我们系统安装的OpenSSL存在漏洞,需要升级。
查看OpenSSL的版本:
# /usr/bin/openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
很多系统存在心脏出血(heart breeding)的漏洞,所以要升级系统的OpenSSL。
升级有两种方法,一种是YUM源升级,比较简单安全性高,但升级不到最新版本,扫描漏洞或许还会存在无法解决问题。第二种是从OpenSSL官网下载最新版本安装并替换系统的/usr/bin/openssl命令和/usr/include/openssl目录。
这里呢,我们采用的是从OpenSSL的官网下载,自己编译的方法。
- 首先去OpenSSL的网站
- 在终端使用wget下载最新没有漏洞的版本
wget https://www.openssl.org/source/openssl-1.0.2l.tar.gz
- 解压
tar xvf openssl-1.0.2l.tar.gz
- 配置并且安装,这里假定我们在服务器上操作,已经获取了root权限。
cd openssl-1.0.2l.tar.gz && configure --prefix=/usr/local/openssl && make && make install
- 由于安装的位置默认是/usr/local/openssl,我们需要安装到默认的位置上。即,通过设置软链接以及其它的方式来解决问题。
ln -s /usr/local/bin/openssl /usr/bin/openssl
ln -s /usr/local/include/openssl /usr/include/openssl
echo "/usr/local/lib" >> /etc/ld.so.conf
- 最后链接应该没有问题了。输入
openssl version
应该输出
# openssl version
OpenSSL 1.0.2l 25 May 2017
升级完成