nginx 源码安装openssl修复Heartbleed漏洞
2015-07-09 15:42
656 查看
如果你的nginx使用的是动态的openssl库,直接升级openssl,如果你的nginx使用的是静态的openssl库,那就要重新编译安装nginx。 PHP编译修复
1. nginx使用的是动态的openssl库,直接升级openssl
1.1 源码安装openssl1.0.1g版本
先下载openssl 1.0.1g版本,命令如下:
#wget -c https://www.openssl.org/source/openssl-1.0.1g.tar.gz
再下载这个版本的md5校验包:
#wget -c https://www.openssl.org/source/openssl-1.0.1g.tar.gz.md5
然后校验下的openssl包是否被恶意修改过:
#md5sum openssl-1.0.1g.tar.gz | awk '{print $1;}' | cmp - openssl-1.0.1g.tar.gz.md5
如果校验没问题,再接着解压包,命令:
#tar -zvxf openssl-1.0.1g.tar.gz //解压openssl-1.0.1g.tar.gz
进入这个解压缩的目录:
#cd openssl-1.0.1g
输入下面的命令进行编译,安装,我直接设置了一些重要的参数,因为其他的参数对于我来说就根本没用。如果需要参数,自己添加就是。输入:
#./config shared zlib && make && make install
或者你什么参数都不加,完全用默认的:
#./config && make && make install
话大概五六分中编译安装完。没出问题的话,继续输入下面的命令,手动软链新的openssl二进制文件:
ln –s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln –s /usr/local/ssl/include/openssl /usr/include/openssl
配置库文件搜索路径:
#echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
#ldconfig -v
最后重启下服务器(重启进程麻烦的),输入:
#reboot
重启后,输入下面的命令检测下openssl 的版本:
#openssl version
显示:
OpenSSL 1.0.1g 7 Apr 2014
2. nginx使用的是静态的openssl库,重新编译安装nginx
2.1 概述
当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。
不少服务器使用的Nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,Nginx不会加载外部的 openssl动态链接库的,必须将nginx重新编译才可以根治。
2.2 识别Nginx是否是静态编译的
以下三种方法都可以确认Nginx是否静态编译Openssl。
1) 查看Nginx编译参数
输入以下指令,查看Nginx的编译参数:
# ./sbin/nginx -V
如果编译参数中含有--with-openssl=...,则表明Nginx是静态编译Openssl,如下所示:
nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1
2) 查看Nginx的依赖库
为进一步确认,可以查看一下程序的依赖库,输入以下指令:
# ldd `which nginx` | grep ssl
显示
libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)
注意:如果输出中不包含libssl.so的文件(),就说明是静态编译的Openssl的
再输入命令以确定openssl以确定库所属的openssl版本,但是不会太详细,比如本应该是1.0.1e.5.7,但是却只输出1.0.1e:
# strings /usr/lib/libssl.so.10 | grep "^OpenSSL "
OpenSSL 1.0.1e-fips 11 Feb 2013
3) 查看Nginx打开的文件
也可以通过查看Nginx打开的文件来查看是否静态编译,输入以下指令:
# ps aux | grep nginx
# lsof -p 111111<这里换成Nginx的进程PID> | grep ssl
如果没有打开Openssl的库文件,就说明是静态编译Openssl的,如下图所:
20140411213555359
2.3 重新编译Nginx
参考《重新编译Nginx指导手册【修复静态编译Openssl的Nginx漏洞 】[Openssl Heartbleed]》
3 php编译时,是否制定了openssl目录
我们直接查看php探针,就是<?php phpinfo(); ?> 保存到info.php。
浏览器打开info.php 看显示openssl 那几栏,如下:
openssl
OpenSSL support enabled
OpenSSL Library Version OpenSSL 1.0.1g 7 Apr 2014
OpenSSL Header Version OpenSSL 1.0.1g 7 Apr 2014
如果不是1.0.1g版本,那就重新编译下php。指定openssl的目录。
可以使用下面的命令,查看php版本和编译参数:
#php -v #查看php版本
# /usr/local/php/bin/php -i | grep configure #查看php编译所用的参数
用这个命令显示的编译结果都有单引号包住了,要删掉。同时将其中的--with-openssl 改为:
--with-openssl=/usr/local/ssl/
然后重新编译即可,只是编译参数变了,但不改变php的版本。
1. nginx使用的是动态的openssl库,直接升级openssl
1.1 源码安装openssl1.0.1g版本
先下载openssl 1.0.1g版本,命令如下:
#wget -c https://www.openssl.org/source/openssl-1.0.1g.tar.gz
再下载这个版本的md5校验包:
#wget -c https://www.openssl.org/source/openssl-1.0.1g.tar.gz.md5
然后校验下的openssl包是否被恶意修改过:
#md5sum openssl-1.0.1g.tar.gz | awk '{print $1;}' | cmp - openssl-1.0.1g.tar.gz.md5
如果校验没问题,再接着解压包,命令:
#tar -zvxf openssl-1.0.1g.tar.gz //解压openssl-1.0.1g.tar.gz
进入这个解压缩的目录:
#cd openssl-1.0.1g
输入下面的命令进行编译,安装,我直接设置了一些重要的参数,因为其他的参数对于我来说就根本没用。如果需要参数,自己添加就是。输入:
#./config shared zlib && make && make install
或者你什么参数都不加,完全用默认的:
#./config && make && make install
话大概五六分中编译安装完。没出问题的话,继续输入下面的命令,手动软链新的openssl二进制文件:
ln –s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln –s /usr/local/ssl/include/openssl /usr/include/openssl
配置库文件搜索路径:
#echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
#ldconfig -v
最后重启下服务器(重启进程麻烦的),输入:
#reboot
重启后,输入下面的命令检测下openssl 的版本:
#openssl version
显示:
OpenSSL 1.0.1g 7 Apr 2014
2. nginx使用的是静态的openssl库,重新编译安装nginx
2.1 概述
当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。
不少服务器使用的Nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,Nginx不会加载外部的 openssl动态链接库的,必须将nginx重新编译才可以根治。
2.2 识别Nginx是否是静态编译的
以下三种方法都可以确认Nginx是否静态编译Openssl。
1) 查看Nginx编译参数
输入以下指令,查看Nginx的编译参数:
# ./sbin/nginx -V
如果编译参数中含有--with-openssl=...,则表明Nginx是静态编译Openssl,如下所示:
nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1
2) 查看Nginx的依赖库
为进一步确认,可以查看一下程序的依赖库,输入以下指令:
# ldd `which nginx` | grep ssl
显示
libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)
注意:如果输出中不包含libssl.so的文件(),就说明是静态编译的Openssl的
再输入命令以确定openssl以确定库所属的openssl版本,但是不会太详细,比如本应该是1.0.1e.5.7,但是却只输出1.0.1e:
# strings /usr/lib/libssl.so.10 | grep "^OpenSSL "
OpenSSL 1.0.1e-fips 11 Feb 2013
3) 查看Nginx打开的文件
也可以通过查看Nginx打开的文件来查看是否静态编译,输入以下指令:
# ps aux | grep nginx
# lsof -p 111111<这里换成Nginx的进程PID> | grep ssl
如果没有打开Openssl的库文件,就说明是静态编译Openssl的,如下图所:
20140411213555359
2.3 重新编译Nginx
参考《重新编译Nginx指导手册【修复静态编译Openssl的Nginx漏洞 】[Openssl Heartbleed]》
3 php编译时,是否制定了openssl目录
我们直接查看php探针,就是<?php phpinfo(); ?> 保存到info.php。
浏览器打开info.php 看显示openssl 那几栏,如下:
openssl
OpenSSL support enabled
OpenSSL Library Version OpenSSL 1.0.1g 7 Apr 2014
OpenSSL Header Version OpenSSL 1.0.1g 7 Apr 2014
如果不是1.0.1g版本,那就重新编译下php。指定openssl的目录。
可以使用下面的命令,查看php版本和编译参数:
#php -v #查看php版本
# /usr/local/php/bin/php -i | grep configure #查看php编译所用的参数
用这个命令显示的编译结果都有单引号包住了,要删掉。同时将其中的--with-openssl 改为:
--with-openssl=/usr/local/ssl/
然后重新编译即可,只是编译参数变了,但不改变php的版本。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 一个关于if else容易迷惑的问题
- nginx代理指定目录
- PHP5.2.*防止Hash冲突拒绝服务攻击的Patch
- 深入理解PHP之匿名函数
- 访问Nginx发生SSL connection error的一种情况
- JSP/PHP基于Ajax的分页功能实现
- 关于PHP通过PDO用中文条件查询MySQL的问题。
- Nginx+Naxsi部署专业级Web应用防火墙
- 什么是设计模式
- CentOS 6.2实战部署Nginx+MySQL+PHP
- PHP数据库长连接mysql_pconnect的细节
- Php Installing An Expansion
- 网站502与504错误分析
- 艰难完成 nginx + puma 部署 rails 4的详细记录
- 把Lua编译进nginx步骤方法
- PHP+Apache在Windows 9x下的安装和配置
- IIS 6 的 PHP 最佳配置方法
- 安装Apache和PHP的一些补充