修复OpenSSL漏洞 升级OpenSSL版本 nginx静态编译ssl模块

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了修复OpenSSL漏洞 升级OpenSSL版本 nginx静态编译ssl模块相关的知识,希望对你有一定的参考价值。

背景

   OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全。可确保数据在网络上的传输不会被窃听及截取。

    当然,OpenSSL是一个强大的密码库,我们在使用SSL协议的时候不一定非得采用OpenSSL,不过目前基本上都是用的OpenSSL,因为它更安全,使用起来也更简单。

通常出现的OpenSSL的漏洞需要升级版本解决

查看openssl版本

openssl version 

进入存放源码包位置

cd /usr/local/scr  

下载最新版openssl 源码包 下载openssl地址

https://www.openssl.org/source/

解压

tar  zxf    openssl-1.1.0h.tar.gz

编译

./config  --prefix=/usr/local/openssl-1.1.0h/ssl
make  && make install

将新编译的openssl替换系统老版本的

mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak 
ln -s /usr/local/openssl-1.1.0h/ssl/bin/openssl   /usr/bin/openssl
ln -s /usr/local/openssl-1.1.0h/ssl/include/openssl   /usr/include/openssl

配置文件搜索路径

echo "/usr/local/ssl/lib/" >> /etc/ld.so.conf  
 ldconfig -v |grep openssl  

查看安装完成后的最新版本

 openssl version
 openssl version -a

以上openssl 安装更新完成

########

nginx静态编译ssl模块

nginx用户:
如果您是使用动态编译ssl模块的方式,需保证nginx链接的是升级后的libssl.so
如果您是使用静态编译ssl模块的方式,需重新编译nginx,--with-openssl参数指向新的openssl源码目录

识别nginx是否为静态编译https://blog.csdn.net/hujkay/article/details/23476557

我的nginx为静态编译的

进入nginx解压包的源码包路径

cd /usr/local/scr/nginx-1.10.2

进入nginx源码目录 重新编译。

./configure  --prefix=/usr/local/nginx --with-http_realip_module --with-http_sub_module --with-http_gzip_static_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-openssl=/usr/local/openssl-1.1.0h/ssl
注释:
编译参数需要拷贝原来参数
查看nginx编译的参数
/usr/local/nginx/sbin/nginx -V
参数解析 --with-http_ssl_module --with-openssl=/usr/local/openssl-1.1.0h/ssl
【--with-http_ssl_module 使得nginx支持ssl模块  --with-openssl指定安装目录,通常两个都加上】

编译

make   【生成最新二进制文件】  
这里可以不make install  ,避免把原来的nginx其他配置覆盖了
编译时可能出现的报错
/usr/local/openssl//.openssl/include/openssl/ssl.h] Error 127
解决方案:
https://www.cnblogs.com/huanhang/p/7580843.html

修改后

需要把最新nginx二进制文件拷贝到安装目录的sbin

@需要的可以备份好原来的二进制文件
cp  /usr/local/src/nginx-1.10.2/objs    /usr/local/nginx/sbin/nginx

验证nginx配置文件是否正确

/usr/local/nginx/sbin/nginx -t

重启nginx服务

/usr/local/nginx/sbin/nginx -s stop
 启动代码格式:nginx安装目录地址 -c nginx配置文件地址
/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

以上是关于修复OpenSSL漏洞 升级OpenSSL版本 nginx静态编译ssl模块的主要内容,如果未能解决你的问题,请参考以下文章

漏洞修复---SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描

漏洞修复---SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞修复升级

ssh漏洞修复:openssh升级及降级

如何升级OpenSSl版本

OpenSSL安全特征问题漏洞(CVE-2022-2068)版本1.0.2k-fips升级到3.0.5