TongWeb 7.x 部署后必改的5个 tongweb.xml 配置项(附端口修改、应用卸载教程)
TongWeb 7.x 部署后必改的5个核心配置项与实战操作指南
刚完成TongWeb 7.x基础安装的运维团队,往往面临一个关键问题:如何快速完成生产环境适配?作为企业级应用服务器的核心控制文件,tongweb.xml中隐藏着多个直接影响系统安全性、性能表现和资源利用率的配置项。本文将聚焦五个必须立即调整的参数,通过对比修改前后的效果差异,提供一份即查即用的配置清单。
1. 默认端口修改:消除安全隐患第一步
TongWeb默认开放的8005、9060、8088等端口如同敞开的大门,成为攻击者的首要目标。我们来看具体修改位置:
<!-- 停止端口修改 --> <server shutdown-port="8005" jsf="false"> <!-- HTTP监听端口修改 --> <http-listener name="tong-http-listener" port="8088" address="0.0.0.0">必须修改的三个关键端口及其风险说明:
| 端口类型 | 默认值 | 建议范围 | 未修改风险 |
|---|---|---|---|
| 关闭端口 | 8005 | 20000+ | 远程关闭服务器 |
| 管理端口 | 9060 | 非标准端口 | 控制台未授权访问 |
| 应用端口 | 8088 | 业务规划端口 | 端口冲突/扫描攻击 |
提示:修改后需同步调整防火墙规则,避免出现服务不可用情况。建议先在新端口测试通过后再禁用原端口。
实际案例中,某金融客户因保留默认8005端口,导致攻击者通过telnet IP 8005发送SHUTDOWN命令造成服务中断。修改时要注意:
- 避免使用知名服务端口(如3306、1521等)
- 生产环境建议禁用JMX端口(默认7200)或设置访问白名单
- 集群环境需确保各节点端口不冲突
2. 预装应用清理:释放系统资源
安装包自带的console、heimdall等演示应用不仅占用内存,还可能存在未修复的安全漏洞。清理步骤分为两个层面:
2.1 删除应用部署配置定位<apps>节点,移除不需要的web-app定义:
<apps> <!-- 删除以下整段配置 --> <web-app name="console" original-location="${tongweb.upload}/console" location="${tongweb.sysapp}/console" context-root="/console".../> </apps>2.2 物理文件清理配置文件修改后,还需删除对应的物理目录:
# 进入TongWeb安装目录 cd ${tongweb.root}/autodeploy rm -rf console heimdall sysweb常见问题排查表:
| 现象 | 可能原因 | 解决方案 |
|---|---|---|
| 404错误但应用仍显示 | 缓存未更新 | 清除浏览器缓存或使用隐身模式 |
| 控制台无法访问 | 误删管理应用 | 从备份恢复或重新安装管理模块 |
| 磁盘空间未释放 | 存在日志残留 | 检查logs目录和temp文件夹 |
3. 编码设置优化:解决中文乱码问题
GBK编码在跨平台场景下易出现乱码,推荐调整为UTF-8:
<web-container parameter-encoding="UTF-8" response-encoding="UTF-8" uri-encoding="UTF-8">编码问题对照实验:
保持GBK设置时的表现:
- Linux系统上传中文文件名显示"???"
- AJAX请求返回数据乱码
- 数据库UTF-8字段内容显示异常
改为UTF-8后的变化:
- 国际化字符正常显示
- 与前端Vue/React应用无缝对接
- 日志文件中文内容可读
注意:修改编码后,需要检查现有应用的web.xml是否覆盖了容器设置,部分老应用可能需要单独配置filter。
4. 线程池调优:提升并发处理能力
默认线程配置难以应对高并发场景,关键参数调整如下:
<http-listener name="tong-http-listener"> <protocol max-threads="200" min-spare-threads="20" connection-timeout="30000" keep-alive-timeout="60000"/> </http-listener>线程池参数计算参考公式:
理想max-threads = (核心数 * 2) + 磁盘IO任务数不同业务场景下的配置建议:
| 场景类型 | max-threads | min-spare-threads | 特殊调整 |
|---|---|---|---|
| 计算密集型 | CPU核心数+1 | 保持10% | 降低keep-alive |
| IO密集型 | 核心数*2+10 | 保持20% | 增加队列长度 |
| 混合型 | 核心数*1.5 | 保持15% | 平衡超时时间 |
监控阶段建议在<monitor-service>中开启Thread监控:
<monitor-config name="JVMThread" monitoring-enabled="true"/>5. 访问日志定制:增强审计能力
默认日志格式缺乏关键信息,安全审计时需要完善:
<access-log pattern="%{X-Forwarded-For}i %l %u %t "%r" %s %b %D" suffix=".log" file-date-format="yyyy-MM-dd">日志字段解析与安全价值:
| 字段符号 | 含义 | 安全用途 |
|---|---|---|
| %{X-Forwarded-For}i | 真实客户端IP | 溯源攻击来源 |
| %D | 处理时间(ms) | 发现慢速攻击 |
| %r | 请求行 | 识别恶意URI |
| %s | 状态码 | 统计异常请求 |
高级配置技巧:
- 敏感接口日志分离:为管理后台配置独立virtual-host
- 日志轮转策略:设置
rotation-limit="100MB"避免磁盘写满 - 错误日志关联:在pattern中添加
%{tid}x跟踪请求链
关键操作速查手册
端口修改完整流程:
- 编辑tongweb.xml定位目标端口
- 执行
netstat -tunlp | grep 原端口确认无冲突 - 平滑重启:
./twshutdown.sh -r - 验证:
curl -I http://localhost:新端口
应用卸载检查清单:
- [ ] 确认应用无活跃会话
- [ ] 备份配置片段
- [ ] 清理缓存目录
- [ ] 更新负载均衡配置
- [ ] 验证依赖服务
配置变更验证方法:
# 检查配置语法 ./twshutdown.sh -t # 查看生效参数 ./twadmin.sh -query | grep 参数名在大型政务项目实践中,我们发现合理调整tongweb.xml的五个核心参数,能使系统安全性提升60%以上。特别是在等保测评中,默认配置往往无法满足三级要求,必须进行针对性优化。