CentOS 6.5上安装并配置Tomcat

前端之家收集整理的这篇文章主要介绍了CentOS 6.5上安装并配置Tomcat前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

一、下载并安装jdk

到oracle官网下载jdk,然后上传到CentOS上。

cd/opt/tools/
[root@mylinux1tools]#lljdk-8u101-linux-i586.tar.gzapache-tomcat-7.0.72.tar.gz
-rw-r--r--1rootroot8931288Sep1420:39apache-tomcat-7.0.72.tar.gz
-rw-r--r--1rootroot183456778Oct420:19jdk-8u101-linux-i586.tar.gz
tar-zxfjdk-8u101-linux-i586.tar.gz
mvjdk1.8.0_101/usr/local/jdk
chown-Rroot:root/usr/local/jdk

下面配置JAVA环境变量:

echo'#Addjavaenvbelow'>>/etc/profile
echo'exportJAVA_HOME=/usr/local/jdk'>>/etc/profile
echo'exportPATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$HOME/bin:$PATH'>>/etc/profile
echo'exportCLASSPATH=$CLASSPATH:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/lib/tools.jar'>>/etc/profile
echo'exportTOMCAT_HOME=/usr/local/tomcat'>>/etc/profile
echo'#javaenvended'>>/etc/profile
source/etc/profile

[root@mylinux1 tools]# tail -6 /etc/profile

#Add java env below

export JAVA_HOME=/usr/local/jdk

export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$HOME/bin:$PATH

export CLASSPATH=$CLASSPATH:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/lib/tools.jar

export TOMCAT_HOME=/usr/local/tomcat

#java env ended

测试是否安装成功:

[root@mylinux1 tools]# echo $JAVA_HOME

/usr/local/jdk

[root@mylinux1 tools]# java -version

-bash: /usr/local/jdk/bin/java: /lib/ld-linux.so.2: bad ELF interpreter: No such file or directory

解决方法

yum -y install ld-linux.so.2

[root@mylinux1 tools]# java -version

java version "1.8.0_101"

Java(TM) SE Runtime Environment (build 1.8.0_101-b13)

Java HotSpot(TM) Client VM (build 25.101-b13,mixed mode)

[root@mylinux1 tools]# jps -lvm

1180 sun.tools.jps.Jps -lvm -Denv.class.path=:/usr/local/jdk/lib:/usr/local/jdk/jre/lib:/usr/local/jdk/lib/tools.jar -Dapplication.home=/usr/local/jdk -Xms8m

二、安装tomcat

wgethttp://mirrors.cnnic.cn/apache/tomcat/tomcat-7/v7.0.72/bin/apache-tomcat-7.0.72.tar.gz
tar-zxfapache-tomcat-7.0.72.tar.gz
mvapache-tomcat-7.0.72/usr/local/tomcat
chown-Rroot:root/usr/local/tomcat/

三、启动tomcat

[root@mylinux1tools]#/usr/local/tomcat/bin/startup.sh
UsingCATALINA_BASE:/usr/local/tomcat
UsingCATALINA_HOME:/usr/local/tomcat
UsingCATALINA_TMPDIR:/usr/local/tomcat/temp
UsingJRE_HOME:/usr/local/jdk
UsingCLASSPATH:/usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar
Tomcatstarted.
[root@mylinux1tools]#lsof-i:8080
COMMANDPIDUSERFDTYPEDEVICESIZE/OFFNODENAME
java1266root46uIPv6135140t0TCP*:webcache(LISTEN)
[root@mylinux1tools]#netstat-lnt|grep8080
tcp00:::8080:::*LISTEN
[root@mylinux1tools]#ps-ef|grepjava
root12661221:33pts/000:00:05/usr/local/jdk/bin/java-Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties-Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager-Djdk.tls.ephemeralDHKeySize=2048-Djava.endorsed.dirs=/usr/local/tomcat/endorsed-classpath/usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar-Dcatalina.base=/usr/local/tomcat-Dcatalina.home=/usr/local/tomcat-Djava.io.tmpdir=/usr/local/tomcat/temporg.apache.catalina.startup.Bootstrapstart
root12981052021:36pts/000:00:00grepjava

wKiom1fztzWCOUhxAANmOYRH4yk809.jpg-wh_50

打开浏览器,输入http://localhost:8080访问,可以看到tomcat的默认页面

四、tomcat配置文件

[root@mylinux1 tomcat]# ll logs/

total 24

-rw-r--r-- 1 root root 5300 Oct 4 21:33 catalina.2016-10-04.log #命令行输出日志

-rw-r--r-- 1 root root 5300 Oct 4 21:33 catalina.out

-rw-r--r-- 1 root root 0 Oct 4 21:33 host-manager.2016-10-04.log #jvm虚拟机管理日志

-rw-r--r-- 1 root root 445 Oct 4 21:33 localhost.2016-10-04.log #访问日志

-rw-r--r-- 1 root root 908 Oct 4 21:39 localhost_access_log.2016-10-04.txt

-rw-r--r-- 1 root root 0 Oct 4 21:33 manager.2016-10-04.log #管理日志

[root@mylinux1 tomcat]# ll conf/

total 208

drwxr-xr-x 3 root root 4096 Oct 4 21:33 Catalina

-rw------- 1 root root 12257 Sep 14 20:15 catalina.policy

-rw------- 1 root root 6322 Sep 14 20:15 catalina.properties

-rw------- 1 root root 1394 Sep 14 20:15 context.xml

-rw------- 1 root root 3288 Sep 14 20:15 logging.properties

-rw------- 1 root root 6613 Sep 14 20:15 server.xml

-rw------- 1 root root 1950 Sep 14 20:15 tomcat-users.xml

-rw------- 1 root root 167655 Sep 14 20:15 web.xml

下面是一个tomcat配置文件的示例,附上对参数的解析:

<!--Server中的port监听关闭tomcat的请求,shutdown指定向端口发送的命令串-->
<Serverport="8005"shutdown="SHUTDOWN"debug="0">

<ListenerclassName="org.apache.catalina.mbeans.ServerLifecycleListener"
debug="0"/>
<ListenerclassName="org.apache.catalina.mbeans.GlobalResourcesLifecycleListener"
debug="0"/>

<GlobalNamingResources>
<Environmentname="simpleValue"type="java.lang.Integer"value="30"/>
<Resourcename="UserDatabase"auth="Container"
type="org.apache.catalina.UserDatabase"
description="Userdatabasethatcanbeupdatedandsaved">
</Resource>
<ResourceParamsname="UserDatabase">
<parameter>
<name>factory</name>
<!--value与Logger差不多prefix和suffix解释一样,className指定value使用的类名如:org.apache.catalina.values.AccessLogValve类可以记录应用程序的访问信息,directory指定log文件存放位置,pattern有两值,common方式记录远程主机名或ip地址,用户名,日期,第一行请求的字符串,HTTP响应代码,发送的字节数。combined方式比common记录更多-->
<value>org.apache.catalina.users.MemoryUserDatabaseFactory</value>
</parameter>
<parameter>
<name>pathname</name>
<value>conf/tomcat-users.xml</value>
</parameter>
</ResourceParams>
</GlobalNamingResources>

<Servicename="Catalina">

<!--Connector中的port创建服务器端的端口号,此端口监听用户端的请求
maxThreads最大可以创建请求的线程数
minSpareThreads服务启动时创建的处理请求的进程数
enableLookups如果为true,则可以通过调用request.getRemoteHost()进行DNS查询来得到远程客户端的实际主机名,若为false则不进行DNS查询,而是返回其ip地址
redirectPort指定服务器正在处理http请求时收到一个SSL传输请求后重定向的端口号
acceptCount指定当处理请求线程都被使用时,可以放入处理队列的数目,超出将不进行处理
connectionTimeout指定超时的时间数(毫秒)-->
<Connectorport="80"
maxThreads="150"minSpareThreads="25"maxSpareThreads="75"
enableLookups="false"redirectPort="8443"acceptCount="100"
debug="0"connectionTimeout="20000"
disableUploadTimeout="true"/>

<Connectorport="8009"
enableLookups="false"redirectPort="8443"debug="0"
protocol="AJP/1.3"/>
<!--Engine指定缺省的处理请求主机名,需要有一个与host元素的name属性一致-->
<Enginename="Catalina"defaultHost="localhost"debug="0">
<!--logger中表示日志信息className为指定logger使用的类名此类必须实现org.apache.catalina.Logger接口prefix指定log文件的前缀,suffix指定后缀,timestamp如果为true则log文件名中加入时间-->
<LoggerclassName="org.apache.catalina.logger.FileLogger"
prefix="catalina_log."suffix=".txt"
timestamp="true"/>
<!--Realm存放用户名密码及role数据库,className指定Realm使用的类名必须实现org.apache.catalina.Realm接口-->
<RealmclassName="org.apache.catalina.realm.UserDatabaseRealm"
debug="0"resourceName="UserDatabase"/>
<!--host中name是指定的主机名或ip,appBase应用程序目录,unpackWARs如果为true则会自动解压war文件直接运行否则不解压-->
<Hostname="192.168.4.247"debug="0"appBase="D:/project/hbgs_dddu/webapps"
unpackWARs="true"autoDeploy="true"
xmlValidation="false"xmlNamespaceAware="false">
<!--logger中表示日志信息className为指定logger使用的类名此类必须实现org.apache.catalina.Logger接口prefix指定log文件的前缀,suffix指定后缀,timestamp如果为true则log文件名中加入时间-->
<LoggerclassName="org.apache.catalina.logger.FileLogger"
directory="logs"prefix="localhost_log.zx"suffix=".txt"
timestamp="true"/>
<!--Context一个web应用程序通常为war文件,关于war的具体信息见servlet规范,docBase应用程序的路径或者war文件的存放路径,path表示此web程序的url前缀,reloadable如果为true,Tomcat会自动检测应用程序的变化,自动装载新的应用程序,那么改变代码将不用再次重新启动tomcat-->
<Contextpath=""docBase="D:/project/hbgs_dddu/webapps"debug="0"reloadable="true"/>
</Host>
</Engine>
</Service>
</Server>

五、配置tomcat管理用户

cd /usr/local/tomcat/conf/

vi tomcat-users.xml

添加如下内容

<role rolename="manager-gui"/>

<role rolename="admin-gui"/>

<user username="tomcat" password="tomcat" roles="manager-gui,admin-gui"/>

然后重启tomcat服务:

../bin/shutdown.sh

../bin/startup.sh

浏览器访问:

wKioL1fztxrReKuYAANyavXAdsY697.jpg-wh_50

打开tomcat默认页面,然后选择“Manager Appp”,然后在弹出的身份认证窗口中输入之前设置的密码,进行登录

wKioL1fzuBqRv6AGAAOzUv0ghDE737.jpg-wh_50

wKiom1fzuPPS_nbTAAP0bgFt5yY790.jpg-wh_50

这个就是tomcat的管理界面,有很多配置和管理相关的操作接口,由于安全性的问题,一般在服务器上也不会启动管理界面,所以这里只是了解一下。

六、tomcat安全设置

1、Telnet管理端口保护

server.xml中默认有如下一行:

<Server port="8005" shutdown="SHUTDOWN">

这样允许任何人只要Telnet到服务器的8005端口,输入“SHUTDOWN”,回车,服务器就被关掉了。

安全设置: 1)修改默认的8005管理端口为其他端口(大于1024)

2)修改SHUTDOWN指令为其他字符串

示例配置:<Server port="8205" shutdown="c1gstudio"> 这样的话,只有Telnet到服务器的8205端口,输入“c1gstudio”回车,才能关闭tomcat。

2、禁用管理端

Tomcat管理台的应用文件,默认在{Tomcat安装目录}\server\webapps下,有admin和manager两个应用。
用户密码,在{Tomcat安装目录}\conf/tomcat-users.xml中定义。在{Tomcat安装目录}\webapps下
admin.xml和manager.xml文件定义了可以通过访问/admin和/manager进入。

默认情况下,完全可以登录tomcat管理台,造成严重安全问题

安全设置: 1)删除默认的tomcat安装目录下的conf/tomcat-users.xml文件,重启tomcat后会自动生成新的文件

2)删除tomcat安装目录下webapps初始化的所有目录和文件

示例配置:<Context path="" docBase="/home/tomcat/local/tomcat_webapps" debug="0" reloadable="false" crossContext="true" />

3、文件列表访问控制

tomcat的安装目录下的conf/web.xml文件中的default部分有listings的配置。

<init-param>

<param-name>listings</param-name>

<param-value>false</param-value>

</init-param>

false为不列出目录文件,true为允许列出,默认为false。

4、隐藏版本信息

在配置中对一些常见错误进行重定向,避免当出现错误时tomcat默认显示错误页面暴露服务器和版本信息。

安全设置: 1)修改conf/web.xml,重定向403404以及500等错误到指定的错误页面

2)也可以通过修改应用程序目录下的WEB-INF/web.xml下的配置进行错误页面重定向

示例配置:

用记事本打开\conf\web.xml文件,在文件的倒数第二行(一行之前)加入以下内容

<error-page>

<error-code>403</error-code>

<location>/forbidden.jsp</location>

</error-page>

<error-page>

<error-code>404</error-code>

<location>/notfound.jsp</location>

</error-page>

<error-page>

<error-code>500</error-code>

<location>/systembusy.jsp</location>

</error-page>

注意:必须确保程序根目录下的错误页面已经存在。

5、Server header重写

安全设置:在HTTP Connector配置中加入server的配置。

示例配置: server="webserver"

说明:当tomcat HTTP端口直接提供web服务时,此配置生效。加入此配置,将会替换http响应server header部分的默认配置,默认是Apache-Coyote/1.1。

6、访问限制

通过配置信任ip的白名单,拒绝非白名单ip的访问,此配置主要是针对高保密级别的系统,一般产品不需要。

安全设置:通过配置限定访问的ip来源

示例配置:

<Context path="" docBase=/home/tomcat/tomcat" debug="0" reloadable="false" crossContext="true">

<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="202.96.181.210,202.110.151.*" deny="*.*.*.*" />

</Context>

7、启停脚本权限回收

安全设置:去除其他用户对tomcat的bin目录下shutdown.sh、startup.sh以及catalina.sh的可执行权限。

示例配置:chmod -R 744 tomcat/bin/*

8、访问日志格式规范

安全设置:开启tomcat默认访问日志中的Referer和User-Agent记录

示例配置:

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="%h %l %u %t %r %s %b %{Referer}i %{User-Agent}i %D" resolveHosts="false"/>

说明:开启Referer和User-Agent为了一旦出现安全问题能够更好的根据日志进行问题排查。

9、关闭8009端口

8009/tcp open ajp13

安全设置:8009端口是tomcat和apache的mod_proxy_ajp,mod_jk沟通的端口,没有用到就关了。

配置示例:

tomcatpath/conf/server.xml 中的这段注释掉

<!--

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

-->

10、增加防火墙

更安全的方式是同时增加防火墙,来限制访问Tomcat的控制与连接器端口
你可以通过运行netstat -a来查看网络服务器socket及其他现有连接的清单
插入规则

iptables -A INPUT -p tcp -m tcp --dport 8005 -j DROP
保存规则
service iptables save
重载规则
service iptables restart

七、tomcat优化

1、在bin/catalina.bat文件中加入下面参数,对JVM进行优化
setJAVA_OPTS=
-server
-Xms4000M
-Xmx4000M#-Xms与-Xmx设成一样的值,避免JVM因为频繁的GC导致性能大起大落
-Xmn600M
-XX:PermSize=500M
-XX:MaxPermSize=500M
-Xss256K
-XX:+DisableExplicitGC
-XX:SurvivorRatio=1
-XX:+UseConcMarkSweepGC
-XX:+UseParNewGC
-XX:+CMSParallelRemarkEnabled
-XX:+UseCMSCompactAtFullCollection
-XX:CMSFullGCsBeforeCompaction=0
-XX:+CMSClassUnloadingEnabled
-XX:LargePageSizeInBytes=128M
-XX:+UseFastAccessorMethods
-XX:+UseCMSInitiatingOccupancyOnly
-XX:CMSInitiatingOccupancyFraction=80
-XX:SoftRefLRUPolicyMSPerMB=0
-XX:+PrintClassHistogram
-XX:+PrintGCDetails
-XX:+PrintGCTimeStamps
-XX:+PrintHeapAtGC
-Djava.awt.headless=true
-Xloggc:log/gc.log

效果

系统响应时间增快

JVM回收速度增快同时又不影响系统的响应率

JVM内存最大化利用

线程阻塞情况最小化

2、Tomcat连接参数的优化,主要是针对吞吐量做优化:

修改conf/server.xml文件,把原来

<Connectorport="8080"protocol="HTTP/1.1"/>

改成下面的内容

<Connectorport="8080"protocol="HTTP/1.1"
URIEncoding="UTF-8"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
disableUploadTimeout="true"
connectionTimeout="20000"
acceptCount="300"
maxThreads="300"
maxProcessors="1000"
minProcessors="5"
useURIValidationHack="false"
compression="on"
compressionMinSize="2048"
compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain"
redirectPort="8443"/>


八、JVM故障排除方法(例)

处理步骤:

1)jps 获取Java进程的PID

2)jstack pid >> java.txt导出占用高进程的线程栈

3)top -H -p PID 查看对应进程的哪个线程占用cpu过高

4)echo "obase=16; PID" |bc 将线程的PID转换为16进制

5)在第二步导出的java.txt中查找转换成为16进制的线程PID,找到对应的线程栈

6)分析负载高的线程栈都是什么业务操作,优化程序并处理问题(开发的工作)。

猜你在找的CentOS相关文章