服务端安全配置说明

服务端容器的安全配置对于系统的性能以及安全性起着很重要的作用，这里就tomcat以及nginx在windows下的安全及性能相关配置进行说明，如果对您有所帮助，实乃万幸也。

tomcat安全优化

隐藏版本信息

为避免黑客针对某些版本进行攻击，因此我们需要隐藏或者伪装Tomcat版本信息。默认在请求为404时会返回Tomcat的版本信息，如下所示：

1.jpg

该信息的显示是由一个jar包控制的，该jar包存放在 Tomcat 安装目录下的lib目录下，名称为 catalina.jar。一方面可以通过解压jar包修改ServerInfo.properties文件的serverinfo字段；此外，也可以在lib目录下自定义一个/org/apache/catalina/util/ServerInfo.properties文件，添加字段serverinfo=，即可消除版本信息显示。该目录文件已在files目录下，直接复制过来即可。修改后的效果如下：

2.jpg

禁止列目录

修改conf目录下的web.xml文件，确保列目录是禁止的，如下所示。

3.jpg

优化tomcat-user.xml

该文件包含用户名、角色以及密码的清单文件。负责提供webapps下managers项目的登录认证管理。在生产环境中，我们需要将该文件全部注释。结果如下：

4.jpg

优化server.xml

Tomcat的主配置文件，该文件中包含很多主要元素，比如Service、Connector、Host等。
1、maxThreads连接数限制
maxThreads是Tomcat所能接受最大连接数。一般设置不要超过8000以上，如果你的网站访问量非常大可能使用运行多个Tomcat实例的方法，即在一个服务器上启动多个tomcat然后做负载均衡处理。另外还需要注意jvm的参数配置，如果不注意就会因为jvm参数过小而崩溃。
2、更改Tomcat服务监听端口
一般Tomcat都是放在内网的，因此我们针对Tomcat服务的监听地址都是内网地址。修改实例：

<Connector port="8080" address="127.0.0.1" />

3、关闭war自动部署
要确保Tomcat对war包的热部署是关闭的，Tomcat8默认是关闭的，如果默认是开启的需要修改：

<Host name="localhost"  appBase=""
            unpackWARs="false" autoDeploy="false">

禁用Tomcat管理页面

线上不推荐使用Tomcat提供的默认管理页面，我们只需要将webapps下的所有文件都删掉就可以。

tomcat性能优化

连接池配置

打开默认被注释的连接池配置，默认配置如下

<!--
<Executor name="tomcatThreadPool" namePrefix="catalina-exec-"
    maxThreads="150" minSpareThreads="4"/>
-->

修改为

<Executor 
    name="tomcatThreadPool" 
    namePrefix="catalina-exec-"
    maxThreads="500" 
    minSpareThreads="50" 
    prestartminSpareThreads = "true"
    maxQueueSize = "100"
/>

重点参数介绍：

maxThreads，最大并发数，默认设置为200，一般建议在500~800，根据硬件和业务来判断，更多的并发量更大的情况建议使用集群+负载均衡；
minSpareThreads，Tomcat初始化时创建的线程数，默认设置是25；
prestartminSpareThreads，在 Tomcat 初始化的时候就初始化 minSpareThreads 的参数值，如果不等于 true，minSpareThreads 的值就没啥效果了；
maxQueueSize，最大的等待队列数，超过则拒绝请求。

修改默认的链接参数配置

默认值

<Connector 
    port="8080" 
    protocol="HTTP/1.1" 
    connectionTimeout="20000" 
    redirectPort="8443" 
/>

修改为

<Connector 
   executor="tomcatThreadPool"
   port="8080" 
   protocol="org.apache.coyote.http11.Http11Nio2Protocol" 
   connectionTimeout="20000" 
   maxConnections="10000" 
   redirectPort="8443" 
   enableLookups="false" 
   acceptCount="100" 
   maxPostSize="10485760" 
   compression="on" 
   disableUploadTimeout="true" 
   compressionMinSize="2048" 
   acceptorThreadCount="2" 
   compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript" 
   URIEncoding="utf-8"
/>

重点参数介绍：

protocol，Tomcat设置nio2（org.apache.coyote.http11.Http11Nio2Protocol）更好，如果是低版本tomcat，用nio（org.apache.coyote.http11.Http11NioProtocol）更好；
enableLookups，禁止DNS查询；
acceptCount，指定当所有可以使用的处理请求的线程数都被使用时，可以放到处理队列中的请求数，超过这个数的请求将不予处理，默认设置 100；
maxPostSize，以 FORM URL 参数方式的 POST 提交方式，限制提交最大的大小，默认是 2097152(2兆)，它使用的单位是字节。10485760 为 10M。如果要禁用限制，则可以设置为 -1；
acceptorThreadCount，用于接收连接的线程的数量，默认值是1。一般这个指需要改动的时候是因为该服务器是一个多核CPU，如果是多核 CPU 一般配置为 **2**。

AJP设置

如果服务器没有使用Apache，最好将AJP禁用，将下面一行注释掉，默认Tomcat是开启的。

<!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->

JVM优化

Java 的内存模型分为：
Young，年轻代（易被 GC）。Young 区被划分为三部分，Eden 区和两个大小严格相同的 Survivor 区，其中 Survivor 区间中，某一时刻只有其中一个是被使用的，另外一个留做垃圾收集时复制对象用，在 Young 区间变满的时候，minor GC 就会将存活的对象移到空闲的Survivor 区间中，根据 JVM 的策略，在经过几次垃圾收集后，任然存活于 Survivor 的对象将被移动到 Tenured 区间。
Tenured，终身代。Tenured 区主要保存生命周期长的对象，一般是一些老的对象，当一些对象在 Young 复制转移一定的次数以后，对象就会被转移到 Tenured 区，一般如果系统中用了 application 级别的缓存，缓存中的对象往往会被转移到这一区间。
Perm，永久代。主要保存 class,method,filed 对象，这部门的空间一般不会溢出，除非一次性加载了很多的类，不过在涉及到热部署的应用服务器的时候，有时候会遇到 java.lang.OutOfMemoryError : PermGen space 的错误，造成这个错误的很大原因就有可能是每次都重新部署，但是重新部署后，类的 class 没有被卸载掉，这样就造成了大量的 class 对象保存在了 perm 中，这种情况下，一般重新启动应用服务器可以解决问题。

Linux下修改/bin/catalina.sh文件，Windows下修改/bin/catalina.bat，将下面信息添加在文件的第一行，区别是，在Linux下参数值需要引号包围，而Windows下则不需要。如果服务器只运行一个Tomcat的情况下，

机子内存如果是 8G，一般 PermSize 配置是主要保证系统能稳定起来就行(这里以windows示例)：
set JAVA_OPTS=-Dfile.encoding=UTF-8 -server -Xms6144m -Xmx6144m -XX:NewSize=1024m -XX:MaxNewSize=2048m -XX:PermSize=512m
 -XX:MaxPermSize=512m -XX:MaxTenuringThreshold=10 -XX:NewRatio=2 -XX:+DisableExplicitGC
机子内存如果是 16G，一般 PermSize 配置是主要保证系统能稳定起来就行：
set JAVA_OPTS=-Dfile.encoding=UTF-8 -server -Xms13312m -Xmx13312m -XX:NewSize=3072m -XX:MaxNewSize=4096m -XX:PermSize=512m
 -XX:MaxPermSize=512m -XX:MaxTenuringThreshold=10 -XX:NewRatio=2 -XX:+DisableExplicitGC
机子内存如果是 32G，一般 PermSize 配置是主要保证系统能稳定起来就行：
set JAVA_OPTS=-Dfile.encoding=UTF-8 -server -Xms29696m -Xmx29696m -XX:NewSize=6144m -XX:MaxNewSize=9216m -XX:PermSize=1024m
 -XX:MaxPermSize=1024m -XX:MaxTenuringThreshold=10 -XX:NewRatio=2 -XX:+DisableExplicitGC
如果是开发机
-Xms550m -Xmx1250m -XX:PermSize=550m -XX:MaxPermSize=1250m

参数说明：

-Dfile.encoding：默认文件编码
-server：表示这是应用于服务器的配置，JVM 内部会有特殊处理的
-Xmx1024m：设置JVM最大可用内存为1024MB
-Xms1024m：设置JVM最小内存为1024m。此值可以设置与-Xmx相同，以避免每次垃圾回收完成后JVM重新分配内存。
-XX:NewSize：设置年轻代大小
-XX:MaxNewSize：设置最大的年轻代大小
-XX:PermSize：设置永久代大小
-XX:MaxPermSize：设置最大永久代大小
-XX:NewRatio=4：设置年轻代（包括 Eden 和两个 Survivor 区）与终身代的比值（除去永久代）。设置为 4，则年轻代与终身代所占比值为 1：4，年轻代占整个堆栈的 1/5
-XX:MaxTenuringThreshold=10：设置垃圾最大年龄，默认为：15。如果设置为 0 的话，则年轻代对象不经过 Survivor 区，直接进入年老代。对于年老代比较多的应用，可以提高效率。如果将此值设置为一个较大值，则年轻代对象会在 Survivor 区进行多次复制，这样可以增加对象再年轻代的存活时间，增加在年轻代即被回收的概论。
-XX:+DisableExplicitGC：这个将会忽略手动调用 GC 的代码使得 System.gc() 的调用就会变成一个空调用，完全不会触发任何 GC

nginx 安全及性能优化

关闭服务器标识

如果开启的话（默认情况下）所有的错误页面都会显示服务器的版本和信息，将server_tokens修改为off即可。

http{
    include       naxsi_core.rules;
    include      mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    server_tokens off;
    ... ...

超时控制

1、client_body_timeout 10;-指令指定读取请求实体的超时时间。这里的超时是指一个请求实体没有进入读取步骤，如果连接超过这个时间而客户端没有任何响应，Nginx将返回一个”Request time out” (408)错误。
2、client_header_timeout 10;-指令指定读取客户端请求头标题的超时时间。这里的超时是指一个请求头没有进入读取步骤，如果连接超过这个时间而客户端没有任何响应，Nginx将返回一个”Request time out” (408)错误。
3、keepalive_timeout 5 5; – 参数的第一个值指定了客户端与服务器长连接的超时时间，超过这个时间，服务器将关闭连接。参数的第二个值（可选）指定了应答头中Keep-Alive: timeout=time的time值，这个值可以使一些浏览器知道什么时候关闭连接，以便服务器不用重复关闭，如果不指定这个参数，nginx不会在应 答头中发送Keep-Alive信息。（但这并不是指怎样将一个连接“Keep-Alive”）参数的这两个值可以不相同。
4、send_timeout 10; 指令指定了发送给客户端应答后的超时时间，Timeout是指没有进入完整established状态，只完成了两次握手，如果超过这个时间客户端没有任何响应，nginx将关闭连接。

限制可用的请求方法

GET和POST是互联网上最常用的方法。如果web服务器不要求启用所有的可用的方法，应该将他们关闭。下面的指令只允许get和post请求

## Only allow these request methods ##
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
## Do not accept DELETE, SEARCH and other methods ##

并发优化

worker_processes  4; //并发的进程数，一般设置为计算机核的数量

events {
    #use   epoll;             #epoll是多路复用IO(I/O Multiplexing)中的一种方式,但是仅用于linux2.6以上内核,可以大大提高nginx的性能
    worker_connections  1024;#单个后台worker process进程的最大并发链接数
    # multi_accept on;
}
官方建议windows下worker_connections不要超过1024.

参考资料

http://blog.csdn.net/jiang1245764446/article/details/51898723
http://blog.csdn.net/axl19530209/article/details/43404403
https://tomcat.apache.org/tomcat-8.0-doc/config/
http://www.oschina.net/translate/tomcat-performance-tuning
http://nginx.org/en/docs/windows.html