记一次生产升级事件(nginx)

最新推荐文章于 2023-06-22 20:27:18 发布

码哥说

最新推荐文章于 2023-06-22 20:27:18 发布

阅读量274

点赞数

分类专栏： Linux 文章标签： linux 生产升级平滑升级升级nginx最新版本

本文链接：https://blog.csdn.net/MrCoderStack/article/details/105746171

版权

Linux 专栏收录该内容

14 篇文章 0 订阅

订阅专栏

背景

咸鱼君所在公司的安全部门, 扫描出项目的生产服务安全漏洞,并且很负责任的提供了两份扫描文档,

一份针对nginx(1.1.6),

一份针对php(7.1.3),

并限期一周内改善完!

咸鱼君粗略一扫,全都是服务软件的漏洞,

于是乎, 两个选择摆在眼前:

1.根据文档,按图索骥, 一个补丁一个补丁的“劳模打补丁”;

2.直接升级软件到最新版, 当然, 得确保服务的代码必须要适配!

于是咸鱼君“认真”考虑了一下(实在是懒,补丁太多,当然,也是觉得升级了对应用代码影响不大), 决定升级服务软件来解决漏洞!

下面,详细介绍咸鱼君的升级过程~

评估升级风险!

有相似需求的朋友一定要认真评估“直接升级服务软件版本”方案是否适合自己的业务, 因为服务软件的版本每次升级都会有些变化, 比如php就会舍弃一些函数, 万一项目代码用到了, 结果你直接升级了php
, 最后导致生产的服务代码跑不起来,那就悲剧了!!

评估升级风险的方式,咸鱼君采用的是本地升级服务软件,测试项目代码是否正常~

有条件的也可以搞台克隆生产环境的服务器, 而后测试升级操作~

备份备份备份!

先找到nginx 的安装目录

whereis nginx

查看当前版本(1.1.6)

/usr/local/nginx/sbin/nginx -v

注意是大V,罗列nginx的configure编译时的参数.这个要保存下,编译新nginx时要用!

/usr/local/nginx/sbin/nginx -V

--prefix=/etc/nginx --sbin-path=/usr/sbin/nginx 
--modules-path=/usr/lib64/nginx/modules 
--conf-path=/etc/nginx/nginx.conf 
--error-log-path=/var/log/nginx/error.log 
--http-log-path=/var/log/nginx/access.log 
--pid-path=/var/run/nginx.pid 
--lock-path=/var/run/nginx.lock 
--http-client-body-temp-path=/var/cache/nginx/client_temp 
--http-proxy-temp-path=/var/cache/nginx/proxy_temp 
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp 
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp 
--http-scgi-temp-path=/var/cache/nginx/scgi_temp 
--user=nginx 
--group=nginx 
--with-file-aio 
--with-threads 
--with-ipv6 
--with-http_addition_module 
--with-http_auth_request_module 
--with-http_dav_module 
--with-http_flv_module 
--with-http_gunzip_module 
--with-http_gzip_static_module 
--with-http_mp4_module 
--with-http_random_index_module 
--with-http_realip_module 
--with-http_secure_link_module 
--with-http_slice_module 
--with-http_ssl_module 
--with-http_stub_status_module 
--with-http_sub_module 
--with-http_v2_module 
--with-mail 
--with-mail_ssl_module 
--with-stream 
--with-stream_ssl_module 
--with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong 
--param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' 
--with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'

备份老版的nginx 执行文件

这里注意,其实编译安装新nginx时如何执行的是平滑升级命令

sudo make upgrade

######会备份当前的nginx, 在/usr/local/nginx/sbin/下会出现 nginx.old所以可以不手动备份~ 另外,nginx升级无需备份conf配置文件,因为升级不会覆盖这些~

sudo cp  /usr/local/nginx/sbin/nginx   /usr/local/nginx/sbin/nginx_bac

Nginx升级

查看当前系统版本

cat /proc/version
uname -a

去http://nginx.org/en/download.html 找到最新版“稳定”的nginx (毕竟是生产,还是找稳定的最新版!),找到最新版nginx后我们ssh登陆生产服务器即可

切换到用户主目录

cd ~

下载

wget https://nginx.org/download/nginx-1.16.1.tar.gz

解压

tar -zxvf nginx-1.16.1.tar.gz

配置编译参数

cd nginx-1.16.1    
// ***就是把之前的查出来的编译参数填充进去!   
./configure --prefix= ****

编译

make

平滑升级

sudo make upgrade

安装新nginx!

sudo make install

升级完成,我们再看下版本

/usr/local/nginx/sbin/nginx -v

要是版本不对也可手动执行

sudo /usr/local/nginx/sbin/nginx -s reload

也可以暴力点(不建议)

sudo /usr/local/nginx/sbin/nginx -s stop  
sudo /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

最后,确认服务正常,去访问下生产的服务,是不是正常,

如果发现生产有问题, 立刻

恢复旧服务

sudo /usr/local/nginx/sbin/nginx.old

请关注我的订阅号

订阅号.png

码哥说

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
记一次生产升级事件(nginx)

背景咸鱼君所在公司的安全部门, 扫描出项目的生产服务安全漏洞,并且很负责任的提供了两份扫描文档,一份针对nginx(1.1.6),一份针对php(7.1.3),并限期一周内改善完!咸鱼君粗略一扫,全都是服务软件的漏洞,于是乎, 两个选择摆在眼前:1.根据文档,按图索骥, 一个补丁一个补丁的“劳模打补丁”;2.直接升级软件到最新版, 当然, 得确保服务的代码必须要适配!于是咸鱼君“...
复制链接

扫一扫