Nginx平滑(不停服)升级、openssl模块添加

最新推荐文章于 2024-04-16 17:39:13 发布
最新推荐文章于 2024-04-16 17:39:13 发布
阅读量914 收藏 2
点赞数 1
分类专栏: nginx linux日常小操作 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24601199/article/details/108120521
版权

【前言】

前段时间扫描出来发现线上业务存在Heartbleed漏洞,听着名字挺瘆人的。百度老哥告诉我,这个是OpenSSL在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),会导致攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64jKB的速度进行泄露,在后面的升级版本中得以修复,看来我们使用的版本还是处于低版本,于是乎就需要升级OpenSSL。因为种种原因,我们必须要手动在nginx中添加此升级后的模块,又因为种种原因,nginx版本太低不适用新版本的,于是乎,就有了Nginx的平滑升级。

【准备各种包】

首先你需要去官方下载以下包:

OpenSSL 1.1.1d:https://www.openssl.org/source/openssl-1.1.1g.tar.gz

Nginx 1.16.1:http://nginx.org/download/nginx-1.16.1.tar.gz

 

操作步骤

备份旧nginx

cp -r /usr/local/nginx /data/nginx-bak

1.解压nginx新版本包

tar xvf nginx-1.16.0.tar.gz

2.检测平台的目标特征 (此处的内容和旧版本保持一致)

./configure --prefix=/usr/local/nginx --sbin-path=/usr/local/nginx/sbin/nginx --conf-path=/usr/local/nginx/conf/nginx.conf --error-log-path=/var/log/nginx/err.log --pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx/nginx.lock --user=apache --group=apache --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --http-log-path=/var/log/nginx/access.log --add-module=/root/update-nginx/nginx-upstream-fair-master/ --add-module=/opt/nginx_upstream_check_module-master/ --with-http_stub_status_module --with-openssl=/root/update-nginx/openssl-1.1.1d/

3.编译(注意:不要执行make install)

make

4.备份旧版本二进制文件,用新版本替代

(cp的时候要带上-f参数,不然会一直报“cp: 无法创建普通文件"/data/nginx/sbin/nginx": 文本文件忙”)

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx1.8.bak

cp -f /root/nginx-1.16.1/objs/nginx /usr/local/nginx/sbin/

5.验证配置文件

/usr/local/nginx/sbin/nginx –t

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

 

6.发送USR2信号,用新二进制启动新进程

向主进程(master)发送USR2信号,Nginx会启动一个新版本的master进程和对应工作进程,和旧版一起处理请求

ps aux | grep nginx

找到master process进程号,图中为18192,执行下面命令

kill -USR2 18192

7.查看是否生效

ps aux | grep nginx

此时会有两个nginx主进程,分别是新旧版本的主进程

8.发送WINCH信号,新进程接管旧子进程

向旧的Nginx主进程(master)发送WINCH信号,它会逐步关闭自己的工作进程(主进程不退出),这时所有请求都会由新版Nginx处理

kill -WINCH 18192

ps aux | grep nginx

可以看到之前的子进程已经消失,只剩下旧版本的主进程。

回滚步骤:此时如果需要回退继续使用旧版本,给旧nginx主进程发送HUP信号,它会重新启动工作进程, 仍使用旧版配置文件。然后可以将新版Nginx进程杀死(使用QUIT、TERM、或者KILL)

kill -HUP 18192

9.发送QUIT信号,退出旧主进程

升级完毕,可向旧的Nginx主进程(master)发送(QUIT、TERM、或者KILL)信号,使旧的主进程退出

kill -QUIT 18192

此时再次查看nginx进程,就只剩新版本的nginx进程了

10.验证版本号,并访问测试服务是否正常

/usr/local/nginx/sbin/nginx –v

至此,整个nginx就已经平滑的升级成功

hobby云说
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nginx升级openssl及自定义nginx版本
xinhuixu博客
10-22 1112
升级OpenSSL版本 心脏出血(英语:Heartbleed),也简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了软件中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。该程序错误属于缓冲区过读,即可以读取的数据比应该
Nginx添加模块不停添加模块
ck784101777的博客
11-10 1519
一、Nginx添加模块 1.查看nginx模块 nginx -V 查看nginx当前模块(我没有装任何模块) [root@jump_server ~]# nginx -V nginx version: nginx/1.12.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) configure arguments: 2.在源...
openssl生成证书配置nginx,OpenSSL生成自签名证书,同时解决chrome浏览器中的不安全访问
最新发布
weixin_49098230的博客
04-16 1305
自己签发CA证书再签发务器证书的场景非常简单。把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的务器证书。但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如像CSDN这种,网站使用的证书就是由二级CA颁发的证书。
nginx 不停更新务器脚本
HybridTheory_的博客
03-10 738
#修改两个tomcat路径 执行脚本 sh grace_update.sh XX 参数war包名称 #!/bin/bash function grace_update(){ if [ ! -n "$1" ] ;then echo "请输入war包名称"; return 0; fi #NGINX_SBIN="/usr/sbin" #NGINX_CONF="/etc/nginx" ...
sentOS上重新编译Nginx -- openssl模块
Lyj的博客
03-25 246
参考链接:https://blog.csdn.net/li_adou/article/details/78468451 nginx安装成功后,发现有一些其他模块没有编译进去,或者想额外添加一些模块,这时候就要重新编译nginx。 首先,查看之前编译的一些参数: 注:使用大写的 V ,小写的 v 只显示版本号信息。 我现在需要新增 --with-openssl 这个模块,我只要把这些参数...
nginx不停平滑升级和反向代理
欢迎来到夜舞精狼的博客
10-06 904
nginx平滑升级和反向代理
Nginx务器基本的模块配置和使用全攻略
09-30
通过`nginx -s reload`命令可以平滑重启Nginx,应用配置文件的修改。还可以使用`nginx -t`测试配置文件的语法,`nginx -V`查看Nginx版本和编译选项。 以上就是Nginx务器的基本模块配置和使用全攻略,通过理解...
Nginx 核心模块与配置实践 (1)1
08-08
`显示帮助,`./nginx`启动务器,`./nginx -c /path/to/nginx.conf`指定配置文件启动,`nginx -s reload`或`kill -HUP <nginx进程PID>`用于平滑重载配置。 在配置实践中,Nginx的灵活性体现在其模块化设计。它可以...
nginx安装手册教程
06-27
- 平滑重载:`./nginx -s reload`,这种方法不会断开已建立的连接,而是加载新的配置文件并重新初始化务。 在实际部署中,你可能还需要配置Nginx的反向代理、负载均衡、SSL支持等功能。此外,定期更新Nginx到...
nginx-1.18.0.tar.gz 安装包
01-27
8. 监控与管理:使用`nginx -s reload`命令来平滑重启务,更新配置;`nginx -s stop`或`kill`命令来停止务。 **配置文件详解:** Nginx的配置文件`nginx.conf`通常包含全局块、events块、http块、server块和...
nginx-1.20.2.tar.gz
02-28
可以使用`nginx -t`检查配置文件的语法,`nginx -T`查看当前配置,以及`nginx -s reload`平滑重启来应用配置更改。定期检查错误日志,优化配置以提升性能,是Nginx运维的关键。 Nginx 还支持反向代理、负载均衡、...
Nginx平滑升级到最新版本
weixin_33806509的博客
07-18 185
(一)简述: 早上收到nginx最新漏洞的通知,Nginx官方发布最新的安全公告,在Nginx范围过滤器中发现了一个安全问题(CVE-2017-7529),通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,从而导致敏感信息泄漏。当使用Nginx标准模块时,如果文件头从缓存返回响应,允许***者获取缓存文件头。在某些配置中,缓存文件头可能包含后端务器I...
nginx动态添加ssl模块
东坡居士的博客
04-28 565
一.查看nginx模块 /usr/local/nginx/sbin/nginx -V 二.安装openssl包 yum -y install pcre pcre-devel zlib zlib-devel openssl openssl-devel 三.重新编译nginx源码包,并且生成了新的obj目录 ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_modu...
Nginx基本命令&不停机版本升级
StoNENee的博客
05-07 1282
Nginx基本命令&不停机版本升级
Nginx添加模块&平滑重启
loyachen的专栏
03-16 9968
需求当编译完成后的Nginx需要添加新的模块时,我们需要添加模块重新编译。比如我这里的需求是:编译好Nginx后,我需要添加nginx-rtmp-module模块环境[系统环境:CentOS release 6.7 (Final) nginx/1.8.1]nginx的安装位置:/opt/nginx nginx软件包位置:/opt/software/nginx-1.8.1准备下载新模块下载需要
openssl升级nginx重新编译
Jhonney的专栏
06-27 9079
openssl升级 参考http://blog.csdn.net/xysoul/article/details/49913645 1tar -zxvf openssl-1.0.2l.tar.gz 2./config shared zlib-dynamic3#注意如果有问题,会显示出来,一般是perl版本问题4#,Perl v5.10.0 required--this
Nginx添加SSL模块
m0_71518373的博客
10-07 5033
nginx的SSL模块安装以及基本的配置
Nginx -- SSL模块
啊啊啊啊建的博客
09-01 1704
Nginx -- SSL模块
openssl生成https证书及nginx https配置
爱兰河少
05-31 2235
一、nginx根目录下创建 cert 目录,用于存放https证书。二、openssl生成https证书证书。三、nginx配置https。
nginx 平滑升级
09-14
Nginx 平滑升级是指在不中断务的情况下更新 Nginx 务器的版本或配置。下面是一种常用的平滑升级方法: 1. 备份 Nginx 配置文件和相关的配置目录。 2. 下载新版本的 Nginx,并解压到一个新的目录。 3. 在新版本的目录中,使用 `./configure` 命令重新配置 Nginx。确保使用与旧版本相同的编译参数和模块。 4. 编译新版本的 Nginx:执行 `make` 命令。 5. 在新版本的目录中,执行 `make install` 命令,将新版本安装到指定目录。 6. 验证新版本的 Nginx 是否可以正常启动。可以使用 `-t` 参数测试配置文件是否正确,使用 `-v` 参数验证版本信息。 7. 在启动新版本之前,先在一个非常短的时间间隙内停止旧版本的 Nginx。这样可以将旧版本监听的端口释放出来。 8. 启动新版本的 Nginx,确保它能够监听旧版本使用的端口,并且正常处理请求。 9. 监控新版本的 Nginx,确保没有出现错误和异常情况。 10. 如果一切正常,可以将旧版本的 Nginx 进程完全停止,并删除旧版本的文件。 需要注意的是,在整个升级过程中,确保在任何时候都有一个可用的 Nginx 务器,以避免务中断。此外,建议在升级前做好充分的备份工作,以防止意外情况发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hobby云说

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值