使用普通用户运行

使用普通用户来部署服务是比较安全的做法

[root@tomcat application]# useradd -u  tomcat

[root@tomcat application]# passwd tomcat

Changing password for user tomcat.

New password:

Retype new password:

passwd: all authentication tokens updated successfully.
切换到tomcat来执行

[root@tomcat application]# chown -R tomcat:tomcat /application/jdk

[root@tomcat application]# chown -R tomcat:tomcat /application/tomcat/

[root@tomcat application]# su - tomcat

[tomcat@linux-node1 ~]$ cd /application/tomcat/bin/

[tomcat@linux-node1 bin]$ sh startup.sh   #启动脚本

Using CATALINA_BASE:   /application/tomcat

Using CATALINA_HOME:   /application/tomcat

Using CATALINA_TMPDIR: /application/tomcat/temp

Using JRE_HOME:        /application/jdk

Using CLASSPATH:       /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar

Tomcat started.
[tomcat@linux-node1 tomcat]$ pwd

/application/tomcat

[tomcat@linux-node1 tomcat]$ ls -l

total

drwxr-xr-x  tomcat tomcat   Apr   : bin

drwxr-xr-x  tomcat tomcat   Apr   : conf

drwxr-xr-x  tomcat tomcat   Apr   : lib

-rw-r--r--  tomcat tomcat  Sep    LICENSE

drwxr-xr-x  tomcat tomcat   Apr   : logs

-rw-r--r--  tomcat tomcat   Sep    NOTICE

-rw-r--r--  tomcat tomcat   Sep    RELEASE-NOTES

-rw-r--r--  tomcat tomcat  Sep    RUNNING.txt

drwxr-xr-x  tomcat tomcat     Apr   : temp

drwxr-xr-x  tomcat tomcat    Apr   : webapps

drwxr-xr-x  tomcat tomcat     Apr   : work

启动的时候会把临时文件和工作文件放在temp和work,在生产用的时候、建议每次启动将这两个目录清空

tomcat使用自带的脚本有时候未必能关掉 、自己写一个脚本、

[tomcat@linux-node1 ~]$ cat  tomcat.sh

#!/bin/sh

JAVA_HOME=/application/jdk

CATALINA_HOME=/application/tomcat

usage(){

    echo "$0 {start|stop|restart}"

    exit

}

[ $# -ne  ]&& usage

start_tomcat(){

     $CATALINA_HOME/bin/startup.sh

}

stop_tomcat(){

TPID=$(ps -aux|grep java|grep tomcat|grep -v 'grep'|awk '{print $2}')

kill - $TPID

sleep ;

TSTAT=$(ps -aux|grep java|grep tomcat|grep -v 'grep'|awk '{print $2}')

if [ -z $TSTAT ];then

    echo "tomcat stop"

else

    kill - $TSTAT

fi

cd $CATALINA_HOME

rm temp/* -rf

rm work/* -rf

}

case $1 in

start)

    start_tomcat

    ;;

stop)

    stop_tomcat

    ;;

restart)

    stop_tomcat

      sleep 5

    start_tomcat

       ;;

*)

      usage

      ;;

esac
[tomcat@linux-node1 ~]$ sh tomcat.sh

tomcat.sh {start|stop|restart}

[tomcat@linux-node1 ~]$ sh tomcat.sh start

Using CATALINA_BASE:   /application/tomcat

Using CATALINA_HOME:   /application/tomcat

Using CATALINA_TMPDIR: /application/tomcat/temp

Using JRE_HOME:        /application/jdk

Using CLASSPATH:       /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar

Tomcat started.

默认监听的是8080端口

[tomcat@linux-node1 ~]$ netstat -ntpl|grep java

(Not all processes could be identified, non-owned process info

 will not be shown, you would have to be root to see it all.)

tcp6              :::                 :::*                    LISTEN      /java

tcp6              :::                 :::*                    LISTEN      /java

tcp6              127.0.0.1:          :::*                    LISTEN      /java

状态Server Status查看JVM等详情、比较快的反应jvm的使用情况、可以保留,Manger App删除、在这个里面可以调用WAR包部署、所以入侵很容易

[tomcat@linux-node1 webapps]$ pwd
/application/tomcat/webapps
[tomcat@linux-node1 webapps]$ mv host-manager/ /tmp/
[tomcat@linux-node1 webapps]$ mv docs/ /tmp/
[tomcat@linux-node1 webapps]$ mv examples/ /tmp/
[tomcat@linux-node1 webapps]$ ls
 manager ROOT

Manger App也在manager里面、如果开启Server Status、前端Nginx可以做个访问控制、只允许内网访问这个后缀

telnet管理端口

注,在说telnet管理Tomcat之前,我们得先看一下默认的配置文件,这里面定义了默认的管理端口,

[root@tomcat /]# vim /application/tomcat/conf/server.xml

<Server port="" shutdown="SHUTDOWN">

说明,定义了一个管理端口为8005,我们可以用telnet直接登录进本机的8005端口,来执行SHUTDOWN命令,来关闭Tomcat实例。下面我们来具体演示一下

先安装telnet客户端:

[root@tomcat ~]# yum install -y telnet

下面我们一测试并查看,

[root@tomcat ~]# telnet localhost

Trying ::...

telnet: connect to address ::: Connection refused

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

SHUTDOWN #输入SHOWDOWN就可以直接关闭Tomcat服务。

Connection closed by foreign host.
[tomcat@linux-node1 conf]$ netstat -ntpl

(No info could be read for "-p": geteuid()= but you should be root.)

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp               0.0.0.0:              0.0.0.0:*               LISTEN      -

tcp               127.0.0.1:            0.0.0.0:*               LISTEN      -

tcp6              :::                   :::*                    LISTEN      -

tcp6              :::                  :::*                    LISTEN      -

[tomcat@linux-node1 conf]$   #大家可以看到tomcat被关了

telnet管理端口保护(强制)

有两种办法

1.修改默认的8005管理端口为不易猜测的端口(大于1024)

2. 将默认的SHUTDOWN改掉<Server port="8005" shutdown="dangerous">

AJP连接端口保护

1.修改默认的ajp8009端口为不易冲突的大于1024的端口

2.通过iptables规则限制ajp端口访问的权限仅为线上的机器

版本信息隐藏

1.修改conf/web.xml,重定向403、404以及500等错误到指定的错误页面;

2.也可以通过修改应用程序目录下的WEB-INF/web.xml下的配置进行错误页面的重定向

主要是在配置中对一些常见错误进行重定向,避免当出现错误时tomcat默认显示的错误页面暴露服务器和版本信息;

必须确保程序根目录下的错误页面已经存在。

<error-page>

<error-code></error-code>

<location>/forbidden.jsp</location>

</error-page>

<error-page>

<error-code></error-code>

<location>/notfound.jsp</location>

</error-page>

<error-page>

<error-code></error-code>

<location>/systembusy.jsp</location>

</error-page>

文件列表访问控制

conf/web.xml文件中default部分listings的配置必须为false;

false为不列出目录文件,true为允许列出,默认为false;

<init-param>

<param-name>listings</param-name>

<param-value>false</param-value>

</init-param>

Server header重写

在HTTP Connector 配置中加入server的配置

server="zsq"

[tomcat@linux-node1 tomcat]$ curl --head http://192.168.230.130:8080/

HTTP/1.1  OK

Server: Apache-Coyote/1.1

Content-Type: text/html;charset=UTF-

Transfer-Encoding: chunked

Date: Sat,  Apr  :: GMT

[tomcat@linux-node1 tomcat]$ cd /application/tomcat/conf/
[tomcat@linux-node1 conf]$ vim server.xml

<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" server="zsq"/>  #修改这一行

[tomcat@linux-node1 ~]$ sh tomcat.sh restart
tomcat stop
Using CATALINA_BASE: /application/tomcat
Using CATALINA_HOME: /application/tomcat
Using CATALINA_TMPDIR: /application/tomcat/temp
Using JRE_HOME: /application/jdk
Using CLASSPATH: /application/tomcat/bin/bootstrap.jar:/application/tomcat/bin/tomcat-juli.jar
Tomcat started.

[tomcat@linux-node1 ~]$ curl --head http://192.168.230.130:8080/
HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8
Transfer-Encoding: chunked
Date: Sat, 15 Apr 2017 13:25:23 GMT
Server: zsq

访问控制

通过配置,限定访问的ip来源、也可以使用Nginx来代替

通过配置信任ip的白名单,拒绝非白名单ip的访问,此配置主要是针对高保密级别的系统,一般产品线不需要

<Context path="" docBase="/home/work/tomcat" debug="" reloadable="false" crossContext="true">

<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="61.128.18.38,61.13.65.*" deny="*.*.*.*"/>

</Context>

屏蔽DNS查询

当web应用程序要记录客户端信息的时候、对客户端的IP地址进行查询、这样会产生不必要的消耗

enableLookups="false"

  <Connector port="" protocol="HTTP/1.1"

               connectionTimeout="" enableLookups="false"

               redirectPort=""  server="zsq"/>

JAVA企业级应用TOMCAT实战(二)的更多相关文章

  1. linux中级-JAVA企业级应用TOMCAT实战

    1. Tomcat简介 Tomcat是Apache软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache.Sun和其他一些公司及个人共 ...

  2. JAVA企业级应用TOMCAT实战

    1. Tomcat简介 原文链接:https://blog.oldboyedu.com/java-tomcat/ Tomcat是Apache软件基金会(Apache Software Foundati ...

  3. JAVA企业级应用TOMCAT实战(一)

    一. Tomcat简介 Tomcat是Apache软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache.Sun和其他一些公司及个人共 ...

  4. JAVA企业级应用TOMCAT实战(三)

    JVM优化涉及到两大方面我个人的理解 .如何分配JVM的内存空间 .我应该使用什么垃圾回收器 JVM产生的垃圾需要回收.回收有不同的回收器. JVM的调优需要了解各个垃圾回收机制的原理. 终极目标:降 ...

  5. Java 18套JAVA企业级大型项目实战分布式架构高并发高可用微服务电商项目实战架构

    Java 开发环境:idea https://www.jianshu.com/p/7a824fea1ce7 从无到有构建大型电商微服务架构三个阶段SpringBoot+SpringCloud+Solr ...

  6. Java 权限框架 Shiro 实战二:与spring集成、filter机制

    转自:https://www.cnblogs.com/digdeep/archive/2015/07/04/4620471.html Shiro和Spring的集成,涉及到很多相关的配置,涉及到shi ...

  7. JAVA企业级应用服务器之TOMCAT实战

    JAVA企业级应用服务器之TOMCAT实战 链接:https://pan.baidu.com/s/1c6pZjLeMQqc9t-OXvUM66w 提取码:uwak 复制这段内容后打开百度网盘手机App ...

  8. [Java聊天室server]实战之二 监听类

    前言 学习不论什么一个稍有难度的技术,要对其有充分理性的分析,之后果断做出决定---->也就是人们常说的"多谋善断":本系列尽管涉及的是socket相关的知识,但学习之前,更 ...

  9. 轻量级Java EE企业应用实战:Struts2+Spring5+Hibernate5/JPA2

    轻量级Java EE企业应用实战(第5版)——Struts 2+Spring 5+Hibernate 5/JPA 2整合开发是<轻量级Java EE企业应用实战>的第5版,这一版保持了前几 ...

随机推荐

  1. 解决ASP.NET MVC返回的JsonResult 中 日期类型数据格式问题,和返回的属性名称转为“驼峰命名法”和循环引用问题

    DateTime类型数据格式问题 问题 在使用ASP.NET MVC 在写项目的时候发现,返回给前端的JSON数据,日期类型是 Date(121454578784541) 的格式,需要前端来转换一下才 ...

  2. 实验十一 MySQLl备份与恢复2

    实验十一 MySQL备份与恢复 一.  实验内容: 1. 使用SQL语句导入和导出表数据 2. 使用客户端工具备份还原数据库 3. 使用日志文件恢复数据库 二.  实验项目:学生成绩数据库 创建用于学 ...

  3. Light of future-冲刺Day 2

    目录 归属班级 →2019秋福大软件工程实践Z班 作业要求 →团队作业第五次-项目冲刺 团队名称 未来之光 这个作业的目标 第二天的冲刺总结 作业正文 →Light of future-冲刺Day 2 ...

  4. JavaScript RegExp.​$1...$9 属性详解

    RegExp.$1...$9属性用于返回正则表达式模式中某个子表达式匹配的文本. 正则表达式中每个小括号内的部分表达式就是一个子表达式. 该属性是RegExp全局对象的一个只读属性,所有主流浏览器均支 ...

  5. MFC之TreeCtrl遍历所有节点

    这个例子,主要是查找树上的某个节点,并展开选中它.采用来了递归方法来实现.主要用到的方法: CTreeCtrl::GetChildItemHTREEITEM GetChildItem( HTREEIT ...

  6. 电商平台--Mysql主从搭建(2)

    Master上授权从库: ```grant replication slave on *.* to slave1@ip identified by 'password';``` 基于数据库hotcop ...

  7. php人民币小写转大写函数,不限长度,精确到分

    原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://ustb80.blog.51cto.com/6139482/1035327 在打印 ...

  8. 命令行工具nslookup查域名DNS服务器

    在使用的操作系统里进入终端, 1.输入 nslookup 回车 2.输入 set type=ns 回车 3.输入域名(不带WWW的),如:baidu.com 回车 操作过程如下, > set t ...

  9. selenium 鼠标滑动操作验证码

    selenium 鼠标点击操作比较简单,这里就不介绍了,主要说一下鼠标滑动(按住并滑动),经常用于解决自动化操作的滑动验证码 下面举个简单的例子,比如这种验证码: 代码: div = driver.f ...

  10. php--phpstorm使用正则匹配批量替换

    1.首先勾选正则规则 如图勾选右侧的Match Case和Regex 2.编写正则规则:无须添加//左右分解符,直接写正则表达式,注意应该转义的部分,需要原封不动替换的部分加上括号 3.编写替换规则: ...