应用服务器

安装指南

安装JDK

目的

本项目使用Java 语言开发，为保证项目应用运行正常，需要安装相应的JDK版本。 这里数据库采用的是JDK 1.8。

在服务器完成操作系统升级之后， 进行此项操作。

安装指南

下载JDK并卸载之前的OpenJDK

首先查询系统自带的openjdk

命令：

# rpm -qa | grep jdk

把查询出来的所有openjdk相关的包输出到控制台

# rpm -qa | grep jdk | xargs

批量卸载openjdk

# yum remove java* // 批量卸载

$ rpm -qa | grep java | xargs sudo rpm -e –nodeps //彻底删除原有的openJdk8

安装rpm包

执行：

rpm -ivh jdk-8u202-linux-x64.rpm

结果：

查看系统默认java

确认：

java -version

确定JDK 安装路径：

readlink -f $(which java)

输出：

/usr/java/jdk1.8.0_202-amd64/jre/bin/java

修改profile文件

追加脚本如下：

vim /etc/profile

追加内容为：

export JAVA_HOME=/usr/java/jdk1.8.0_202-amd64/
export PATH=$PATH:$JAVA_HOME/bin:$JAVA_HOME/jre/bin
export CLASSPATH=$JAVA_HOME/lib:$JAVA_HOME/lib/tools.jar

保存退出，使其生效：

source /etc/profile

使用java -version 和 javac检测如下：

安装Tomcat

目的

本项目使用Java 语言开发，为保证项目应用运行正常，需要安装相应的JDK版本。 这里数据库采用的是JDK 1.8。

在服务器完成操作系统升级之后， 进行此项操作。

创建Tomcat

在CentOS7 上， 创建单独的Tomcat 账号：

sudo groupadd tomcat

创建Tomcat 组：

sudo useradd -M -s /bin/nologin -g tomcat -d /usr/local/tomcat tomcat

安装Tomcat依赖

安装安全类组件：

sudo yum install haveged
sudo systemctl start haveged.service
sudo systemctl enable haveged.service
sudo systemctl is-enabled haveged

安装随机数发生器：

sudo yum install rng-tools
sudo systemctl start rngd
sudo systemctl enable rngd

检查是否已设置：

sudo systemctl is-enabled rngd

安装Tomcat

下载Tomcat安装包，并解压：使用如下命令登陆：

sudo mkdir /usr/local/tomcat
sudo tar xvf apache-tomcat-8*tar.gz -C /usr/local/tomcat --strip-components=1

更改权限

进入Tomcat 目录：

cd /usr/local/tomcat

授权整个Tomcat 目录：

sudo chgrp -R tomcat /usr/local/tomcat
sudo chmod -R g+r /usr/local/tomcat/conf
sudo chmod g+x /usr/local/tomcat/bin

结果确认：

sudo chown -R tomcat webapps/ work/ temp/ logs/

配置Tomcat 服务自启动

运行如下命令，创建服务文件：

sudo vi /etc/systemd/system/tomcat.service

内容：

# Systemd unit file for tomcat
[Unit]
Description=Apache Tomcat Web Application Container
After=syslog.target network.target
[Service]
Type=forking
Environment=JAVA_HOME=/usr/java/jdk1.8.0_202-amd64
Environment=CATALINA_PID=/usr/local/tomcat/temp/tomcat.pid
Environment=CATALINA_HOME=/usr/local/tomcat
Environment=CATALINA_BASE=/usr/local/tomcat
Environment='CATALINA_OPTS=-Xms4096M -Xmx4096M -server -XX:+UseParallelGC'
Environment='JAVA_OPTS=-Djava.security.debug=all -Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom'
ExecStart=/usr/local/tomcat/bin/catalina.sh start
ExecStop=/bin/kill -15 $MAINPID
User=root
Group=root
UMask=0007
RestartSec=10
Restart=always
[Install]
WantedBy=multi-user.target

重新加载daemon：

sudo systemctl daemon-reload

启动：

sudo systemctl start tomcat
sudo systemctl enable tomcat
sudo systemctl is-enabled tomcat

Tomcat 性能优化

更改server.xml

配置SSL证书

配置图片/视频/文件下载路径

打开conf/server.xml,在host 元素的最后，追加如下内容：

<Context path="/file" docBase="/home/UploadPath/video" debug="0" reloadable="true"/>
<Context path="/filePicture" docBase="/home/UploadPath/picture" debug="0" reloadable="true"/>
<Context path="/fileAll" docBase="/home/UploadPath/path" debug="0" reloadable="true"/>
添加完成后， server.xml如下所示：

然后，在命令行，创建相关目录：

sudo mkdir -p /home/UploadPath/picture
sudo mkdir -p /home/UploadPath/video
sudo mkdir -p /home/UploadPath/path

增加上传文件大小的参数sendfileSize, 修改conf/web.xml：

<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>sendfileSize</param>
<param-value>204800</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
更改tomcat-users.xml

打开conf/tomcat-users.xml, 追加如下内容：

<role rolename="manager-gui"/>
<role rolename="admin-gui"/>
<role rolename="manager-status"/>
<user username="developer" password="YemYzusdkW2r7NqzsRBhxdz-" roles="manager-gui,admin-gui"/>
<user username="developer-status" password="YemYzusdkW2r7NqzsRBhxdz-" roles="manager-status"/>

其中的密码部分需要替换。

配置默认应用

删除Tomcat中webapps下的所有默认应用，只保留manager应用。

修改webapps/manager/META-INF/context.xml, 增加本机ip地址：

<Context antiResourceLocking="false" privileged="true" >
<CookieProcessor className="org.apache.tomcat.util.http.Rfc6265CookieProcessor" sameSiteCookies="strict" />
<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="123.119.178.155" />
<Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>
</Context>

更改JVM

应用服务器安装和配置确认

安装Nginx

3.1目的

本项目使用Vue 开发前端应用，为了部署前端代码，需要安装Nginx 服务器。

在服务器完成操作系统升级之后， 进行此项操作。

3.2安装Nginx

在CentOS7 上， 添加EPEL yum 源：

sudo yum install epel-release

安装Nginx ：

sudo yum install nginx

3.3配置Nginx服务自动启动

在CentOS7 上， 配置Nginx服务随系统启动：

sudo systemctl enable nginx

确认Nginx 自启动：

sudo systemctl is-enabled nginx

3.4配置Nginx

在CentOS7 上， 配置Nginx服务随系统启动：

sudo systemctl enable nginx

确认Nginx 自启动：

sudo systemctl is-enabled nginx

3.4.1默认服务器根目录

默认的服务器根目录是/usr/share/nginx/html。放置在其中的文件将在web服务器上显示

/usr/share/nginx/html

此位置在Nginx附带的默认服务器块配置文件中指定，该文件位于/etc/nginx/nginx.conf

3.4.2服务器块配置

通过在/etc/nginx/conf.d.文件中创建以结尾的新配置文件，可以添加任何额外的服务器块（在Apache中称为虚拟主机）。启动Nginx时，将加载该目录中的conf。

3.4.3 Nginx全局配置

Nginx主配置文件位于/etc/nginx/nginx.conf。在这里，您可以更改设置，比如运行Nginx守护进程的用户，以及在Nginx运行时生成的工作进程的数量，等等。

注意#1： 在更改配置文件之前，一定要注意备份配置文件，例如：

sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak

因未执行备份而导致的配置文件损坏/不起作用，从而导致的一切后果，请自负！

注意#2：在更改Nginx 配置文件之后， 一定要先验证，再启用，禁止直接加载配置文件，验证脚本（这里假定nginx命令存在于/usr/sbin/nginx）：

sudo /usr/sbin/nginx -t -c /etc/nginx/nginx.conf

验证结果无错误之后，方可进行下一步操作，生产环境操作无小事，操作者切记切记。

配置信息：

worker_processes 2;
error_log /data/nginx/logs/error.log info;
pid /etc/nginx/logs/nginx.pid;
worker_rlimit_nofile 65535;

3.4.4 Nginx events配置

参考配置信息：

events {
use epoll;
worker_connections 8192;
}

3.4.5 Nginx 日志设置

配置日志文件位置，默认的日志目录设置在nginx/logs目录，

日志轮转：

vi /etc/logrotate.d/nginx

该文件内容为：

/usr/local/nginx/logs/*.log {
# 日志文件轮转周期，可用值为: daily/weekly/yearly
daily
# 新日志文件的权限
create 0664 work work
# 轮转次数，即最多存储7个归档日志，会删除最久的归档日志,生产环境需设置为90天
rotate 14
# 以当前日期作为命名格式
dateext
# 轮循结束后，已归档日志使用gzip进行压缩
compress
# 与compress共用，最近的一次归档不要压缩
delaycompress
# 忽略错误信息
missingok
# 日志文件为空，轮循不会继续执行
notifempty
# 当日志文件大于指定大小时，才继续执行，单位为bytes（默认）/k/M/G
size = 100M
# 将日志文件转储后执行的命令，以endscript结尾，命令需要单独成行
postrotate
# 重启nginx日志服务，写入到新的文件中去，否则会依然写入重命名后的文件中
/bin/kill -USR1 `cat /usr/local/nginx/logs/nginx.pid 2> /dev/null` 2> /dev/null || true
# 默认logrotate会以root身份运行，如果想要以其他身份执行一个命令，可以这样使用：
#su - work -c '/home/work/odp/webserver/loadnginx.sh restart'
endscript
}

演练，检查logrotate文件配置是否正确

logrotate -d -f /etc/logrotate.d/nginx

输入如下，即说明配置正确：

手工执行：

logrotate -f /etc/logrotate.d/nginx

3.4.6 Nginx 安全设置

为确保Nginx 服务器安全，需要采用以下配置：

（1）、禁用server 标记

server_tokens 启用的话，会暴露Nginx 版本信息，检查是否启用：

curl -I http://<NGINX_URL>

下面是未启用的示例：

启用：

结果验证：

（2）、自定义缓存

设置自定义缓存以限制缓冲区溢出攻击。nginx.conf配置如下:

http{
... ...
server{
... ...
client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 10m;
large_client_header_buffers 2 1k;
（3）、设置timeout

设置timeout设低来防御DOS攻击，nginx.conf配置如下：

http {
... ...
client_body_timeout 10;
client_header_timeout 30;
keepalive_timeout 30 30;
send_timeout 10;

验证：

（4）、限制访问的方法

在目前的应用系统中值使用到POST、 GET和PUT方法，所以除了它们之外，其他方式的请求均可拒绝。Nginx.conf配置如下：

server{
... ...
if($request_method !~ ^(GET|HEAD|PUT|POST)$) {
return 404;
}
  ... ...

（5）、配置SSL证书加密套件

Nginx的默认配置允许您使用不安全的TLS协议旧版本（根据官方文档：ssl_协议TLSv1 TLSv1.1 TLSv1.2）。这可能会导致野兽攻击等攻击。因此，我们建议您不要使用旧的TLS协议，并将配置更改为仅支持更新的安全TLS版本。

server{
  ... ...
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers
'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;

... ...

（5）、配置HTTP header

为了进一步增强nginx web服务器，可以添加几个不同的HTTP头。以下是我们推荐的一些选项。

X-Frame-Options

您可以使用X-Frame-Options HTTP响应头来指示是否允许浏览器在<Frame>或<iframe>中呈现页面。这可以防止点击劫持攻击。因此，我们建议您为nginx服务器启用此选项。

为此，请在服务器部分的nginx配置文件中添加以下参数：

add_header X-Frame-Options "SAMEORIGIN";

CSP和X-XSS-Protection

内容安全策略（CSP）保护您的web服务器免受特定类型的攻击，包括跨站点脚本攻击（XSS）和数据注入攻击。

可以通过添加以下示例内容安全策略头来实现CSP（请注意，应将实际头配置为符合实际需求）：

add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;

IE和Safari支持HTTP X-XSS-Protection头，如果您有强大的内容安全策略，则现代浏览器不需要HTTP X-XSS-Protection头。但是，为了在旧浏览器（还不支持CSP）的情况下防止XSS，可以将X-XSS保护头添加到服务器部分：

add_header X-XSS-Protection "1; mode=block";