Linux Tomcat配置有哪些技巧

Linux Tomcat配置实用技巧

一 基础部署与运行环境

• 使用非 root 专用用户运行：创建如 tomcat 用户，目录属主设为该用户，避免在 /opt/tomcat 或 /srv/tomcat 下以 root 启动，降低提权风险。示例：useradd -m -U -d /opt/tomcat -s /bin/false tomcat。
• 配置环境变量：在 /etc/profile.d/tomcat.sh 或系统 profile 中设置 JAVA_HOME、CATALINA_HOME、CATALINA_BASE，便于多实例与脚本统一。
• 作为系统服务管理：创建 /etc/systemd/system/tomcat.service，使用 systemd 的 Type=forking、User/Group、Environment、ExecStart/ExecStop、PIDFile，并启用开机自启（systemctl enable/start tomcat）。
• 防火墙与端口：开放 8080/8443 等必要端口（如 UFW：ufw allow 8080/tcp），仅在内网或白名单网段暴露管理端口。

二 安全加固要点

• 管理接口保护：仅在需要时启用 manager 应用；为 manager-gui 设置强密码；在 webapps/manager/META-INF/context.xml 增加 RemoteAddrValve 限制来源 IP（如仅允许 127.0.0.1,192.168.1.100）。
• 关闭或删除管理端：生产环境可直接删除 webapps/manager 与 host-manager，或至少重命名、限制访问。
• 关闭 AJP（如前端是 Nginx/HAProxy）：注释或删除 server.xml 中的 AJP/1.3 Connector，减少攻击面。
• 隐藏版本信息：在 server.xml Connector 增加 server 属性自定义标识，或修改 lib/catalina.jar 中 ServerInfo.properties 的 server.info/server.number。
• 禁用自动部署与目录浏览：Host 设置 autoDeploy=“false”、unpackWARs=“false”；在 web.xml 确保 listings=false。
• 访问日志与审计：启用 AccessLogValve，记录 client IP、请求方法、URI、状态码、字节数、耗时 等，便于排障与合规。
• 加密与 Cookie 安全：配置 HTTPS/TLS；在 context.xml 设置 useHttpOnly=“true”，在 web.xml 的 session-config/cookie-config 中设置 secure=“true”。

三 性能调优关键参数

• JVM 内存与 GC：设置 -Xms/-Xmx（建议等值，如 -Xms2G -Xmx2G），JDK 8 使用 -XX:MetaspaceSize/-XX:MaxMetaspaceSize，JDK 7 及更早使用 -XX:PermSize/-XX:MaxPermSize；选择 G1GC（如 -XX:+UseG1GC）以提升长生命周期与停顿可控性；开启 HeapDumpOnOutOfMemoryError 与 GC 日志便于诊断。
• 线程池与连接器（建议基于 Executor 统一管理）：示例
  • Executor：maxThreads（并发工作线程，如 500–800 视硬件与业务）、minSpareThreads、maxSpareThreads、prestartminSpareThreads、maxQueueSize（排队上限）。
  • Connector：protocol（如 HTTP/1.1/NIO/NIO2）、maxThreads（若使用共享 Executor 可不设）、acceptCount（队列长度，如 100–500）、connectionTimeout（如 20000 ms）、maxConnections（NIO 默认 10000）、enableLookups=false、compression=on、URIEncoding=UTF-8。
• APR/Native 提升 I/O：安装 APR/tomcat-native，在 server.xml 启用 APR 连接器可获得更好的 sendfile/SSL 性能。
• 系统层面：提升 文件描述符限制（ulimit -n 65535）；按需优化 TCP 参数（如 tcp_tw_reuse、tcp_fin_timeout、rmem/wmem）。

四 监控与日志管理

• JMX 远程监控：在 setenv.sh/catalina.sh 增加 -Dcom.sun.management.jmxremote 等参数，使用 JConsole/VisualVM 观察 堆内存、线程、类加载、GC 等指标。
• 访问与运行日志：配置 AccessLogValve 输出 combined 或自定义 Pattern；使用 logrotate 对 catalina.out 与 logs/ 下文件做按日轮转、压缩与保留策略。
• GC 与内存分析：开启 -XX:+PrintGCDetails -XX:+PrintGCDateStamps -Xloggc:，结合 jstat -gcutil 与 jmap -heap 定位停顿与泄漏。

五 常见问题与快速排查

• 端口冲突：使用 netstat -tulnp | grep 8080 确认占用进程并调整 server.xml 端口或停用冲突服务。
• 启动缓慢：减少 ContextConfig 等组件的日志级别（如将 org.apache.catalina.startup.ContextConfig.level 调为 WARNING）。
• 内存溢出 OOM：分析 HeapDump 与 GC 日志，结合代码检查对象生命周期与缓存策略，适当上调 -Xmx 或优化对象复用。
• 404/403：检查 webapps 权限与应用是否解压成功，确认 context path 与反向代理转发规则一致。
• 部署失败：若使用 manager 文本接口，确保 manager-script 角色与凭据正确；或改用 WAR 放入 webapps 自动部署。