使用普通用户运行

使用普通用户来部署服务是比较安全的做法

[root@tomcat application]# useradd -u  tomcat

[root@tomcat application]# passwd tomcat

Changing password for user tomcat.

New password:

Retype new password:

passwd: all authentication tokens updated successfully.
切换到tomcat来执行

[root@tomcat application]# chown -R tomcat:tomcat /application/jdk

[root@tomcat application]# chown -R tomcat:tomcat /application/tomcat/

[root@tomcat application]# su - tomcat

[tomcat@linux-node1 ~]$ cd /application/tomcat/bin/

[tomcat@linux-node1 bin]$ sh startup.sh   #启动脚本

Using CATALINA_BASE:   /application/tomcat

Using CATALINA_HOME:   /application/tomcat

Using CATALINA_TMPDIR: /application/tomcat/temp

Using JRE_HOME:        /application/jdk

Using CLASSPATH:       /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar

Tomcat started.
[tomcat@linux-node1 tomcat]$ pwd

/application/tomcat

[tomcat@linux-node1 tomcat]$ ls -l

total

drwxr-xr-x  tomcat tomcat   Apr   : bin

drwxr-xr-x  tomcat tomcat   Apr   : conf

drwxr-xr-x  tomcat tomcat   Apr   : lib

-rw-r--r--  tomcat tomcat  Sep    LICENSE

drwxr-xr-x  tomcat tomcat   Apr   : logs

-rw-r--r--  tomcat tomcat   Sep    NOTICE

-rw-r--r--  tomcat tomcat   Sep    RELEASE-NOTES

-rw-r--r--  tomcat tomcat  Sep    RUNNING.txt

drwxr-xr-x  tomcat tomcat     Apr   : temp

drwxr-xr-x  tomcat tomcat    Apr   : webapps

drwxr-xr-x  tomcat tomcat     Apr   : work

启动的时候会把临时文件和工作文件放在temp和work,在生产用的时候、建议每次启动将这两个目录清空

tomcat使用自带的脚本有时候未必能关掉 、自己写一个脚本、

[tomcat@linux-node1 ~]$ cat  tomcat.sh

#!/bin/sh

JAVA_HOME=/application/jdk

CATALINA_HOME=/application/tomcat

usage(){

    echo "$0 {start|stop|restart}"

    exit

}

[ $# -ne  ]&& usage

start_tomcat(){

     $CATALINA_HOME/bin/startup.sh

}

stop_tomcat(){

TPID=$(ps -aux|grep java|grep tomcat|grep -v 'grep'|awk '{print $2}')

kill - $TPID

sleep ;

TSTAT=$(ps -aux|grep java|grep tomcat|grep -v 'grep'|awk '{print $2}')

if [ -z $TSTAT ];then

    echo "tomcat stop"

else

    kill - $TSTAT

fi

cd $CATALINA_HOME

rm temp/* -rf

rm work/* -rf

}

case $1 in

start)

    start_tomcat

    ;;

stop)

    stop_tomcat

    ;;

restart)

    stop_tomcat

      sleep 5

    start_tomcat

       ;;

*)

      usage

      ;;

esac
[tomcat@linux-node1 ~]$ sh tomcat.sh

tomcat.sh {start|stop|restart}

[tomcat@linux-node1 ~]$ sh tomcat.sh start

Using CATALINA_BASE:   /application/tomcat

Using CATALINA_HOME:   /application/tomcat

Using CATALINA_TMPDIR: /application/tomcat/temp

Using JRE_HOME:        /application/jdk

Using CLASSPATH:       /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar

Tomcat started.

默认监听的是8080端口

[tomcat@linux-node1 ~]$ netstat -ntpl|grep java

(Not all processes could be identified, non-owned process info

 will not be shown, you would have to be root to see it all.)

tcp6              :::                 :::*                    LISTEN      /java

tcp6              :::                 :::*                    LISTEN      /java

tcp6              127.0.0.1:          :::*                    LISTEN      /java

状态Server Status查看JVM等详情、比较快的反应jvm的使用情况、可以保留,Manger App删除、在这个里面可以调用WAR包部署、所以入侵很容易

[tomcat@linux-node1 webapps]$ pwd
/application/tomcat/webapps
[tomcat@linux-node1 webapps]$ mv host-manager/ /tmp/
[tomcat@linux-node1 webapps]$ mv docs/ /tmp/
[tomcat@linux-node1 webapps]$ mv examples/ /tmp/
[tomcat@linux-node1 webapps]$ ls
 manager ROOT

Manger App也在manager里面、如果开启Server Status、前端Nginx可以做个访问控制、只允许内网访问这个后缀

telnet管理端口

注,在说telnet管理Tomcat之前,我们得先看一下默认的配置文件,这里面定义了默认的管理端口,

[root@tomcat /]# vim /application/tomcat/conf/server.xml

<Server port="" shutdown="SHUTDOWN">

说明,定义了一个管理端口为8005,我们可以用telnet直接登录进本机的8005端口,来执行SHUTDOWN命令,来关闭Tomcat实例。下面我们来具体演示一下

先安装telnet客户端:

[root@tomcat ~]# yum install -y telnet

下面我们一测试并查看,

[root@tomcat ~]# telnet localhost

Trying ::...

telnet: connect to address ::: Connection refused

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

SHUTDOWN #输入SHOWDOWN就可以直接关闭Tomcat服务。

Connection closed by foreign host.
[tomcat@linux-node1 conf]$ netstat -ntpl

(No info could be read for "-p": geteuid()= but you should be root.)

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp               0.0.0.0:              0.0.0.0:*               LISTEN      -

tcp               127.0.0.1:            0.0.0.0:*               LISTEN      -

tcp6              :::                   :::*                    LISTEN      -

tcp6              :::                  :::*                    LISTEN      -

[tomcat@linux-node1 conf]$   #大家可以看到tomcat被关了

telnet管理端口保护(强制)

有两种办法

1.修改默认的8005管理端口为不易猜测的端口(大于1024)

2. 将默认的SHUTDOWN改掉<Server port="8005" shutdown="dangerous">

AJP连接端口保护

1.修改默认的ajp8009端口为不易冲突的大于1024的端口

2.通过iptables规则限制ajp端口访问的权限仅为线上的机器

版本信息隐藏

1.修改conf/web.xml,重定向403、404以及500等错误到指定的错误页面;

2.也可以通过修改应用程序目录下的WEB-INF/web.xml下的配置进行错误页面的重定向

主要是在配置中对一些常见错误进行重定向,避免当出现错误时tomcat默认显示的错误页面暴露服务器和版本信息;

必须确保程序根目录下的错误页面已经存在。

<error-page>

<error-code></error-code>

<location>/forbidden.jsp</location>

</error-page>

<error-page>

<error-code></error-code>

<location>/notfound.jsp</location>

</error-page>

<error-page>

<error-code></error-code>

<location>/systembusy.jsp</location>

</error-page>

文件列表访问控制

conf/web.xml文件中default部分listings的配置必须为false;

false为不列出目录文件,true为允许列出,默认为false;

<init-param>

<param-name>listings</param-name>

<param-value>false</param-value>

</init-param>

Server header重写

在HTTP Connector 配置中加入server的配置

server="zsq"

[tomcat@linux-node1 tomcat]$ curl --head http://192.168.230.130:8080/

HTTP/1.1  OK

Server: Apache-Coyote/1.1

Content-Type: text/html;charset=UTF-

Transfer-Encoding: chunked

Date: Sat,  Apr  :: GMT

[tomcat@linux-node1 tomcat]$ cd /application/tomcat/conf/
[tomcat@linux-node1 conf]$ vim server.xml

<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" server="zsq"/>  #修改这一行

[tomcat@linux-node1 ~]$ sh tomcat.sh restart
tomcat stop
Using CATALINA_BASE: /application/tomcat
Using CATALINA_HOME: /application/tomcat
Using CATALINA_TMPDIR: /application/tomcat/temp
Using JRE_HOME: /application/jdk
Using CLASSPATH: /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar
Tomcat started.

[tomcat@linux-node1 ~]$ curl --head http://192.168.230.130:8080/
HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8
Transfer-Encoding: chunked
Date: Sat, 15 Apr 2017 13:25:23 GMT
Server: zsq

访问控制

通过配置,限定访问的ip来源、也可以使用Nginx来代替

通过配置信任ip的白名单,拒绝非白名单ip的访问,此配置主要是针对高保密级别的系统,一般产品线不需要

<Context path="" docBase="/home/work/tomcat" debug="" reloadable="false" crossContext="true">

<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="61.128.18.38,61.13.65.*" deny="*.*.*.*"/>

</Context>

屏蔽DNS查询

当web应用程序要记录客户端信息的时候、对客户端的IP地址进行查询、这样会产生不必要的消耗

enableLookups="false"

  <Connector port="" protocol="HTTP/1.1"

               connectionTimeout="" enableLookups="false"

               redirectPort=""  server="zsq"/>

JAVA企业级应用TOMCAT实战(二)的更多相关文章

  1. linux中级-JAVA企业级应用TOMCAT实战

    1. Tomcat简介 Tomcat是Apache软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache.Sun和其他一些公司及个人共 ...

  2. JAVA企业级应用TOMCAT实战

    1. Tomcat简介 原文链接:https://blog.oldboyedu.com/java-tomcat/ Tomcat是Apache软件基金会(Apache Software Foundati ...

  3. JAVA企业级应用TOMCAT实战(一)

    一. Tomcat简介 Tomcat是Apache软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache.Sun和其他一些公司及个人共 ...

  4. JAVA企业级应用TOMCAT实战(三)

    JVM优化涉及到两大方面我个人的理解 .如何分配JVM的内存空间 .我应该使用什么垃圾回收器 JVM产生的垃圾需要回收.回收有不同的回收器. JVM的调优需要了解各个垃圾回收机制的原理. 终极目标:降 ...

  5. Java 18套JAVA企业级大型项目实战分布式架构高并发高可用微服务电商项目实战架构

    Java 开发环境:idea https://www.jianshu.com/p/7a824fea1ce7 从无到有构建大型电商微服务架构三个阶段SpringBoot+SpringCloud+Solr ...

  6. Java 权限框架 Shiro 实战二:与spring集成、filter机制

    转自:https://www.cnblogs.com/digdeep/archive/2015/07/04/4620471.html Shiro和Spring的集成,涉及到很多相关的配置,涉及到shi ...

  7. JAVA企业级应用服务器之TOMCAT实战

    JAVA企业级应用服务器之TOMCAT实战 链接:https://pan.baidu.com/s/1c6pZjLeMQqc9t-OXvUM66w 提取码:uwak 复制这段内容后打开百度网盘手机App ...

  8. [Java聊天室server]实战之二 监听类

    前言 学习不论什么一个稍有难度的技术,要对其有充分理性的分析,之后果断做出决定---->也就是人们常说的"多谋善断":本系列尽管涉及的是socket相关的知识,但学习之前,更 ...

  9. 轻量级Java EE企业应用实战:Struts2+Spring5+Hibernate5/JPA2

    轻量级Java EE企业应用实战(第5版)——Struts 2+Spring 5+Hibernate 5/JPA 2整合开发是<轻量级Java EE企业应用实战>的第5版,这一版保持了前几 ...

随机推荐

  1. 一文摸透从输入URL到页面渲染的过程

    一文摸透从输入URL到页面渲染的过程 从输入URL到页面渲染需要Chrome浏览器的多个进程配合,所以我们先来谈谈现阶段Chrome浏览器的多进程架构. 一.Chrome架构 目前Chrome采用的是 ...

  2. Centos8中安装JDK1.8

    在这里是通过yum命令进行安装的 安装前检查是否安装了jdk # java -version 如果使用 yum 安装的 jdk,请使用下面命令卸载 yum -y remove java-1.8.0-o ...

  3. man手册、zip备份

                                                                                                        ...

  4. 配置NTP和crontab计划任务

                                    配置NTP网络时间客户端和设置计划任务 3.1问题 本例要求配置虚拟机server0,能够自动校对系统时间.相关信息如下: NTP服务器 ...

  5. dotnet CLI工具是如何运行你的代码的

    原文连接:https://mattwarren.org/2016/07/04/How-the-dotnet-CLI-tooling-runs-your-code/作者 Matt Warren.授权翻译 ...

  6. php数据库应用程序建议

    一.保持独立的读写连接 开始就创建两个数据库连接是一个好的方法,一个用于读取,一个用于写入,并且允许不同的数据库服务器连接他们.如果只有一个服务器,则将它们设置彼此相同. 当操作为INSERT, UP ...

  7. Jmeter 压力测试笔记(4)--分布式部署

    分布式部署:坑,大坑~ 超级坑~~~~ 在这里坑了2天,整整2天.其它略过不表下面只写经验: 在linux下,centos7系统   1主 14执行机. jmeter版本 5.2.1  所有机器在同一 ...

  8. django内置的分页功能

    django内置的分页功能 # 先导入需要查询的模型类 from game.models import Score # 导入内置的分页功能 from django.core.paginator imp ...

  9. docker-compose 部分错误

    Get https://hub.17kxkx.com/v2/: dial tcp 39.106.209.67:443: connect: connection refused vim /etc/doc ...

  10. wireshark抓包实战(六),过滤器

    目录 一.抓包过滤器 1.语法来源 2.语法 二.显示过滤器 1.语法来源 2.关键要素 wireshark中,过滤器有两种,一种是抓包过滤器,一种是显示过滤器! 抓包过滤器适合大网络环境,配置与抓包 ...