Tomcat目录结构
/bin #控制tomcat启动与关闭
/conf #存放配置文件
- catalina.policy:这个文件的主要作用是防止jsp代码等用户代码破坏Tomcat容器,如system.exit(0)。只用在使用命令行启动tomcat并使用-security参数时,这个文件才被使用。
catalina.properties:里面包含了不能被jsp或servlet修改的jar文件列表,如java.*
org和tomcat.apache.*等。
context.xml:这是有关context的配置文件。由于这个context.xml位于顶层,所以是一个被所有Web应用程序使用的配置文件。默认内容为web.xml文件的位置。
logging.properties:默认为JULI logger使用的配置文件。
server.xml:Tomcat中最主要的配置文件,定义了tomcat的体系结构。这个文件是被digester用来在tomcat启动时构建tomcat容器的配置文件。
tocmat-users.xml:有关Tocmat管理员身份的配置文件,它是同server.xml中的UserDatabase
Realm一起使用的。
web.xml:这个默认的web.xml被Tomcat下所有的应用程序所使用。主要包括servlet-mapping,
servlet标签,mime-type 标签和welcome-file-list标签。
/lib #里面包含了Tomcat容器使用的所有jar包。
/logs #里面包含有tomcat生成的日志文件。
/temp #这个文件夹所Tomcat用来存放临时文件用的。
/webbapps #项目目录
/work #工作目录
tomcat 组件详解
engine:核心容器组件,catalina引擎,负责通过connector接收用户请求,并处理请 求,将请求转至对应的虚拟主机host。
host:类似于httpd中的虚拟主机,一般而言支持基于FQDN的虚拟主机。
context:定义一个应用程序,是一个最内层的容器类组件(不能再嵌套)。配置 context的主要目的指定对应对的webapp的根目录,类似于httpd的alias,其还能为 webapp指定额外的属性,如部署方式等。
connector:接收用户请求,类似于httpd的listen配置监听端口。
service(服务):将connector关联至engine,因此一个service内部可以有多个 connector,但只能又一个引擎engine。service内部有两个connector,一个 engine。因此,一般情况下一个server内部只有一个service,一个service内部只有 一个engine,但一个service内部可以有多个connector。
server:表示一个运行于JVM中的tomcat实例。
Valve:阀门,拦截请求并在将其转至对应的webapp前进行某种处理操作,可以用于 任何容器中,比如记录日志(access log valve),基于IP做访问控制(remote address filer valve)。
logger:日志记录器,用于记录组件内部的状态信息,可以用于除context外的任何 容器中。
realm:可以用于任意容器类的组件中,关联一个用户认证库,实现认证和授权。可 以关联的认证库有两种:UserDatabaseRealm,MemoryRealm和JDBCRealm。
UserDatabaseRealm:使用JNDI自定义的用户认证库。
MemoryRealm:认证信息定义在tomcat-users.xml中。
JDBCRealm:认证信息定义在数据库中,并通过JDBC连接至数据库中查找认证用户。
配置文件注释
- <~?xml version=‘1.0’ encoding=‘utf-8’?>
- <~!-
- <~Server>元素代表整个容器,是Tomcat实例的顶层元素.由org.apache.catalina.Serve接口来定义.它包含一个<%service>元素.并且它不能做为任何元素的子元素.
-
port指定Tomcat监听shutdown命令端口.终止服务器运行时,必须在Tomcat服务器所在 的机器上发出shutdown命令.该属性是必须的.
-
shutdown指定终止Tomcat服务器运行时,发给Tomcat服务器的shutdown监听端口的字符 串.该属性必须设置
- –>
- <~Server port=“8005” shutdown=“SHUTDOWN”>
- <~Listener className=“org.apache.catalina.startup.VersionLoggerListener” />
- <~Listener className=“org.apache.catalina.core.AprLifecycleListener” S SLEngine=“on” />
- <~Listener className=“org.apache.catalina.core.JreMemoryLeakPreventionListener” />
- <~Listener className=“org.apache.catalina.mbeans.GlobalResourcesLifecycleListener” />
- <~Listener className=“org.apache.catalina.core.ThreadLocalLeakPreventionListener” />
- <~GlobalNamingResources>
-
<~Resource name="UserDatabase" auth="Container"
-
type="org.apache.catalina.UserDatabase"
-
description="User database that can be updated and saved"
-
factory="org.apache.catalina.users.MemoryUserDatabaseFactory"
-
pathname="conf/tomcat-users.xml" />
- <~/GlobalNamingResources>
- <~!–service服务组件–>
- <~Service name=“Catalina”>
-
<~!-
-
connector:接收用户请求,类似于httpd的listen配置监听端口.
-
port指定服务器端要创建的端口号,并在这个端口监听来自客户端的请求。
-
address:指定连接器监听的地址,默认为所有地址(即0.0.0.0)
-
protocol连接器使用的协议,支持HTTP和AJP。AJP(Apache Jserv Protocol )专用于tomcat与apache建立通信的, 在httpd反向代理用户请求至tomcat时使用(可见Ng inx反向代理时不可用AJP协议)。
-
minProcessors服务器启动时创建的处理请求的线程数
-
maxProcessors最大可以创建的处理请求的线程数
-
enableLookups如果为true,则可以通过调用request.getRemoteHost()进行D NS查询来得到远程客户端的实际主机名,若为false则不进行DNS查询,而是返回其ip地址
-
redirectPort指定服务器正在处理http请求时收到了一个SSL传输请求后重定向的 端口号
-
acceptCount指定当所有可以使用的处理请求的线程数都被使用时,可以放到处理队 列中的请求数,超过这个数的请求将不予处理
-
connectionTimeout指定超时的时间数(以毫秒为单位)
-
-->
-
<~Connector port="8080" protocol="HTTP/1.1"
-
connectionTimeout="20000"
-
redirectPort="8443" />
-
<~Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
-
<~!--engine,核心容器组件,catalina引擎,负责通过connector接收用户请求,并处理 请求,将请求转至对应的虚拟主机host
-
defaultHost指定缺省的处理请求的主机名,它至少与其中的一个host元素的name 属性值是一样的
-
-->
-
<~Engine name="Catalina" defaultHost="localhost">
-
<!--Realm表示存放用户名,密码及role的数据库-->
-
<~Realm className="org.apache.catalina.realm.LockOutRealm">
-
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
-
resourceName="UserDatabase"/>
-
</Realm>
-
<~!-
-
host表示一个虚拟主机
-
name指定主机名
-
appBase应用程序基本目录,即存放应用程序的目录.一般为appBase="webapps" ,相对于CATALINA_HOME而言的,也可以写绝对路径。
-
unpackWARs如果为true,则tomcat会自动将WAR文件解压,否则不解压,直接从WAR文件中运行应用程序
-
autoDeploy:在tomcat启动时,是否自动部署。
-
xmlValidation:是否启动xml的校验功能,一般xmlValidation="false"。
-
xmlNamespaceAware:检测名称空间,一般xmlNamespaceAware="false"。
-
-->
-
<~Host name="localhost" appBase="webapps"
-
unpackWARs="true" autoDeploy="true">
-
<~!-
-
Context表示一个web应用程序,通常为WAR文件
-
docBase应用程序的路径或者是WAR文件存放的路径,也可以使用相对路径,起始路径为此Context所属Host中appBase定义的路径。
-
path表示此web应用程序的url的前缀,这样请求的url为 http://localhost:8080/path/****
-
reloadable这个属性非常重要,如果为true,则tomcat会自动检测应用程序的/WEB-INF/lib 和/WEB-INF/classes目录的变化,自动装载新的应用程序,可以在不重启 tomcat的情况下改变应用程序
-
-->
-
<~Context path="" docBase="" debug=""/>
-
<~Valve className="org.apache.catalina.valves.AccessLogValve" di rectory="logs"
-
prefix="localhost_access_log" suffix=".txt"
-
pattern="%h %l %u %t "%r" %s %b" />
-
</Host>
-
</Engine>
1.安全优化
最重要的优化为如下4项,但并不止这四种
降权启动/telnet管理端口保护/ajp连接端口保护/禁用管理端
具体操作如下:
1)降权启动(同nginx优化部分的监牢模式)
降权的原则就是利用普通用户来启动Tomcat
(1)将Tomcat程序目录拷贝到普通用户家目录下
(2)修改家目录下程序的配置文件(启动端口,检测端口等),并重新指定网页根目录 路径。
(3)递归授权拷贝后的Tomcat程序的属主属组为普通用户。
(4)用su命令切换为普通用户,启动Tomcat进程
(5)此时Tomcat进程的权限为普通用户权限
(6)如果利用/etc/rc.local文件配置普通用户程序的开机启动,那么需要利用su -c临时 切换身份启动。具体可参考linux基础教案里的用户管理部分
2)telnet管理端口保护
- sed -n ‘22p’ /usr/local/tomcat/conf/server.xml
- <~Server port=“8005” shutdown=“SHUTDOWN”>
#表示通过8005端口来接受SHUTDOW N,用来停止Tomcat进程。默认的方式是非常危险的。需要进行修改
3)ajp连接端口保护 - sed -n ‘91p’ /usr/local/tomcat/conf/server.xml
-
<~Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
#这是AJP协议打开的端口,我们并不需要开启这个端口,因此注释掉本行
4)禁用管理端
Tomcat默认在安装完成后的网页目录里有很多多余的目录,删除所有不需要用到的目录,并清空ROOT网页默认根目录下的所有东西,规避可能的代码漏洞
2.性能优化
1)屏蔽DNS查询 enableLookups=“false”
DNS查询非常消耗时间,如果开启会影响Tomcat性能,因此关闭。
- #默认没有,需添加配置文件如下代码段,在Connector标签位置。表示禁止DNS查询
-
<~Connector port="8081" protocol="HTTP/1.1"
-
connectionTimeout="6000" enableLookups="false" acceptCoun t="800"
-
redirectPort="8443" /
2)jvm调优
Tomcat最吃内存,只要内存足够,这只猫就跑的很快。 如果系统资源有限,那就需要进行调优,提高资源使用率。
- #优化catalina.sh初始化脚本。在catalina.sh初始化脚本中添加以下代码:
- #catalina.sh的路径为:/usr/local/tomcat/bin/catalina.sh
- #此行优化代码需要加在脚本的最开始,声明位置。不要放在后边
- JAVA_OPTS="-Djava.awt.headless=true -Dfile.encoding=UTF-8 -server -Xms1024m -Xmx1024m -XX:NewSize=512m -XX:MaxNewSize=512m -XX:PermSize=512m XX:MaxPermSize=512m"
#代码说明:
- server:一定要作为第一个参数,在多个CPU时性能佳
- -Xms:初始堆内存Heap大小,使用的最小内存,cpu性能高时此值应设的大一些
- -Xmx:初始堆内存heap最大值,使用的最大内存
- 上面两个值是分配JVM的最小和最大内存,取决于硬件物理内存的大小,建议均设为物理内存的一半。
- -XX:PermSize:设定内存的永久保存区域
- -XX:MaxPermSize:设定最大内存的永久保存区域
- -XX:MaxNewSize:
- -Xss 15120 这使得JBoss每增加一个线程(thread)就会立即消耗15M内存,而最佳值应该是 128K,默认值好像是512k.
- +XX:AggressiveHeap 会使得 Xms没有意义。这个参数让jvm忽略Xmx参数,疯狂地吃完一个G 物理内存,再吃尽一个G的swap。
- -Xss:每个线程的Stack大小
- -verbose:gc 现实垃圾收集信息
- -Xloggc:gc.log 指定垃圾收集日志文件
- -Xmn:young generation的heap大小,一般设置为Xmx的3、4分之一
- -XX:+UseParNewGC :缩短minor收集的时间
- -XX:+UseConcMarkSweepGC :缩短major收集的时间