tomcat 安全规划及性能优化

时间  2019-11-30
标签 tomcat 安全 规划 性能 优化 栏目 Tomcat 繁體版
原文   原文链接

jvm运行时数据结构:html

 

jvm堆数据机构:java

 

-xms 初始化堆大小 默认物理内存的1/64(<1GB)
-xmx 最大堆大小 默认物理内存的1/4(<1GB),实际中建议不大于4GB
通常建议设置 -xms = -xmx 好处是避免每次在gc后,调整堆的大小,减小系统内存分配开销node

整个堆大小=年轻代大小+年老代大小+持久代大小python

新生代=1个eden区+2个suivivor区 使用-xmn来设置其大小,默认值大小为整个堆的3/8,用来存放JVM刚分配的java对象linux

老年代中通过垃圾回收没有被回收掉的对象被复制到老年代,老年代大小无配置参数web

-xx:permsize :设置持久代大小 通常和-xx:maxpermsize最大持久代大小一致,为了不gc后内存的开销
持久代存放class、method元信息,其大小与项目的规模、类、方法的数量有关。通常设置为128M就足够了,设置原则是预留30%的空间apache

tomcat安装部署bootstrap

首先到tomcat和jdk官方下载源码包vim

[root@linux-node1 ~]$ cd  /usr/local/
[root@linux-node1 local]$ ll
-rw-r--r-- 1 root root   9532698 Mar  5 21:50 apache-tomcat-8.5.29.tar.gz
-rw-r--r-- 1 root root 354635831 Mar 19 13:29 jdk-9.0.4_linux-x64_bin.tar.gz

安装jdk和tomcattomcat

[root@linux-node1 local]$ tar  xf jdk-9.0.4_linux-x64_bin.tar.gz
[root@linux-node1 local]$ tar  xf apache-tomcat-8.5.29.tar.gz
[root@linux-node1 local]$ ln -s   /usr/local/jdk-9.0.4  /usr/local/jdk
[root@linux-node1 local]$ ln -s   /usr/local/apache-tomcat-8.5.29  /usr/local/tomcat  

建立管理jdk和tomcat的用户,并对此用户授予全部者权限

[root@linux-node1 local]# useradd  -u  601  tomcat
[root@linux-node1 local]# chown  tomcat.tomcat  /usr/local/jdk  -R
[root@linux-node1 local]# chown  tomcat.tomcat  /usr/local/tomcat -R

建立jdk和tomcat的系统环境变量

[root@linux-node1 local]# vim  /etc/profile.d/tomcat.sh 
export  JAVA_HOME=/usr/local/jdk
export  TOMCAT_HOME=/usr/local/tomcat
export  PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$TOMCAT_HOME/bin:$PATH
export  CLASSPATH=.$CLASSPATH:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/lib/to
ols.jar 

加载这个脚本,使tomcat和jdk的环境变量生效  [root@linux-node1 ~]# source /etc/profile.d/tomcat.sh 

为了安全起见,切换到tomcat用户环境,使用tomcat用户来启动tomcat

[root@linux-node1 local]# su  - tomcat
[tomcat@linux-node1 ~]$ catalina.sh   start
[tomcat@linux-node1 ~]$ ps  -ef|grep java |grep tomcat
tomcat    16777      1 70 16:19 pts/1    00:00:04 /usr/local/jdk/bin/java -Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djdk.tls.ephemeralDHKeySize=2048 -Djava.protocol.handler.pkgs=org.apache.catalina.webresources -Dignore.endorsed.dirs= -classpath /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/usr/local/tomcat -Dcatalina.home=/usr/local/tomca -Djava.io.tmpdir=/usr/local/tomcat/temp org.apache.catalina.startup.Bootstrap start
#固然也能够取tomcat进程的pid号,这样就能够建立一个管理tomcat的脚本
[tomcat@linux-node1 ~]$ ps  -ef|grep java |grep tomcat|grep -v  grep |awk  '{print $2}'
16777
[tomcat@linux-node1 ~]$ netstat -lntup
tcp6       0      0 127.0.0.1:8005          :::*                    LISTEN      16777/java          
tcp6       0      0 :::8009                 :::*                    LISTEN      16777/java          
tcp6       0      0 :::8080                 :::*                    LISTEN      16777/java

可以正常启动tomcat后,就能够建立一个脚原本管理tomcat了,实现经过脚原本启动tomcat或关闭tomcat再或重启tomcat等。

经过设置catalina.sh来配置远程监控jvm

vim  /usr/local/tomcat/bin/catalina.sh
CATALINA_OPTS="$CATALINA_OPTS
-Dcom.sun.management.jmxremote
-Dcom.sun.management.jmxremote.ssl=false
-Dcom.sun.management.jmxremote.authenticate=false
-Dcom.sun.management.jmxremote.port=22222
-Djava.rmi.server.hostname=192.168.182.170"

tomcat 在生产环境下安全规范

一、telnet端口的修改<Server port="8005" shutdown="SHUTDOWN"> 将8005端口修改或shutdown指令字符创作修改好比shutdown="dangji"

  若是这个端口没有修改,能够经过这个端口telnet上来关闭tomcat服务:telnet  192.168.182.170  8005   进入后输入SHUTDOWN便可关闭tomcat服务。

二、ajp链接端口的保护:<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
修改默认端口8009为不易冲突的大于1024端口

三、禁用管理端
删除默认安装目录下的conf/tomcat-users.xml文件,重启tomcat后将会自动生成新的文件
删除默认安装目录下的/webapps下默认全部的目录和文件
将tomcat应用根目录配置为tomcat安装目录之外的目录。例如:在Host标签下添加
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true">
<Context path="" docBase="/usr/local/tomcat/webroot" debug="
0" reloadable="false" crossContext="true">
</Context>

四、文件列表的访问控制
conf/web.xml文件中的default部分listings的配置必须为false,默认是false。表示禁止将文件展现出来

五、版本信息隐藏
修改web.xml重定向40三、404以及500等错误指定的错误页面,由于这些错误页面上会显示版本信息,因此要修改错误页面的重定向

六、server header重写
在HTTP Connector配置中加入server的配置

七、访问限制
经过配置,限定访问的ip来源

八、起停脚本的权限收回
去除其余用户对tomcat的bin目录下shutdown.sh、startup.sh、catalina.sh的可执行权限
chmod -R 744 tomcat/bin/*

九、访问日志格式的规范
开启tomcat默认访问日志中的Referer和User-Agent记录

tomcat性能优化:

tomcat线程优化:

<Connector port="80" protocol="HTTP/1.1" maxThreads="600" minSpareThreads="100" maxSpareThreads="500" acceptCount="700"
connectionTimeout="20000" redirectPort="8443" />

maxThreads="600"       ///最大线程数
minSpareThreads="100"///初始化时建立的线程数
maxSpareThreads="500"///一旦建立的线程超过这个值,Tomcat就会关闭再也不须要的socket线程。
acceptCount="700"//指定当全部可使用的处理请求的线程数都被使用时,能够放处处理队列中的请求数,超过这个数的请求将不予处理

能够经过命令:java -xx:+PrintFlagsFinal 显示java所支持的全部的参数及参数对应的默认值

jvm内存调优:

vim  /usr/local/tomcat/bin/catalina.sh 

JSSE_OPTS="-Xmx4000M -Xms4000M -Xmn600M -XX:PermSize=128M -XX:MaxPermSize=128M -Xss256K -XX:+DisableExplicitGC -XX:SurvivorRatio=1 -XX:+UseConcMarkSweepGC -XX:+UseParNewGC -XX:+CMSParallelRemarkEnabled -XX:+UseCMSCompactAtFullCollection -XX:CMSFullGCsBeforeCompaction=0 -XX:+CMSClassUnloadingEnabled -XX:LargePageSizeInBytes=128M -XX:+UseFastAccessorMethods -XX:+UseCMSInitiatingOccupancyOnly -XX:CMSInitiatingOccupancyFraction=80 -XX:SoftRefLRUPolicyMSPerMB=0 -XX:+PrintClassHistogram -XX:+PrintGCDetails -XX:+PrintGCTimeStamps -XX:+PrintHeapAtGC -Xloggc:log/gc.log "

配置说明:

  • Tomcat 默认是以 java -client 的方式运行,server 意味着是已真正的生产环境来运行,这样能够得到更高的并发、更高效的垃圾回收能力;
  • Xms、Xmx表示JVM 最小内存初始值和最大内存初始值,建议设置为相同参数,以减小CPU对内存资源的调度,避免CPU高速运转进行的垃圾回收;
  • Xmn设置年轻代大小为512m。整个堆大小=年轻代大小 + 年老代大小 + 持久代大小。持久代通常固定大小为64m,因此增大年轻代后,将会减少年老代大小。此值对系统性能影响较大,Sun官方推荐配置为整个堆的3/8;
  • -Xss是指设定每一个线程的堆栈大小。这个就要依据你的程序,看一个线程 大约须要占用多少内存,可能会有多少线程同时运行等。通常不易设置超过1M,要否则容易出现out ofmemory;
  • -XX:+AggressiveOpts做用如其名(aggressive),启用这个参数,则每当JDK版本升级时,你的JVM都会使用最新加入的优化技术;
  • -XX:+UseBiasedLocking启用一个优化了的线程锁,咱们知道在咱们的appserver,每一个http请求就是一个线程,有的请求短有的请求长,就会有请求排队的现象,甚至还会出现线程阻塞,这个优化了的线程锁使得你的appserver内对线程处理自动进行最优调配;
  • -XX:PermSize=128M -XX:MaxPermSize=256M JVM使用-XX:PermSize设置非堆内存初始值,默认是物理内存的1/64;在数据量的很大的文件导出时,必定要把这两个值设置上,不然会出现内存溢出的错误。由XX:MaxPermSize设置最大非堆内存的大小,默认是物理内存的1/4。那么,若是是物理内存4GB,那么64分之一就是64MB,这就是PermSize默认值,也就是永生代内存初始大小;四分之一是1024MB,这就是MaxPermSize默认大小;
  • -XX:+DisableExplicitGC在程序代码中不容许有显示的调用”System.gc()”。调用System.gc()付出的代价就是系统响应时间严重下降,就和我在关于Xms,Xmx里的解释的原理同样;
  • -XX:+UseParNewGC 对年轻代采用多线程并行回收。
  • -XX:+UseConcMarkSweepGC 即CMS gc,这一特性只有jdk1.5即后续版本才具备的功能,它使用的是gc估算触发和heap占用触发。咱们知道频频繁的GC会造面JVM的大起大落从而影响到系统的效率,所以使用了CMS GC后能够在GC次数增多的状况下,每次GC的响应时间却很短,好比说使用了CMS GC后通过jprofiler的观察,GC被触发次数很是多,而每次GC耗时仅为几毫秒;
  • -XX:+CMSParallelRemarkEnabled在使用UseParNewGC 的状况下, 尽可能减小mark的时间;
  • -XX:+UseCMSCompactAtFullCollection在使用concurrent gc 的状况下, 防止 memoryfragmention, 对live object 进行整理, 使 memory 碎片减小;
  • -XX:LargePageSizeInBytes指定 Java heap的分页页面大小;
  • -XX:CMSInitiatingOccupancyFraction=70CMSInitiatingOccupancyFraction,这个参数设置有很大技巧,基本上知足(Xmx-Xmn)*(100- CMSInitiatingOccupancyFraction)/100>=Xmn就 不会出现promotion failed。在个人应用中Xmx是6000,Xmn是512,那么Xmx-Xmn是5488兆,也就是年老代有5488 兆,CMSInitiatingOccupancyFraction=90说明年老代到90%满的时候开始执行对年老代的并发垃圾回收(CMS),这时还 剩10%的空间是5488*10%=548兆,因此即便Xmn(也就是年轻代共512兆)里全部对象都搬到年老代里,548兆的空间也足够了,因此只要满 足上面的公式,就不会出现垃圾回收时的promotion failed,所以这个参数的设置必须与Xmn关联在一块儿;

参考文章:http://www.open-open.com/lib/view/open1324736648468.html

     http://blog.chinaunix.net/uid-743704-id-2681326.html

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程