Apache Tomcat作为一款开源WEB应用服务器,在互联网行业被广泛安装、使用和运行。但是,很多系统运维或者实施工程师往往忽略了其安全和性能,下面就是我在工作中对Apache官方发布的Tomcat进行优化的点,然后进行二次打包,提供给现场新上线或者需要进行Tomcat版本安全升级的项目组使用。
看官若是觉得满意,请酌情打个赏呗(^_^)
一、安全优化
- 删除Tomcat服务器webapps目录下的所有自带应用;
- 修改Tomcat服务器配置中的默认SHUTDOWN字符和端口;
- 修改Tomcat服务器配置中的默认HTTP端口;
- 注释AJP协议配置模块(新版本默认已经注释)
- 修改Tomcat默认用户(配置为注释状态)配置中的默认用户密码为复杂密码;
- 增加cookie的http-only属性,防止脚本、控件等查看cookie信息,可以在一定程度上预防xss攻击;
二、性能优化
- 启用Tomcat服务器的线程池功能(初始化线程数150,最大500);
- 对于Tomcat 8.5.xx+ / 9.0.xx+ 采用Nio2协议,以提升服务器的性能;
- 增加JVM参数,配置可写入${CATALINA_HOME}/bin/setenv.sh文件中;
JDK 1.6.0_xxx、1.7.0_xxx:-Xms1024m -Xmx1024m -XX:PermSizie=1024m -XX:MaxPermSizie=1024m
JDK 1.8.0_xxx(或者以上版本):-Xms1024m -Xmx1024m -XX:MetaspaceSize=1024m -XX:MaxMetaspaceSize=1024m
- 增加用于Pormetheus监控的文件和配置,配置可写入${CATALINA_HOME}/bin/setenv.sh文件中;
三、备注
- Apache Tomcat 7.0.xx 技术支持将于2021年3月31日到期,后续官方将不再为7.0.xx提供补丁、升级以及下载等服务。
看官若是觉得满意,请酌情打个赏呗(^_^)