重新编译Nginx指导手册【修复静态编译Openssl的Nginx漏洞 】(转)
2017-05-10 15:13
585 查看
1. 概述
当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的Nginx,是静态编译opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,Nginx不会加载外部的openssl动态链接库的,必须将nginx重新编译才可以根治。
# ./sbin/nginx -V
如果编译参数中含有--with-openssl=...,则表明Nginx是静态编译Openssl,如下所示:
[plain] view plain copy
print?
nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1
[plain] view plain copy
print?
# ldd ./sbin/nginx
如果依赖库不含有Openssl,则表明是静态编译的Openssl的。
[plain] view plain copy
print?
# ps aux | grep nginx
# lsof -p 111111<这里换成Nginx的进程PID> | grep ssl
如果没有打开Openssl的库文件,就说明是静态编译Openssl的,如下图所示:
[plain] view plain copy
print?
Nginx的下载地址: http://nginx.org/en/download.html
[plain] view plain copy
print?
# ./sbin/nginx -V
输出的编译参数里面包含了编译模块,如下:
[plain] view plain copy
print?
nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1
编译选项--add-module就是Nginx所编译的插件模块。先把所有插件模块记录下来,比如上面的服务器就有只有一个插件cache_purge,然后从以下网址中下载相关插件源码:
[plain] view plain copy
print?
Nginx 第三方插件下载网址: http://wiki.nginx.org/3rdPartyModules
[plain] view plain copy
print?
下载页面:http://www.openssl.org/source/
下载地址: http://www.openssl.org/source/openssl-1.0.1g.tar.gz
[plain] view plain copy
print?
#./configure <编译参数> <第三方插件>
# make & make install
编译完成之后,重启Nginx,然后测试无误后,然后再对其他相同配置环境的机器直接替换即可,注意,不同环境服务器是不能直接替换的,比如Redhat5.x上的Nginx就不能复制到Redhat6.x上了。
转自:http://blog.csdn.net/hujkay/article/details/23476557
当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的Nginx,是静态编译opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,Nginx不会加载外部的openssl动态链接库的,必须将nginx重新编译才可以根治。
2. 识别Nginx是否是静态编译的
以下三种方法都可以确认Nginx是否静态编译Openssl。2.1 查看Nginx编译参数
输入以下指令,查看Nginx的编译参数:# ./sbin/nginx -V
如果编译参数中含有--with-openssl=...,则表明Nginx是静态编译Openssl,如下所示:
[plain] view plain copy
print?
nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1
2.2 查看Nginx的依赖库
为进一步确认,可以查看一下程序的依赖库,输入以下指令:[plain] view plain copy
print?
# ldd ./sbin/nginx
如果依赖库不含有Openssl,则表明是静态编译的Openssl的。
2.3 查看Nginx打开的文件
也可以通过查看Nginx打开的文件来查看是否静态编译,输入以下指令:[plain] view plain copy
print?
# ps aux | grep nginx
# lsof -p 111111<这里换成Nginx的进程PID> | grep ssl
如果没有打开Openssl的库文件,就说明是静态编译Openssl的,如下图所示:
3. 重新编译Nginx
在互联网公司里,很少有统一的Nginx版本,都是各部门根据自己的业务需求选择相应的插件,然后自己编译的,所以在编译的时候一定要注意插件这块,不要忘记编译某些插件,尽量保持Nginx特性不变,下面的方法可以给大家参考一下,但是一定要经过测试才可以上线啊。3.1 下载Nginx
去官网下载Nginx,至于版本的话,我是推荐用最新的稳定版本1.4.7,但是各部门可以根据自己的实际情况来选择,不一定要用最新稳定版本。[plain] view plain copy
print?
Nginx的下载地址: http://nginx.org/en/download.html
3.2 下载相关Nginx的第三方插件
输入以下命令,查看Nginx编译了哪些插件模块:[plain] view plain copy
print?
# ./sbin/nginx -V
输出的编译参数里面包含了编译模块,如下:
[plain] view plain copy
print?
nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1
编译选项--add-module就是Nginx所编译的插件模块。先把所有插件模块记录下来,比如上面的服务器就有只有一个插件cache_purge,然后从以下网址中下载相关插件源码:
[plain] view plain copy
print?
Nginx 第三方插件下载网址: http://wiki.nginx.org/3rdPartyModules
3.3 自定义插件
如果是咱公司自己开发的Nginx插件,请务必找到相应的同事,确认是否兼容当前的Nginx版本。此外,非官网提供的第三方插件也需要经过测试,是否能够兼容当前Nginx版本。3.4 编译参数
在2小节中,将编译参数记录下来,比如上面的--prefix=/opt/app/nginx --with-http_ssl_module ... 等等,记录下来,编译的时候尽量保持一致,这样才能尽可能保持Nginx的特性不变。3.5 下载Openssl的源码
从Openssl的官网下载最新的源码,建议使用最新的额1.0.1g版本,下载页面:[plain] view plain copy
print?
下载页面:http://www.openssl.org/source/
下载地址: http://www.openssl.org/source/openssl-1.0.1g.tar.gz
3.6 编译安装
在编译安装之前,请将原来的./sbin/Nginx 备份一下,以防万一。所有源码准备完之后,就开始编译安装:[plain] view plain copy
print?
#./configure <编译参数> <第三方插件>
# make & make install
编译完成之后,重启Nginx,然后测试无误后,然后再对其他相同配置环境的机器直接替换即可,注意,不同环境服务器是不能直接替换的,比如Redhat5.x上的Nginx就不能复制到Redhat6.x上了。
转自:http://blog.csdn.net/hujkay/article/details/23476557
相关文章推荐
- 重新编译Nginx指导手册【修复静态编译Openssl的Nginx漏洞 】[Openssl Heartbleed]
- nginx静态编译openssl并且使用gdb调试openssl
- openssl升级及nginx重新编译
- nginx 源码安装openssl修复Heartbleed漏洞
- openssl升级后,nginx 重新编译安装
- nginx-1.12.1 + openssl-1.1.0f 静态编译
- openssl漏洞补丁修复
- redhat5 编译静态的zlib和openssl
- 不重新编译PHP为php增加openssl模块的方法
- 不重新编译PHP为php增加openssl模块的方法
- 升级你的OpenSSL吧 (“heartbleed”漏洞修复方案)
- 转 通过phpize为php在不重新编译php情况下安装模块openssl
- 编译静态的zlib和openssl
- 【转】C++编译过程中"没有找到MFC80UD.DLL,因此这个程序未能启动.重新安装应用程序可能会修复此问题"? 的彻底解决
- linux不重新编译php增加openssl扩展
- OpenSSL "heartbleed" 的安全漏洞紧急修复方案[CentOS 6.x][Red Hat 6.x][附官网安全补丁下载]
- LINUX下PHP编译添加相应的动态扩展模块so(不需要重新编译PHP,以openssl.so为例)
- LINUX下PHP编译添加相应的动态扩展模块so(不需要重新编译PHP,以openssl.so为例)
- ajaxpro 下载,bug 修复,重新编译(ajaxpro.2.dll)
- Ubuntu安装Nginx+PHP+Memcache+Mysql指导手册