一、 安全优化
1)删除Tomcat服务器webapps目录下的自带应用;
2)禁用Tomcat服务器配置中的SHUTDOWN端口,修改默认的SHUTDOWN字符串;
3)修改server.xml文件中http协议的默认端口为18170(默认8080 );
4)修改Tomcat默认用户(配置为注释状态)配置中的默认用户密码为复杂密码;
5)优化目录权限为744,防止本机其他用户执行Tomcat启停脚本;
6)增加cookie的http-only属性,防止脚本、控件等查看cookie信息,一定程度上预防xss攻击;
7)增加配置,禁止在Tomcat的报错页面显示Tomcat的版本号以及程序代码信息;
8)将autoDeploy设置为false,防止热部署导致的恶意程序自动热加载运行;
二、性能优化
1)启用了Tomcat服务器的线程池功能(初始化线程数150,最大500);
2)对于Tomcat 8.5.xx+ / 9.0.xx+ 版本使用Nio2协议,以提升WEB服务器的性能;
三、日志优化
1)修改access日志的记录格式为json格式,方便后续的日志监控和采集;
四、监控集成
1)增加了JVM参数以及用于Prometheus监控的文件和配置,具体配置见bin/setenv.sh;
2)脚本catalina.sh脚本中增加开启jmx访问的配置,hostname使用本机私网IP-127.0.0.1,一般无需修改;
五、其他优化
1)删除bin目录下的批处理脚本(用于 Windows 系统的批处理脚本);
附:版本定制化更新说明
2021/10/15 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.72、9.0.54。
2021/11/30 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.73、9.0.55。
2021/12/13 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.74、9.0.56。
2022/01/24 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.75、9.0.58。
2022/03/01 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.76、9.0.59。
2022/03/16 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 9.0.60。
2022/03/18 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.77。
2022/04/07 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.78、9.0.62。
2022/05/25 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.79、9.0.63。
2022/06/09 基于官方发布的最新版本插件,将 Tomcat 内置的 Prometheus 中间件监控数据采集包升级到 0.17.0 版本;
2022/06/13 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.81、9.0.64。
2022/07/21 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 9.0.65。
2022/10/26 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.83、9.0.68。
2022/12/03 基于官方发布的最新版本插件,将 Tomcat 内置的 Prometheus 中间件监控数据采集包升级到 0.17.2 版本。
2022/12/12 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 9.0.70。
2023/01/18 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 9.0.71。
2023/01/28 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.85。
2023/02/24 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 9.0.72。
2023/03/06 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.87、9.0.73。
2023/03/21 基于官方发布的最新版本插件,将 Tomcat 内置的 Prometheus 中间件监控数据采集包升级到 0.18.0 版本。
2023/04/19 基于官方发布包,更版本新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 9.0.74。
2023/04/21 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.88。
2023/05/21 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.89、9.0.75。
2023/06/12 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 9.0.76。
2023/06/16 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.90。
2023/07/04 基于官方发布的最新版本插件,将 Tomcat 内置的 Prometheus 中间件监控数据采集包升级到 0.19.0 版本。
2023/07/11 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.91、9.0.78。
2023/08/16 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.92、9.0.79。
2023/08/28 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.93、9.0.80。
2023/10/11 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.94、9.0.81。
2023/10/16 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 9.0.82。
2023/10/17 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.95。
2023/11/16 基于官方发布包,更新 Apache Tomcat 本地定制化(安全加固、性能优化、集成监控插件)版本到 8.5.96、9.0.83。
【Tomcat】Apache Tomcat本地安全、性能定制版更新记录
于 2023-06-12 07:49:00 首次发布