Host name="www.a.com" appBase="a" unpackWARS="true" autoDeploy="true">
</Host>
<Host name="www.b.com" appBase="b" unpackWARS="true" autoDeploy="true">
</Host>

2)创建虚拟主机对应的页面根路径

[root@web1 ~]# mkdir -p  /usr/local/tomcat/{a,b}/ROOT
[root@web1 ~]# echo "AAA"   > /usr/local/tomcat/a/ROOT/index.html
[root@web1 ~]# echo "BBB" > /usr/local/tomcat/b/ROOT/index.html

3)重启Tomcat服务器

[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh

4)客户端设置host文件,并浏览测试页面进行测试(proxy充当客户端角色)

注意:ssh远程连接时使用使用-X参数才可以!!!

[root@proxy ~]# vim /etc/hosts
… …
192.168.2.100      www.a.com  www.b.com
[root@proxy ~]# firefox http://www.a.com:8080/        //注意访问的端口为8080
[root@proxy ~]# firefox http://www.b.com:8080/

2.2、默认网站首页路径

修改www.b.com网站的首页目录为base
1)使用docBase参数可以修改默认网站首页路径

[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
… …
<Host name="www.a.com" appBase="a" unpackWARS="true" autoDeploy="true">
</Host>
<Host name="www.b.com" appBase="b" unpackWARS="true" autoDeploy="true">
<Context path="" docBase="base"/>
</Host>
… …
[root@web1 ~]# mkdir  /usr/local/tomcat/b/base
[root@web1 ~]# echo "BASE" > /usr/local/tomcat/b/base/index.html
[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh

2)测试查看页面是否正确(proxy充当客户端角色)

[root@proxy ~]# curl http://www.b.com:8080/
BASE

2.3、跳转

1)当用户访问http://www.a.com/test打开/var/www/html目录下的页面

[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
… …
<Host name="www.a.com" appBase="a" unpackWARS="true" autoDeploy="true">
<Context path="/test" docBase="/var/www/html/" />
</Host>
<Host name="www.b.com" appBase="b" unpackWARS="true" autoDeploy="true">
<Context path="" docBase="base" />
</Host>
… …
[root@web1 ~]# echo "Test" > /var/www/html/index.html
[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh

2)测试查看页面是否正确(proxy充当客户端角色)

[root@proxy ~]# curl http://www.a.com:8080/test
Test

2.4、配置Tomcat日志

1)为每个虚拟主机设置不同的日志文件

[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
.. ..
<Host name="www.a.com" appBase="a" unpackWARS="true" autoDeploy="true">
<Context path="/test" docBase="/var/www/html/" />
#从默认localhost虚拟主机中把Valve这段复制过来,适当修改下即可
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix=" a_access" suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
</Host>

<Host name="www.b.com" appBase="b" unpackWARS="true" autoDeploy="true">
<Context path="" docBase="base" />
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix=" b_access" suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
</Host>
.. ..

2)重启Tomcat服务器

[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh

3)查看服务器日志文件

[root@web1 ~]# ls /usr/local/tomcat/logs/

第三节、安全

3.1、隐藏版本信息

修改tomcat服务器配置文件,修改版本信息

[root@web1 lib]# vim /usr/local/tomcat/conf/server.xml
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"  redirectPort="8443" server="jacob" />
[root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh        //关闭服务
[root@web1 lib]# /usr/local/tomcat/bin/startup.sh        //启动服务

客户端再次查看版本信息

[root@redis238 ~]# curl -I 192.168.110.236:8080
HTTP/1.1 200 OK
Content-Type: text/html;charset=ISO-8859-1
Transfer-Encoding: chunked
Date: Wed, 17 Nov 2021 07:24:22 GMT
Server: jacob

[root@redis238 ~]# curl -I 192.168.110.236:8080/xxx
HTTP/1.1 404 Not Found
Content-Type: text/html;charset=utf-8
Content-Language: en
Transfer-Encoding: chunked
Date: Wed, 17 Nov 2021 07:24:33 GMT
Server: jacob

3.2、SSL加密网站

1)创建加密用的私钥和证书文件

[root@web1 ~]# keytool -genkeypair -alias tomcat -keyalg RSA -keystore /usr/local/tomcat/keystore                //提示输入密码为:123456
//-genkeypair     生成密钥对
//-alias tomcat     密钥别名
//-keyalg RSA     定义密钥算法为RSA算法
//-keystore         定义密钥文件存储在:/usr/local/tomcat/keystore

2)再次修改server.xml配置文件,创建支持加密连接的Connector

[root@web1 ~]# vim /usr/local/tomcat/conf/server.xml
… …
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="/usr/local/tomcat/keystore" keystorePass="123456" clientAuth="false" sslProtocol="TLS" />
//备注,默认这段Connector被注释掉了,打开注释,添加密钥信息即可

3)重启Tomcat服务器

[root@web1 ~]# /usr/local/tomcat/bin/shutdown.sh
[root@web1 ~]# /usr/local/tomcat/bin/startup.sh

4)客户端设置host文件,并浏览测试页面进行测试(proxy充当客户端角色)

[root@proxy ~]# vim /etc/hosts
… …
192.168.2.100      www.a.com  www.b.com
[root@proxy ~]# firefox https://www.a.com:8443/
[root@proxy ~]# firefox https://www.b.com:8443/
[root@proxy ~]# firefox https://192.168.2.100:8443/

3.3、降级启动

1、默认tomcat使用系统高级管理员账户root启动服务,启动服务尽量使用普通用户。

[root@web1 ~]# useradd tomcat
[root@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
//修改tomcat目录的权限,让tomcat账户对该目录有操作权限
[root@web1 ~]# su -c /usr/local/tomcat/bin/startup.sh tomcat
//使用su命令切换为tomcat账户,以tomcat账户的身份启动tomcat服务
[root@web1 ~]# chmod +x /etc/rc.local                //该文件为开机启动文件
[root@web1 ~]# vim /etc/rc.local                     //修改文件,添加如下内容
su -c /usr/local/tomcat/bin/startup.sh tomcat

第四节、优化

4.1、JVM优化

linux修改TOMCAT_HOME/bin/catalina.sh,在前面加入

JAVA_OPTS="-server -Xms4096m -Xmx4096m -XX:PermSize=256M -XX:MaxNewSize=256m -XX:MaxPermSize=256m -Duser.timezone=Asia/Shanghai"

windows修改TOMCAT_HOME/bin/catalina.bat,在前面加入

set JAVA_OPTS=-server -Xms4096m -Xmx4096m -XX:PermSize=256M -XX:MaxNewSize=256m -XX:MaxPermSize=256m -Duser.timezone=Asia/Shanghai

Tomcat内存参数:

  • -server:一定要作为第一个参数,在多个CPU时性能佳
  • -Xms:java Heap初始大小。 默认是物理内存的1/64。
  • -Xmx:java heap最大值。建议均设为物理内存的一半。不可超过物理内存。
  • -XX:PermSize:设定内存的永久保存区初始大小。缺省值为64M。
  • -XX:MaxNewSize:新生代占整个堆内存的最大值。
  • -XX:MaxPermSize:设定内存的永久保存区最大 大小。缺省值为64M。

4.2、tomcat优化

1、tomcat 线程优化

<Connector port="80" protocol="HTTP/1.1" maxThreads="600" minSpareThreads="100" maxSpareThreads="500" acceptCount="700" enableLookups="false"
connectionTimeout="20000" redirectPort="8443" />
//Tomcat使用线程来处理接收的每个请求。这个值表示Tomcat可创建的最大的线程数。默认值200。 可以根据机器的时期性能和内存大小调整,一般可以在400-500。最大可以在800左右。
maxThreads="600"       

//Tomcat初始化时创建的线程数。默认值4。
minSpareThreads="100"

//一旦创建的线程超过这个值,Tomcat就会关闭不再需要的socket线程。默认值50。
maxSpareThreads="500"

//指定当所有可以使用的处理请求的线程数都被使用时,可以放到处理队列中的请求数,超过这个数的请求将不予处理。默认值10。
acceptCount="700"

//是否反查域名,默认值为true。为了提高处理能力,应设置为false
enableLookups

//网络连接超时,默认值20000,单位:毫秒。设置为0表示永不超时,这样设置有隐患的。通常可设置为30000毫秒。
connnectionTimeout

//输入流缓冲大小,默认值2048 bytes。
bufferSize

//保持请求数量,默认值100。
maxKeepAliveRequests

compression
压缩传输,取值on/off/force,默认值off。
其中和最大连接数相关的参数为maxThreads和acceptCount。如果要加大并发连接数,应同时加大这两个参数。web server允许的最大连接数还受制于操作系统的内核参数设置,通常Windows是2000个左右,Linux是1000个左右。


2、启用Tomcat压缩(HTTP压缩)功能
HTTP 压缩可以大大提高浏览网站的速度,现在流行的浏览器都是支持的,包括 IE、FireFox、Opera 等。
压缩对象
对静态对象:相对于普通的浏览过程HTML ,CSS,Javascript , Text ,它可以节省40%左右的流量。更为重要的是对动态生成的,包括CGI、PHP , JSP , ASP , Servlet,SHTML等输出的网页也能进行压缩,压缩效率惊人。

<Connector port="80" maxHttpHeaderSize="8192"   maxThreads="600" minSpareThreads="100"
 maxSpareThreads="500" enableLookups="false" redirectPort="8443" acceptCount="700" connectionTimeout="20000" disableUploadTimeout="true" URIEncoding="utf-8"compression="on" compressionMinSize="2048"   noCompressionUserAgents="gozilla, traviata" compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain"  />
    1. compression="on" 打开压缩功能
    1. compressionMinSize="2048" 启用压缩的输出内容大小,这里面默认为2KB
    1. noCompressionUserAgents="gozilla, traviata" 对于以下的浏览器,不启用压缩
    1. compressableMimeType="text/html,text/xml" 压缩类型

3、设置session过期时间

conf\web.xml中通过参数指定:

    <session-config>   
        <session-timeout>180</session-timeout>     
    </session-config> 
单位为分钟。

第五节、漏洞修复

5.1、常规CVE漏洞

1、升级tomcat
升级至相应版本可修复CVE漏洞
CVE漏洞影响版本可参考地址:https://tomcat.apache.org/security.html

5.2、Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)

1、官方补丁 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、临时缓解措施:
(1). jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2). log4j2.formatMsgNoLookups=True
(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
3、验证
根据Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)原理,通过执行whoami命令并根据命令执行结果进行漏洞验证。(验证成功需要目标主机JDK版本<jdk8u191)

第六节、其他

5.1、server.xml

FAQ

posted @ 2022-11-28 15:28  jluo123  阅读(107)  评论(0编辑  收藏  举报