Nginx平滑(不停服)升级、openssl模块添加

最新推荐文章于 2024-06-23 16:10:04 发布
最新推荐文章于 2024-06-23 16:10:04 发布
阅读量926 收藏 2
点赞数 1
分类专栏: nginx linux日常小操作 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24601199/article/details/108120521
版权

【前言】

前段时间扫描出来发现线上业务存在Heartbleed漏洞,听着名字挺瘆人的。百度老哥告诉我,这个是OpenSSL在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),会导致攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64jKB的速度进行泄露,在后面的升级版本中得以修复,看来我们使用的版本还是处于低版本,于是乎就需要升级OpenSSL。因为种种原因,我们必须要手动在nginx中添加此升级后的模块,又因为种种原因,nginx版本太低不适用新版本的,于是乎,就有了Nginx的平滑升级。

【准备各种包】

首先你需要去官方下载以下包:

OpenSSL 1.1.1d:https://www.openssl.org/source/openssl-1.1.1g.tar.gz

Nginx 1.16.1:http://nginx.org/download/nginx-1.16.1.tar.gz

 

操作步骤

备份旧nginx

cp -r /usr/local/nginx /data/nginx-bak

1.解压nginx新版本包

tar xvf nginx-1.16.0.tar.gz

2.检测平台的目标特征 (此处的内容和旧版本保持一致)

./configure --prefix=/usr/local/nginx --sbin-path=/usr/local/nginx/sbin/nginx --conf-path=/usr/local/nginx/conf/nginx.conf --error-log-path=/var/log/nginx/err.log --pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx/nginx.lock --user=apache --group=apache --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --http-log-path=/var/log/nginx/access.log --add-module=/root/update-nginx/nginx-upstream-fair-master/ --add-module=/opt/nginx_upstream_check_module-master/ --with-http_stub_status_module --with-openssl=/root/update-nginx/openssl-1.1.1d/

3.编译(注意:不要执行make install)

make

4.备份旧版本二进制文件,用新版本替代

(cp的时候要带上-f参数,不然会一直报“cp: 无法创建普通文件"/data/nginx/sbin/nginx": 文本文件忙”)

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx1.8.bak

cp -f /root/nginx-1.16.1/objs/nginx /usr/local/nginx/sbin/

5.验证配置文件

/usr/local/nginx/sbin/nginx –t

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

 

6.发送USR2信号,用新二进制启动新进程

向主进程(master)发送USR2信号,Nginx会启动一个新版本的master进程和对应工作进程,和旧版一起处理请求

ps aux | grep nginx

找到master process进程号,图中为18192,执行下面命令

kill -USR2 18192

7.查看是否生效

ps aux | grep nginx

此时会有两个nginx主进程,分别是新旧版本的主进程

8.发送WINCH信号,新进程接管旧子进程

向旧的Nginx主进程(master)发送WINCH信号,它会逐步关闭自己的工作进程(主进程不退出),这时所有请求都会由新版Nginx处理

kill -WINCH 18192

ps aux | grep nginx

可以看到之前的子进程已经消失,只剩下旧版本的主进程。

回滚步骤:此时如果需要回退继续使用旧版本,给旧nginx主进程发送HUP信号,它会重新启动工作进程, 仍使用旧版配置文件。然后可以将新版Nginx进程杀死(使用QUIT、TERM、或者KILL)

kill -HUP 18192

9.发送QUIT信号,退出旧主进程

升级完毕,可向旧的Nginx主进程(master)发送(QUIT、TERM、或者KILL)信号,使旧的主进程退出

kill -QUIT 18192

此时再次查看nginx进程,就只剩新版本的nginx进程了

10.验证版本号,并访问测试服务是否正常

/usr/local/nginx/sbin/nginx –v

至此,整个nginx就已经平滑的升级成功

hobby云说
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nginx升级openssl及自定义nginx版本
xinhuixu博客
10-22 1117
升级OpenSSL版本 心脏出血(英语:Heartbleed),也简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了软件中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。该程序错误属于缓冲区过读,即可以读取的数据比应该
Nginx添加模块不停添加模块
ck784101777的博客
11-10 1524
一、Nginx添加模块 1.查看nginx模块 nginx -V 查看nginx当前模块(我没有装任何模块) [root@jump_server ~]# nginx -V nginx version: nginx/1.12.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) configure arguments: 2.在源...
物联网系统运维——移动电商务器单点部署,web务器部署,Nginx Web务介绍,Nginx性能,部署,架构,及实验:安装并设置Nginx(重点)
最新发布
WZY22502701的博客
06-23 1236
模块化设计良好的扩展性,可以通过模块方式进行功能扩展。主控进程和worker是同步实现的,一-个worker出现问题,会立刻启动另一个worker。一万个长连接(keep-alive) , 仅消耗2.5MB内存。不用停止务器,实现更新配置文件,更换日志文件、更新务器程序版本。官方数据每秒支持5万并发。优秀的反向代理功能和灵活的负载均衡策略。
nginx 不停更新务器脚本
HybridTheory_的博客
03-10 743
#修改两个tomcat路径 执行脚本 sh grace_update.sh XX 参数war包名称 #!/bin/bash function grace_update(){ if [ ! -n "$1" ] ;then echo "请输入war包名称"; return 0; fi #NGINX_SBIN="/usr/sbin" #NGINX_CONF="/etc/nginx" ...
sentOS上重新编译Nginx -- openssl模块
Lyj的博客
03-25 247
参考链接:https://blog.csdn.net/li_adou/article/details/78468451 nginx安装成功后,发现有一些其他模块没有编译进去,或者想额外添加一些模块,这时候就要重新编译nginx。 首先,查看之前编译的一些参数: 注:使用大写的 V ,小写的 v 只显示版本号信息。 我现在需要新增 --with-openssl 这个模块,我只要把这些参数...
nginx不停平滑升级和反向代理
欢迎来到夜舞精狼的博客
10-06 907
nginx平滑升级和反向代理
CentOS 7 nginx平滑升级.pdf
09-13
对于Web务器软件Nginx来说,平滑升级是确保务不中断且能够安全地应用最新功能和安全修复的关键过程。本篇内容主要围绕如何在CentOS 7系统上,将Nginx 1.12.2平滑升级至1.13.3版本进行讲解。 首先,要确认当前...
Nginx务器基本的模块配置和使用全攻略
09-30
通过`nginx -s reload`命令可以平滑重启Nginx,应用配置文件的修改。还可以使用`nginx -t`测试配置文件的语法,`nginx -V`查看Nginx版本和编译选项。 以上就是Nginx务器的基本模块配置和使用全攻略,通过理解...
Nginx 核心模块与配置实践 (1)1
08-08
`显示帮助,`./nginx`启动务器,`./nginx -c /path/to/nginx.conf`指定配置文件启动,`nginx -s reload`或`kill -HUP <nginx进程PID>`用于平滑重载配置。 在配置实践中,Nginx的灵活性体现在其模块化设计。它可以...
阿里云务器配置nginx+https
07-23
进行平滑升级: ```bash cd .. make upgrade ``` 编辑Nginx配置文件`/usr/local/nginx/conf/nginx.conf`,添加HTTPS相关配置: ```nginx server { listen 443; server_name your_domain.com; index index....
nginx安装手册教程
06-27
- 平滑重载:`./nginx -s reload`,这种方法不会断开已建立的连接,而是加载新的配置文件并重新初始化务。 在实际部署中,你可能还需要配置Nginx的反向代理、负载均衡、SSL支持等功能。此外,定期更新Nginx到...
Nginx平滑升级到最新版本
weixin_33806509的博客
07-18 185
(一)简述: 早上收到nginx最新漏洞的通知,Nginx官方发布最新的安全公告,在Nginx范围过滤器中发现了一个安全问题(CVE-2017-7529),通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,从而导致敏感信息泄漏。当使用Nginx标准模块时,如果文件头从缓存返回响应,允许***者获取缓存文件头。在某些配置中,缓存文件头可能包含后端务器I...
nginx升级openssl3.1.3
//Case
01-31 480
打开nginx源码目录中的auto/lib/openssl/conf文件,修改41,42行, 把路径中的lib改为lib64。
nginx动态添加ssl模块
东坡居士的博客
04-28 568
一.查看nginx模块 /usr/local/nginx/sbin/nginx -V 二.安装openssl包 yum -y install pcre pcre-devel zlib zlib-devel openssl openssl-devel 三.重新编译nginx源码包,并且生成了新的obj目录 ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_modu...
Nginx基本命令&不停机版本升级
StoNENee的博客
05-07 1296
Nginx基本命令&不停机版本升级
nginxopenssl版本升级操作手册
wszhm123的博客
08-03 2025
我们目前使用的是nginx1.20.2和openssl-1.0.2k。其中查看务器上openssl的脚本名利是:openssl version -v/-a。这个时候可能会出现错误找不到libssl.so.1.1 和libcrypto.so.1.1。先在/usr/local/nginx/sbin/中执行cp nginx nginxb。如果显示已经存在/usr/bin/openssl,则只需要备份下。然后将备份文件的nginx复制过来。覆盖原来的,然后重新nginx即可。在/usr/bin目录下。
Nginx添加模块&平滑重启
loyachen的专栏
03-16 9969
需求当编译完成后的Nginx需要添加新的模块时,我们需要添加模块重新编译。比如我这里的需求是:编译好Nginx后,我需要添加nginx-rtmp-module模块环境[系统环境:CentOS release 6.7 (Final) nginx/1.8.1]nginx的安装位置:/opt/nginx nginx软件包位置:/opt/software/nginx-1.8.1准备下载新模块下载需要
openssl升级nginx重新编译
Jhonney的专栏
06-27 9090
openssl升级 参考http://blog.csdn.net/xysoul/article/details/49913645 1tar -zxvf openssl-1.0.2l.tar.gz 2./config shared zlib-dynamic3#注意如果有问题,会显示出来,一般是perl版本问题4#,Perl v5.10.0 required--this
Nginx添加SSL模块
m0_71518373的博客
10-07 5062
nginx的SSL模块安装以及基本的配置
nginx 平滑升级
09-14
Nginx 平滑升级是指在不中断务的情况下更新 Nginx 务器的版本或配置。下面是一种常用的平滑升级方法: 1. 备份 Nginx 配置文件和相关的配置目录。 2. 下载新版本的 Nginx,并解压到一个新的目录。 3. 在新版本的目录中,使用 `./configure` 命令重新配置 Nginx。确保使用与旧版本相同的编译参数和模块。 4. 编译新版本的 Nginx:执行 `make` 命令。 5. 在新版本的目录中,执行 `make install` 命令,将新版本安装到指定目录。 6. 验证新版本的 Nginx 是否可以正常启动。可以使用 `-t` 参数测试配置文件是否正确,使用 `-v` 参数验证版本信息。 7. 在启动新版本之前,先在一个非常短的时间间隙内停止旧版本的 Nginx。这样可以将旧版本监听的端口释放出来。 8. 启动新版本的 Nginx,确保它能够监听旧版本使用的端口,并且正常处理请求。 9. 监控新版本的 Nginx,确保没有出现错误和异常情况。 10. 如果一切正常,可以将旧版本的 Nginx 进程完全停止,并删除旧版本的文件。 需要注意的是,在整个升级过程中,确保在任何时候都有一个可用的 Nginx 务器,以避免务中断。此外,建议在升级前做好充分的备份工作,以防止意外情况发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hobby云说

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值