openssl 升级操作 -2

最新推荐文章于 2024-02-19 10:21:31 发布
最新推荐文章于 2024-02-19 10:21:31 发布
阅读量423 收藏
点赞数
文章标签: 运维 开发工具
原文链接:http://www.cnblogs.com/lzcys8868/p/9235538.html
版权

        首先我觉得没事就用绿盟扫漏洞的公司,就是闲的蛋疼,傻逼!不少服务器使用nginx,如果openssl 是静态编译的,直接将openssl 编译到nginx里面去了,这就意味着,单纯升级openssl 是没有任何效果的,nginx不会加载外部的openssl动态链接库的,必须将nginx重新编译才可以根治。所以我说那些没事就扫漏洞的公司是傻逼。。。

 

一.判断nginx 是否是静态编译的

[root@bogon ~]# /usr/local/nginx/sbin/nginx –V

如果编译参数中含有 –with-openssl= path ,或者有 –with-http_ssl_module ,则表明nginx 是静态编译的,那么恭喜你在升级完openssl 之后还有重新编译nginx,指定openssl 的目录。

 

二. 升级openssl(后续需要重新编译nginx,建议采用此方法升级openssl)

[root@bogon soft]# cd /usr/src/openssl-1.1.0h/

[root@bogon openssl-1.1.0h]# ./config --prefix=/usr/local/openssl-1.1.0h/ssl

[root@bogon openssl-1.1.0h]# echo $?

0

[root@bogon openssl-1.1.0h]# make && make install

[root@bogon openssl-1.1.0h]# echo $?

0

将新编译的openssl 替换老版本的

[root@bogon openssl-1.1.0h]# mv /usr/bin/openssl /usr/bin/openssl.bak

[root@bogon openssl-1.1.0h]# mv /usr/include/openssl /usr/include/openssl.bak

[root@bogon openssl-1.1.0h]# ln -s /usr/local/openssl-1.1.0h/ssl/bin/openssl /usr/bin/openssl

[root@bogon openssl-1.1.0h]# ln -s /usr/local/openssl-1.1.0h/ssl/include/openssl  /usr/include/openssl

 

[root@bogon lib]# pwd

/usr/local/openssl-1.1.0h/ssl/lib

[root@bogon lib]# cp libssl.so.1.1 /usr/lib64/libssl.so.1.1

[root@bogon lib]# cp libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

 

[root@bogon lib]# ldconfig -v | grep ssl

ldconfig: 无法对 /usr/lib64/nx/X11 进行 stat 操作: 没有那个文件或目录

/usr/local/openssl-1.1.0h/ssl:

libssl.so.1.1 -> libssl.so.1.1

    libssl3.so -> libssl3.so

    libssl.so.10 -> libssl.so.1.0.1e

[root@bogon lib]# echo $?

0

 

[root@bogon lib]# openssl version -a

OpenSSL 1.1.0h  27 Mar 2018

built on: reproducible build, date unspecified

platform: linux-x86_64

options:  bn(64,64) rc4(16x,int) des(int) idea(int) blowfish(ptr)

compiler: gcc -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO

_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DOPENSSLDIR="\"/usr/local/openssl-1.1.0h/ssl/ssl\"" -DENGINESDIR="\"/usr/local/openssl-1.1.0h/ssl/lib/engines-1.1\""  -Wa,--noexecstackOPENSSLDIR: "/usr/local/openssl-1.1.0h/ssl/ssl"

ENGINESDIR: "/usr/local/openssl-1.1.0h/ssl/lib/engines-1.1"

 

三.重新编译nginx

查看nginx 中openssl 的版本

[root@bogon wwwroot]# /usr/local/nginx/sbin/nginx -V

nginx version: nginx/1.14.0

built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC)

built with OpenSSL 1.0.1e-fips 11 Feb 2013

TLS SNI support enabled

configure arguments: --prefix=/usr/local/nginx --conf-path=/usr/local/nginx/conf

/nginx.conf --modules-path=/usr/local/nginx/modules --error-log-path=/data/logs/nginx/error.log --http-log-path=/data/logs/nginx/access.log --user=www --group=www --http-client-body-temp-path=/usr/local/nginx/tmp/client_body --http-proxy-temp-path=/usr/local/nginx/tmp/proxy --http-fastcgi-temp-path=/usr/local/nginx/tmp/fastcgi --http-uwsgi-temp-path=/usr/local/nginx/tmp/uwsgi --http-scgi-temp-path=/usr/local/nginx/tmp/scgi --with-http_ssl_module --with-http_v2_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-mail=dynamic --with-stream=dynamic

 

重新编译nginx,并制定openssl 新版本的目录。重新编译nginx时,之前nginx 的配置参数要保证一样

[root@bogon nginx-1.14.0]# pwd

/usr/src/nginx-1.14.0

[root@bogon nginx-1.14.0]# ./configure --prefix=/usr/local/nginx --conf-path=/usr/local/nginx/conf/nginx.conf --modules-path=/usr/local/nginx/modules --error-log-path=/data/logs/nginx/error.log --http-log-path=/data/logs/nginx/access.log --user=www --group=www --http-client-body-temp-path=/usr/local/nginx/tmp/client_body --http-proxy-temp-path=/usr/local/nginx/tmp/proxy --http-fastcgi-temp-path=/usr/local/nginx/tmp/fastcgi --http-uwsgi-temp-path=/usr/local/nginx/tmp/uwsgi --http-scgi-temp-path=/usr/local/nginx/tmp/scgi --with-http_ssl_module --with-openssl=/usr/local/openssl-1.1.0h/ssl --with-http_v2_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-mail=dynamic --with-stream=dynamic

[root@bogon nginx-1.14.0]# echo $?

0

[root@bogon nginx-1.14.0]# make

make -f objs/Makefile

make[1]: Entering directory `/usr/src/nginx-1.14.0'

cd /usr/local/openssl-1.1.0h/ssl \

 && if [ -f Makefile ]; then make clean; fi \

&& ./config --prefix=/usr/local/openssl-1.1.0h/ssl/.openssl no-shared no

-threads  \   && make \

  && make install_sw LIBDIR=lib

/bin/sh: line 2: ./config: 没有那个文件或目录

make[1]: *** [/usr/local/openssl-1.1.0h/ssl/.openssl/include/openssl/ssl.h] 错误

 127make[1]: Leaving directory `/usr/src/nginx-1.14.0'

make: *** [build] 错误 2

[root@bogon nginx-1.14.0]# echo $?

2

 make 之后报错,解决方法如下:

修改nginx 源文件下的 /usr/src/nginx-1.14.0/auto/lib/openssl/conf

 

找到这么一段代码:
CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"
修改成以下代码:
CORE_INCS="$CORE_INCS $OPENSSL/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"

 

然后重新编译安装nginx

[root@bogon nginx-1.14.0]# ./configure --prefix=/usr/local/nginx --conf-path=/usr/local/nginx/conf/nginx.conf --modules-path=/usr/local/nginx/modules --error-log-path=/data/logs/nginx/error.log --http-log-path=/data/logs/nginx/access.log --user=www --group=www --http-client-body-temp-path=/usr/local/nginx/tmp/client_body --http-proxy-temp-path=/usr/local/nginx/tmp/proxy --http-fastcgi-temp-path=/usr/local/nginx/tmp/fastcgi --http-uwsgi-temp-path=/usr/local/nginx/tmp/uwsgi --http-scgi-temp-path=/usr/local/nginx/tmp/scgi --with-http_ssl_module --with-openssl=/usr/local/openssl-1.1.0h/ssl --with-http_v2_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-mail=dynamic --with-stream=dynamic

 

[root@bogon nginx-1.14.0]# echo $?

0

 

[root@bogon nginx-1.14.0]# make

[root@bogon nginx-1.14.0]# echo $?

0

 

注:此处千万不要 执行make install,否则会覆盖nginx 之前的配置文件

 

拷贝nginx的二进制目录到nginx的安装目录下

@ 可以先备份原来的二进制文件(/usr/local/sbin/nginx),然后在拷贝

[root@bogon vhost]# pkill nginx

[root@bogon vhost]# cp /usr/src/nginx-1.14.0/objs/nginx /usr/local/nginx/sbin/nginx

cp:是否覆盖"/usr/local/nginx/sbin/nginx"? y

 

 

# 重启nginx 查看nginx中的openssl 版本

 [root@bogon nginx-1.14.0]# /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

 

[root@bogon vhost]# /usr/local/nginx/sbin/nginx -V

nginx version: nginx/1.14.0

built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC)

built with OpenSSL 1.1.0h  27 Mar 2018

TLS SNI support enabled

 

至此,openssl 升级结束。在此过程中,遇到很多坑,以此文档帮助需要没事就升级openssl的小伙伴。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

转载于:https://www.cnblogs.com/lzcys8868/p/9235538.html

如何避免编译nginx-openssl 的时候报错
wyl_0728的博客
07-31 1万+
1、首先进入nginx解压目录, 执行命令 ./configure --prefix=/usr/local/nginx/ --add-module=/usr/local/share/fastdfs-nginx-module/src --with-pcre=/usr/local/share/pcre-8.39 --with-zlib=/usr/local/zlib-1.2.8 --with-
Openssl 升级操作
weixin_30732825的博客
12-17 299
转自:http://www.cnblogs.com/lzcys8868/p/9235538.html 首先我觉得没事就用绿盟扫漏洞的公司,就是闲的蛋疼,傻逼!不少服务器使用nginx,如果openssl 是静态编译的,直接将openssl 编译nginx里面去了,这就意味着,单纯升级openssl 是没有任何效果的,nginx不会加载外部的openssl动态链接库的,必须将nginx重新编译...
Linux升级Nginx(由于用到openssl插件,随即把openssl到1.0.2o)
一点浩然气
07-17 1072
由于今天服务器漏洞扫描出Nginx有些安全漏洞需要升级Nginx版本随机对ningx进行升级Nginx官方网站:Nginx 1、查看Nginx编译信息 [zteesop@bossvm ~]$ /usr/local/nginx/sbin/nginx -V nginx version: nginx/1.6.0 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-3...
OpenSSL升级详细步骤
最新发布
qq_40286218的博客
02-19 1388
5.查看OpenSSL版本。1.官网下载安装包,
Linux升级OpenSSH 常见问题
weixin_43976602的博客
06-23 2374
问题①: 编译安装时问题:Can’t locate IPC/Cmd.pm in @INC (@INC contains,是因缺少依赖包所引起的解决办法:yum -y install perl-IPC-Cmd 然后再重新编译安装问题② 输入:openssl version 验证办时,报错 openssl: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or dire
Win64OpenSSL-Light-3-1-4安装包
11-03
标题中的“Win64OpenSSL-Light-3-1-4安装包”指的是OpenSSL的轻量级版本,适用于64位Windows操作系统的一个版本OpenSSL是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现,它包含了各种加密算法、常用的...
openssl-1.0.2k-24.el7-9.x86-64.rpm包
04-09
2. `openssl-libs-1.0.2k-24.el7_9.x86_64.rpm`:这是OpenSSL的运行时库文件,包含了动态链接库,是系统运行依赖OpenSSL功能的程序所必需的。 3. `openssl-1.0.2k-24.el7_9.x86_64.rpm`:这是OpenSSL的主要二进制包...
openssl-1.1.1w-1.el6.x86-64-centos6.tgz
01-10
**openssl-1.1.1w-1.el6.x86-64-centos6.tgz** 是一个针对CentOS 6和Red Hat Enterprise Linux 6(RHEL 6)x86架构操作系统的软件包,它包含了OpenSSL库的更新版本——1.1.1w。OpenSSL是一款强大的安全套接层(SSL)...
升级zlib-openssl-openssh-全站验证兼容centos6 centos78
08-23
支持升级修复openssl漏洞,支持升级修复openssh漏洞 兼容版本centos6,centos7,centos8 以及腾讯云轻量化os系统 支持版本目前到最新的openssh9.0p1 openssl 1.1.1q ...如果openssl升级nginx建议一起升级
openssl-devel-1.0.1e-15.el6.x86_64.rpm
10-29
OpenSSL是一个开源的库,提供了各种加密算法,包括RSA、AES、DES、Blowfish等,并且实现了SSLv2/v3和TLSv1/x协议。在RPM(Red Hat Package Manager)格式的系统中,如RHEL,.rpm文件用于软件的安装、升级和管理。...
linux报错bash: ./configure:/bin/sh^M:
qq_36939187的博客
01-15 1469
用cat -A urfile时你可以看到这个\r字符被显示为^M,这时候只需要删除这个字符就可以了。可以使用命令sed -i 's/\r$//' urfile。bash: ./configure:/bin/sh^M:解释器错误: 没有那个文件或目录。
Shell脚本-bin/bash: 解释器错误: 没有那个文件或目录-完整路径执行-“/”引发的脑裂
qinzaoxiaozhu的专栏
12-29 2438
但按以上方式操作,并经过查看,发现仍然未能解决问题。注意下图标红两处的差异,差异一个“/”。-完整路径执行时提示错误问题得到解决。至此,Shell脚本-
源码编译、安装openssl -- 解决 openssl/opensslv.h: 没有那个文件或目录 的问题
u013992330的博客
06-23 1万+
wget http://www.openssl.org/source/openssl-1.0.2j.tar.gz tar -zxvf openssl-1.0.2j.tar.gz cd openssl-1.0.2j ./config --prefix=/usr/local/openssl-1.0.2j shared zlib make sudo make install
升级OpenSSl出现错误
weixin_33736649的博客
05-03 1053
centos 6.2 # ./config --prefix=/usr/local/openssl # make“后出现以下错误” make[2]: *** [md5-x86_64.o] Error 1 make[2]: Leaving directory `/root/lamp/openssl-0.9.8e/crypto/md5' make[...
openssl源码安装后,编译nginx-1.9.7或者openresty找不到OpenSSL的解决办法
热门推荐
zhiyuan_2007的专栏
12-14 1万+
问题:nginx编译找不到openssl 现象:源码安装openssl的目录是/usr/local/ssl/ 就算把/usr/local/ssl/lib 添加到 /etc/ld.so.conf内,并且ldconfig -v,发现nginx编译时依然报找不到openssl的错误,如下 #./configure --with-http_ssl_modul -----------------
Debian lenny下json-c安装
xiliuhu的专栏
07-26 3902
1.下载json-c-0.9.tar.gz,解压并进入json-c-0.9,执行标准安装#./configure#make#make install默认会安装在目录/usr/local/include,/usr/local/lib下面,配置信息位于/usr/local/lib/pkgconfig/json.pc中2.如果运行时提示:error while loading shared libraries: libjson.so.0: cannot open shared object file: No su
opensslmake编译错误
weixin_42368473的博客
09-16 4005
升级Openssl1.1.1g mak编译出错 make[1]: Entering directory /usr/local/src/openssl-1.1.1g' make[1]: Leaving directory/usr/local/src/openssl-1.1.1g’ make[1]: Entering directory /usr/local/src/openssl-1.1.1g' rm -f apps/openssl ${LDCMD:-gcc} -pthread -m64 -Wa,--noex
需对opensslopenssl-devel进行升级
12-28
2. 确保你具有管理员权限或root权限,以便执行升级操作。 3. 打开终端,并使用以下命令检查当前安装的opensslopenssl-devel的版本: ```shell openssl version openssl-devel version ``` 4. 如果你的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值