TOMCAT调优安全相关交流

一. 引言
    性能测试与分析是软件开发过程中介于架构和调整的一个广泛并比较不容易理解的领域，更是一项较为复杂的活动。就像下棋游戏一样，有效的性能测试和分析只能在一个良好的计划策略和具备了对不可预料事件的处理能力的条件下顺利地完成。一个下棋高手赢得比赛靠的不仅仅是对游戏规则的认识，更是靠他的自己的能力和不断地专注于分析自己对手的实力来更加有效地利用和发挥规则的作用。同样一个优秀的性能测试和分析人员将要面对的是来自一个全新的应用程序和环境下带来的整个项目的挑战。本文中作者结合自己的使用经验和参考文档，对Tomcat性能方面的调整做一简要的介绍，并给出Tomcat性能的测试、分析和调整优化的一些方法。
二. 测量Web服务器的性能
    测量web服务器的性能是一项让人感到畏缩的任务，但是我们在这里将给出一些需要注意的地方并且指点你了解其中更多的细节性的内容。它不像一些简单的任务，如测量CPU的速率或者是测量程序占用CPU的比例，web服务器的性能优化中包括许调整许多变量来达到目标。许多的测量策略中都包含了一个看似简单的浏览实际上是在向服务器发送大量的请求，我们称之为客户端的程序，来测量响应时间。客户端和服务器端是在同一台机器上吗？服务器在测试的时候还运行着其它的什么程序吗？客户端和服务器端的通讯是通过局域网，100baseT，10baseT还是使用调制解调器？客户端是否一直重复请求相同的页面，还是随机地访问不同的页面？（这些影响到了服务缓存的性能）客户端发送请求的有规律的还是突发的？你是在最终的配置环境下运行服务的还是在调试的配置环境下运行服务的？客户端请求中包含图片还是只有HTML页面？是否有请求是通过servlets和JSP的，CGI程序，服务端包含（Server-Side Includes ，SSI是一个可以让你使用动态HTML文件的技术）？所有这些都将是我们要关心的，并且几乎我们不可能精确地把所有的问题都清楚地列出来。
压力测试工具介绍
    “工欲善其事，必先利其器”，压力测试只有借助于一些工具才可得以实施。
大多数web压力测试工具的实现原理都是通过重复的大量的页面请求来模拟多用户对被测系统的并发访问，以此达到产生压力的目的。产生压力的手段都是通过录制或者是编写压力脚本，这些脚本以多个进程或者线程的形式在客户端运行，这样通过人为制造各种类型的压力，我们可以观察被测系统在各种压力状况下的表现，从而定位系统瓶颈，作为系统调优的基础。目前已经存在的性能测试工具林林总总，数量不下一百种，从单一的开放源码的免费小工具如 Aapache 自带的 web 性能测试工具 Apache Benchmark、开源的Jmeter 到大而全的商业性能测试软件如 Mercury 的 LoadRunner 等等。任何性能测试工具都有其优缺点，我们可以根据实际情况挑选用最合适的工具。您可以在这里找到一些web压力测试工具http://www.softwareqatest.com/qatweb1.html#LOAD
    这里我们所使用的工具要支持web应用服务认证才可以，要支持接收发送cookies，不仅如此Tomcat支持多种认证方式，比如基本认证、基于表单的认证、相互认证和客户端认证，而一些工具仅仅支持HTTP基本认证。真实地模拟用户认证是性能测试工具的一个重要的部分，因为认证机制将对一个web站点的性能特征产生重要的影响。基于你在产品中使用的不同的认证方式，你需要从上面的工具列表中选择使用这种特性的测试工具。
Apache Benchmark和http_load是命令行形式的工具，非常易于使用。Apache Benchmark可以模仿单独的URL请求并且重复地执行，可以使用不同的命令行参数来控制执行迭代的次数，并发用户数等等。它的一个特点是可以周期性地打印出处理过程的信息，而其它工具只能给出一个全局的报告。
   
三. 外部环境的调整
　　在Tomcat和应用程序进行了压力测试后，如果您对应用程序的性能结果不太满意，就可以采取一些性能调整措施了，当然了前提是应用程序没有问题，我们这里只讲Tomcat的调整。由于Tomcat的运行依赖于JVM，所以在这里我们把Tomcat的调整可以分为两类来详细描述：
　　外部环境调整
　　调整非Tomcat组件，例如Tomcat运行的操作系统和运行Tomcat的java虚拟机。
　　自身调整
　　修改Tomcat自身的参数，调整Tomcat配置文件中的参数。
　　下面我们将详细讲解外部环境调整的有关内容，Tomcat自身调整的内容将在第2部分中阐述。
1、JAVA虚拟机性能优化

　Tomcat本身不能直接在计算机上运行，需要依赖于硬件基础之上的操作系统和一个java虚拟
机。您可以选择自己的需要选择不同的操作系统和对应的JDK的版本（只要是符合Sun发布的Java
规范的），但我们推荐您使用Sun公司发布的JDK。确保您所使用的版本是最新的，因为Sun公
司和其它一些公司一直在为提高性能而对java虚拟机做一些升级改进。一些报告显示JDK1.4在性
能上比JDK1.3提高了将近10%到20%。
可以给Java虚拟机设置使用的内存，但是如果你的选择不对的话，虚拟机不会补偿。可通过
命令行的方式改变虚拟机使用内存的大小。如下表所示有两个参数用来设置虚拟机使用内存的大小。
参数 描述
-Xms<size> JVM 初始化堆的大小
-Xmx<size> JVM 堆的最大值
这两个值的大小一般根据需要进行设置。初始化堆的大小执行了虚拟机在启动时向系统申请的
内存的大小。一般而言，这个参数不重要。但是有的应用程序在大负载的情况下会急剧地占用更多
的内存，此时这个参数就是显得非常重要，如果虚拟机启动时设置使用的内存比较小而在这种情况
下有许多对象进行初始化，虚拟机就必须重复地增加内存来满足使用。由于这种原因，我们一般把
-Xms和-Xmx设为一样大，而堆的最大值受限于系统使用的物理内存。一般使用数据量较大的应用
程序会使用持久对象，内存使用有可能迅速地增长。当应用程序需要的内存超出堆的最大值时虚拟
机就会提示内存溢出，并且导致应用服务崩溃。因此一般建议堆的最大值设置为可用内存的最大值
的80%。
Tomcat默认可以使用的内存为128MB，在较大型的应用项目中，这点内存是不够的，需要调
大。
Windows下，在文件{tomcat_home}/bin/catalina.bat，Unix下，在文件
{tomcat_home}/bin/catalina.sh的前面，增加如下设置：
JAVA_OPTS='-Xms【初始化内存大小】 -Xmx【可以使用的最大内存】'
需要把这个两个参数值调大。例如：
JAVA_OPTS='-Xms256m -Xmx512m'
表示初始化内存为256MB，可以使用的最大内存为512MB。
另外需要考虑的是Java提供的垃圾回收机制。虚拟机的堆大小决定了虚拟机花费在收集垃圾
上的时间和频度。收集垃圾可以接受的速度与应用有关，应该通过分析实际的垃圾收集的时间和频
率来调整。如果堆的大小很大，那么完全垃圾收集就会很慢，但是频度会降低。如果你把堆的大小
和内存的需要一致，完全收集就很快，但是会更加频繁。调整堆大小的的目的是最小化垃圾收集的
时间，以在特定的时间内最大化处理客户的请求。在基准测试的时候，为保证最好的性能，要把堆
的大小设大，保证垃圾收集不在整个基准测试的过程中出现。
如果系统花费很多的时间收集垃圾，请减小堆大小。一次完全的垃圾收集应该不超过 3-5 秒。
如果垃圾收集成为瓶颈，那么需要指定代的大小，检查垃圾收集的详细输出，研究 垃圾收集参数对
性能的影响。一般说来，你应该使用物理内存的 80% 作为堆大小。当增加处理器时，记得增加内
存，因为分配可以并行进行，而垃圾收集不是并行的。

2.操作系统性能优化

　　这里说的操作系统是指运行web服务器的系统软件，当然，不同的操作系统是为不同的目的而设计的。比如OpenBSD是面向安全的，因此在它的内核中有许多的限制来防止不同形式的服务攻击（OpenBSD的一句座右铭是“默认是最安全的”）。这些限制或许更多地用来运行活跃的web服务器。
　　而我们常用的Linux操作系统的目标是易用使用，因此它有着更高的限制。使用BSD内核的系统都带有一个名为“Generic”的内核，表明所有的驱动器都静态地与之相连。这样就使系统易于使用，但是如果你要创建一个自定义的内核来加强其中某些限制，那就需要排除不需要的设备。Linux内核中的许多驱动都是动态地加载的。但是换而言之，内存现在变得越来越便宜，所以因为加载额外的设备驱动就显得不是很重要的。重要的是要有更多的内存，并且在服务器上腾出更多的可用内存。
　　小提示：虽然现在内存已经相当的便宜，但还是尽量不要购买便宜的内存。那些有牌子的内存虽然是贵一点，但是从可靠性上来说，性价比会更高一些。
　　如果是在Windows操作系统上使用Tomcat，那么最好选择服务器版本。因为在非服务器版本上，最终用户授权数或者操作系统本身所能承受的用户数、可用的网络连接数或其它方面的一些方面都是有限制的。并且基于安全性的考虑，必须经常给操作系统打上最新的补丁。

3.Tomcat与其它web服务器整合使用

　　虽然tomcat也可以作web服务器,但其处理静态html的速度比不上apache,且其作为web服务器的功能远不如apache,因此我们想把apache和tomcat集成起来，将html与jsp的功能部分进行明确分工，让tomcat只处理jsp部分，其它的由apache,IIS等这些web服务器处理，由此大大节省了tomcat有限的工作“线程”。

4.负载均衡

　　在负载均衡的思路下，多台服务器为对称方式，每台服务器都具有同等的地位，可以单独对外提供服务而无须其他服务器的辅助。通过负载分担技术，将外部发送来的请求按一定规则分配到对称结构中的某一台服务器上，而接收到请求的服务器都独立回应客户机的请求。
　　提供服务的一组服务器组成了一个应用服务器集群(cluster)，并对外提供一个统一的地址。当一个服务请求被发至该集群时，根据一定规则选择一台服务器，并将服务转定向给该服务器承担，即将负载进行均衡分摊。
　　通过应用负载均衡技术，使应用服务超过了一台服务器只能为有限用户提供服务的限制，可以利用多台服务器同时为大量用户提供服务。当某台服务器出现故障时，负载均衡服务器会自动进行检测并停止将服务请求分发至该服务器，而由其他工作正常的服务器继续提供服务，从而保证了服务的可靠性。
　　负载均衡实现的方式大概有四种：第一是通过DNS，但只能实现简单的轮流分配，不能处理故障，第二如果是基于MS IIS，Windows 2003 server本身就带了负载均衡服务，第三是硬件方式，通过交换机的功能或专门的负载均衡设备可以实现，第四种是软件方式，通过一台负载均衡服务器进行，上面安装软件。使用Apache Httpd Server做负载平衡器，Tomcat集群节点使用Tomcat就可以做到以上第四种方式。这种方式比较灵活，成本相对也较低。另外一个很大的优点就是可以根据应用的情况和服务器的情况采取一些策略。

5、调整线程数
Tomcat5使用线程池（Apache Portable Runtime）来加速响应速度。默认创建5个线程，最大 线程数是200.如果并发较大，则可以对以下几个参数进行具体的调整：
maxThreads：Tomcat可创建的最大线程数；
acceptCount：如果当前可用线程数为0，则将请求放入处理队列中。这个值限定了请求队列的大小，超过这个数值的请求将不予处理。
connectionTimeout：网络连接超时数，单位毫秒。
minSpareThreads：如果当前没有空闲线程，且没有超过maxThreads，一次性创建的空闲线程数量。Tomcat初始化时创建的线程数量也由此值设置。
maxSpareThreads：一旦创建的线程超过此数值，Tomcat会关闭不再需要的线程。
线程数可以大致上用 “同时在线人数*每秒用户操作次数*系统平均操作时间” 来计算。


四、Linux下切分Tomcat的catalina.out日志文件（周总建议）

随着Tomcat的运行，catalina.out文件会越来越大，虽然Tomcat每日会生成一个catalina.ymd.log的文件，但catalina.out主文件仍然不断增加，需要对catalina.out按日切分才好，在网上找了一下，看到一篇《rotating catalina.out in tomcat 5.5 using cronolog》，就用公司的Tomcat配置一下。

cronolog工具已经在服务器上装过，一个对日志切分的小工具，其主页在http://cronolog.org/，我们也用它来切分Apache的日志。

进入Tomcat的bin目录，打开catalina.sh文件，找到tomcat启动的相关行，或者你直接查找catalina.out，一般我们修改下面行中的内容（因为我们一般不会在-security条件下运行），

1.     else
   
2.     “$_RUNJAVA” $JAVA_OPTS $CATALINA_OPTS \
   
3.     -Djava.endorsed.dirs=”$JAVA_ENDORSED_DIRS” -classpath “$CLASSPATH” \
   
4.     -Dcatalina.base=”$CATALINA_BASE” \
   
5.     -Dcatalina.home=”$CATALINA_HOME” \
   
6.     -Djava.io.tmpdir=”$CATALINA_TMPDIR” \
   
7.     org.apache.catalina.startup.Bootstrap “$@” start  \
   
8.     >> “$CATALINA_BASE”/logs/catalina.out 2>&1 &
   
9. 
   
10.     if [ ! -z "$CATALINA_PID" ]; then
    
11.     echo $! > $CATALINA_PID
    
12.     fi
    
13.     fi

复制代码

修改

1. org.apache.catalina.startup.Bootstrap "$@" start \
   
2. >> "$CATALINA_BASE"/logs/catalina.out 2>&1 &

复制代码

为

1. org.apache.catalina.startup.Bootstrap "$@" start 2>&1 \
   
2. | /usr/local/sbin/cronolog "$CATALINA_BASE"/logs/catalina.out.%Y-%m-%d >> /dev/null &

复制代码

同时，上面有一行

1. touch “$CATALINA_BASE”/logs/catalina.out

复制代码

可以注释掉，完成之后重起Tomcat就可以了，在logs目录下可以看到catalina.2009-02-18.out的日志，是按日生成的。
此部分出处：http://i.laoer.com/2009/02/18/ro ... cat-using-cronolog/

 

 

五、安全相关
1.Tomcat没有屏蔽目录文件的自动列出。
Tomcat没有屏蔽目录文件的自动列出。缺省情况下，如果你访问Tomcat下的一个web应用，那么如果你输入的是一个目录名，而且该目录下没有一个可用的welcome文件，那么Tomcat会将该目录下的所有文件列出来，在许多情况下，这一默认功能为攻击者提供不少便利，对Tomcat进行加固则应屏蔽这个缺省行。
建议：
屏蔽目录文件的自动列出：conf/web.xml
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>

2.Tomcat的连接控制端口没有安全保护措施,没有更改SHUTDOWN的默认口令和默认端口。

Tomcat的连接控制端口一般为8005，如果任何人都可以访问这一端口的话，那么访问者就可以telnet到服务器的8005端口，输入"SHUTDOWN"，然后回车，服务器立即就被关掉了。在这一端口处有一定的安全策略来保证系统安全。

建议

加强Tomcat连接控制配置的安全保护措施，更换连接端口和SHUTDOWN命令。conf/server.xml
例如修改如下：
<Server port="8006" shutdown="onlyadminshutdown">，这样就只有在telnet到8006，并且输入" onlyadminshutdown "才能够关闭Tomcat。

3.Tomcat未设置客户端的访问日志。

从安全的角度讲，让Tomcat记录客户端的访问日志并进行访问分析对服务器的安全有着很重要的意义。从日志中可以分析出那些用户对Tomcat服务器进行非法访问和入侵。

建议
开启Tomcat的记录客户端访问日志功能。：加上Valve节点到conf/server.xml文件中，和目前使用的Connector的节点平级。如：<Valve className="org.apache.catalina.valves.AccessLogValve" directory="e:\trs\trscds\tomcat\logs" pattern="combined"/>
重新启动Tomcat。


4.Tomcat的日志文件没有专人定期查看，也没有备份策略。

Tomcat的日志文件是计算机取证的重要来源，也是诊断服务器稳定运行的重要手段，需要定期查看并备份保留。

建议

定期查看分析Tomcat的日志文件，并做好备份工作

 

强制TOMCAT编码转换为UTF-8或GBK
编辑catalina.sh文件，在JAVA_OPTS属性下增加一行

UTF-8：
export LANG=en_US.UTF-8

GBK：
export LANG=zh_CN.GBK

配置完成后重启TOMCAT即可