tomat调优
安全
1) 降权启动
# 什么叫降权启动
使用普通用户启动服务
# 为什么要降权启动
使用降权启动也就是使用普通用户启动服务,当只有普通用户的权限启动服务时,就没有了root用户操控系统的权限,避免服务漏洞,
导致系统攻破,如果使用root用户启动服务,服务漏洞,那么别人将拿到服务启动用户root的权限,那对系统的危害是相当之大的。
# 如何操作
system普通用户启动服务
2)telnet管理端口保护
tomcat监听的关闭端口,就是说这个端口负责关闭tomcat的请求,当执行shutdown.sh关闭tomcat就是链接8085端口执行shutdown命令。
# 如何操作:
将默认的8005端口进行修改为其他端口,或者在配置文件中将默认的shutdown关闭指令更改为其他隐蔽命令
3)ajp连接端口保护
Tomcat 服务器通过Connector连接器组件与客户程序建立连接,Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客 户。
默认情况下,Tomcat在server.xml中配置了两种连接器,一种使用ajp,要和apache结合使用,一种使用http。当使用http 时,可以限制ajp端口访问,
在于防止线下测试流量被mod_jk转发至线上tomcat服务器。可以通过iptables规则限制ajp端口的访问,或 者直接将改行注释。
# 如何操作
修改配置文件
注释 vim conf/server.xml
<!--<Connector port="8329" protocol="AJP/1.3" redirectPort="8443" />-->
4)禁用管理端
对于tomcat的web管理端属于高危安全隐患,一旦被攻破,黑客通过上传web shell方式取得服务器的控制权,那是非常可怕的。
我们需要删除tomcat安装目录下conf/tomcat-user.xml或者删除webapps下默认的目录和文件。
性能
1) 禁用DNS查询
当web应用程序向要记录客户端的信息时,它也会记录客户端的IP地址或者通过域名服务器查找机器名转换为IP地址。DNS查询需要占用网络,
并且包括可能从很多很远的服务器或者不起作用的服务器上去获取对应的IP的过程,这样会消耗一定的时间。为了消除DNS查询对性能的影响我们可以关闭DNS查询.
# 操作方式
方式是修改server.xml文件中的enableLookups参数值改为false:enableLookups="false"
2)JVM调优
Tomcat最吃内存,只要内存足够,这只猫就跑的很快。
如果系统资源有限,那就需要进行调优,提高资源使用率。
优化catalina.sh配置文件。在catalina.sh配置文件中添加以下代码:
JAVA_OPTS="-Djava.awt.headless=true -Dfile.encoding=UTF-8 -server -Xms1024m -Xmx1024m -XX:NewSize=512m -XX:MaxNewSize=512m -XX:PermSize=512m -XX:MaxPermSize=512m"
server:一定要作为第一个参数,在多个CPU时性能佳
-Xms:初始堆内存Heap大小,使用的最小内存,cpu性能高时此值应设的大一些
-Xmx:初始堆内存heap最大值,使用的最大内存
上面两个值是分配JVM的最小和最大内存,取决于硬件物理内存的大小,建议均设为物理内存的一半。
-XX:PermSize:设定内存的永久保存区域
-XX:MaxPermSize:设定最大内存的永久保存区域
-XX:MaxNewSize:
-Xss 15120 这使得JBoss每增加一个线程(thread)就会立即消耗15M内存,而最佳值应该是128K,默认值好像是512k.
+XX:AggressiveHeap 会使得 Xms没有意义。这个参数让jvm忽略Xmx参数,疯狂地吃完一个G物理内存,再吃尽一个G的swap。
-Xss:每个线程的Stack大小
-verbose:gc 现实垃圾收集信息
-Xloggc:gc.log 指定垃圾收集日志文件
-Xmn:young generation的heap大小,一般设置为Xmx的3、4分之一
-XX:+UseParNewGC :缩短minor收集的时间
-XX:+UseConcMarkSweepGC :缩短major收集的时间
3) tomcat启动慢问题
# tomcat启动慢不全是因为这个原因,但是可以通过日志文件,看是否是随机数耽误超长时间,如果问题因为随机数原因导致,可以进行如下配置:
[root@sweb01 ~]# sed -n '117p' /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.222.b10-0.el7_6.x86_64/jre/lib/security/java.security
securerandom.source=file:/dev/urandom