记一次TLS协议升级及openssl升级、nginx重新编译

最新推荐文章于 2024-07-26 18:20:43 发布
最新推荐文章于 2024-07-26 18:20:43 发布
阅读量854 收藏 1
点赞数 1
文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42776439/article/details/108074768
版权

TLS协议漏洞

之前客户反馈系统存在https漏洞,经查询后是由于低版本的TLS协议导致的,需要采用TLS1.2版本
由于系统使用的是用nginx1.12.1做的反向代理,本身这个版本的nginx是支持TLS1.2协议的,但需要对应的openssl库支持
通过openssl version指令查询当前版本为0.9.8,而支持TLS1.2协议的需要openssl版本是1.0.1及以上,所以需要对openssl版本进行升级

由于卸载老版本可能会引起其他问题,我们这边不卸载原有版本,而是新增一个版本
1.通过wget指令获取对应版本的openssl
我这边使用1.0.2版本进行处理
wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz

2.解压缩
tar -zxvf openssl-1.0.2h.tar.gz

3.进行编译安装
./config shared zlib-dynamic (添加zlib-dynamic参数,使其编译成动态库)
make
make install

4.备份原版本数据
mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak

5.添加新版openssl的软链接
将安装好的openssl 的openssl命令软连到/usr/bin/openssl
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
将安装好的openssl 的openssl目录软连到/usr/include/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl

6.修改系统自带的openssl库文件
(注意这个要根据服务器libssl.so自身路径情况进行)
ln -s /usr/local/ssl/lib/libssl.so /usr/lib64/libssl.so

7.查看依赖库版本是否为新安装版本
strings /usr/local/lib64/libssl.so |grep OpenSSL
一致即可

8.写入openssl库文件的搜索路径(写入ld.so.conf)
echo “/usr/local/ssl/lib” >> /etc/ld.so.conf
使其生效
ldconfig -v

9.检查openssl版本
openssl version
是你新安装的版本即可

这样openssl升级就完成了

对于nginx使用,必须要重新编译一个版本

1.首先查看原有编译指令
进入nginx安装目录的sbin目录后执行
./nginx -V
通过这个指令能够查询到原有的编译指令

2.修改编译参数
在原有指令基础上曽加新安装openssl路径
–with-openssl=/usr/local/ssl

3.进入原有的nginx解压后的目录进行重新静态编译
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-openssl=/usr/local/ssl
make
(因为只是重新编译不安装,所以不要输入make install指令)
如果出现了如下错误
make[1]: *** [/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127
需要修改对应解压后目录中的
auto/lib/openssl/conf文件

找到以下代码
CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"

CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"

CORE_LIBS=“ C O R E L I B S / CORE_LIBS / CORELIBS/OPENSSL/.openssl/lib/libssl.a”

CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"

CORE_LIBS="$CORE_LIBS $NGX_LIBDL"

修改成以下代码:
CORE_INCS="$CORE_INCS $OPENSSL/include"

CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"

CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"

CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"

CORE_LIBS="$CORE_LIBS $NGX_LIBDL"

然后重新configure+make编译即可

4.复制新编译好的脚本到nginx安装目录
复制解压缩后目录objs中的nginx脚本到对应nginx安装目录中的sbin目录下

关于nginx相关的一些注意点:
由于openssl存在多个版本,所以在nginx重新编译的时必须要进行openssl的静态编译,也就是加–with-openssl=/usr/local/ssl 参数,如果依旧进行动态编辑可能会出现这样的情况:
在运行./nginx -V后会显示这样
built with OpenSSL 1.0.2h 3 May 2016 (running with OpenSSL 0.9.8k 25 Mar 2009)
这个时候通过改编译脚本运行时会报segmentation fault错误

参考文章:
https://blog.csdn.net/linux_newbie_rookie/article/details/79245503

白学家波仔
关注
CentOS7平滑升级Nginx版本并启用TLS1.3
Bertram的博客
02-09 1360
CentOS7平滑升级Nginx版本并启用TLS1.3
php openssl tls1.2,升级openssl 支持TLS1.2
weixin_31574149的博客
03-18 1406
支持TLS1.2背景:现在许多网站,都要求tls1.2协议以上,像github、 pip3安装包网站https://pip.pypa.io/等。openssl现有版本不支持。需要升级openssl。git 底层使用curl库,curl库又调用的libopenssl库。如果希望git支持tls1.2,需要更新curl和openssl这两个库。curl默认支持sslv2、 sslv3、 tlsv1、协...
tls协议是服务器升级吗,怎么服务器TLS版本升级
weixin_42150360的博客
08-06 621
怎么服务器TLS版本升级 内容精选换一换防护域名开启WEB基础防护之后,访问网站如果出现500,502,504等报错,并且显示Web应用防火墙和网站连接失败,如图1所示。可能的原因比较多,如防火墙拦截、源站配置错误、HTTPS/WebSockets采用不安全的协议版本、后端服务器性能问题等。以下是可能的原因及解决方案:防火墙、后端服务器安全防护软件、业务限速策略拦截。现象:防护防护域名开启WEB基...
TLS升级到1.3
最新发布
riverqiantang的专栏
07-26 825
如果 nginx编译过程中遇到 undefined reference to `pthread_atfork' 错误,需要在运行 ./configure 命令之后,修改 obj/Makefile 文件,将第一个 -lpthread 删除,并将第二个 -lpthread 移动到该行最后。###可参考https://www.cnblogs.com/visionsl/p/8184647.html。验证 openssl 版本 及是否支持TLS1.3 版本。检查是否支持 TLS1.3。# 增加 TLSv1.3。
TLSv1升级TLSv1.2
qq_36923648的博客
10-21 4467
查看openssl版本 openssl version -a 1.0.1以上的版本支持 TLS1.2 1.1.1以上的版本支持 TLS1.3 查看nginx版本 nginx -v 1.6.2以上可以支持TLS1.2,以下版本博主没有测试过 如果版本足够 把nginx配置文件中ssl_protocols里各协议的顺便调换一下,把TLSv1.2填写到第一个,如 ssl_protocols TLSv1.2 TLSv1 ; 如果版本不够建议重新编译nginx 详情请自行搜索(有点懒) 鸣谢:htt.
nginx的--openssl版本升级
wuxu_nanjing的博客
10-16 8902
对于只想改变nginx中的openssl模块,可以重新指定openssl版本的安装路径,并重新加载 指定安装路径,就不需要使用root权限, 使用普通安装用户即可 安装版本为: openssl-1.0.2l 安装步骤:  1:进行版本解压 tar -zxvf  openssl-1.0.2l.tar.gz 2:  指定安装路径 [ xxxxxxxxxxxxxx
Nginx OpenSSL版本升级
DM的个人练习
01-11 1782
OpenSSL版本升级
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSLOpenSSL 1.0.1g
10-25
确被安全组扫描出安全漏洞(OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供升级脚本及升级所用安装包供...
如何让Nginx快速支持TLS1.3协议详解
09-30
Nginx 是一款广泛应用的高性能Web服务器和反向代理服务器,其对TLS(Transport Layer Security)协议的支持是保证网络安全的重要一环。TLS 1.3是最新且最安全的TLS协议版本,提供了更强的安全性和更快的连接速度。...
nginx版本低,但是又不能关闭怎么办?一招教你平滑升级
01-09
我这里以1.16.0为例升级到1.16.1(编译安装的才可以) [root@localhost ~]# /usr/local/nginx/sbin/nginx -V nginx version: nginx/1.16.0 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with ...
ubuntu18.04下交叉编译nginx1.18.0源码(平台aarch64-linux-gnu)
02-09
2. **OpenSSL**:`openssl-1.1.1f.tar.gz`提供加密和安全套接层(SSL/TLS协议支持,是Nginx中处理HTTPS连接所必需的。 3. **Zlib**:`zlib-1.2.11.tar.gz`是一个用于数据压缩的库,常用于网络传输中减少数据量,...
nginx 升级openssl
weixin_34233618的博客
08-06 448
有一段时间,发现openssl 版本的漏洞,所以必须升级1.升级openssl1.1查看当前openssl 版本:# openssl versionOpenSSL 1.0.1e-fips 11 Feb 2013当前版本显然过久,必须下载最新版本到1.0.1g及以上。1.2.软件包下载:下载路径:# wget http://www.openssl.org/source/open...
https协议升级
ss_aa_aa的博客
02-06 2024
发现一篇好文章,小小修改录下  关于https的简介和说明我都是参考下面的文章:(谢谢文章作者) 1.http://my.oschina.net/vimfung/blog/494687 2.http://oncenote.com/2014/10/21/Security-1-HTTPS/  3.http://blog.csdn.net/dachao_me/artic
nginxopenssl版本升级操作手册
wszhm123的博客
08-03 2167
我们目前使用的是nginx1.20.2和openssl-1.0.2k。其中查看服务器上openssl的脚本名利是:openssl version -v/-a。这个时候可能会出现错误找不到libssl.so.1.1 和libcrypto.so.1.1。先在/usr/local/nginx/sbin/中执行cp nginx nginxb。如果显示已经存在/usr/bin/openssl,则只需要备份下。然后将备份文件nginx复制过来。覆盖原来的,然后重新nginx即可。在/usr/bin目录下。
更改openssl源代码后重新编译openssl以及如何引用openssl中的源文件
qq_40831801的博客
02-27 707
更新openssl源码并重新编译以及如何引用openssl中的源代码
安装/卸载TCP/IP协议重新安装TCP/IP协议
weixin_30795127的博客
03-22 725
开始—运行——regedit,打开注册表编辑器,删除以下两个键: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2 用事本打开%winroot%\inf\nettcpip....
TLS协议版本低
夜行者的博客
02-18 6241
检测方法: 使用nmap进行扫描,命令如下:nmap-sV--script ssl-enum-ciphers -p 443 x.x.x.x,若出现以下所示图片,则存在漏洞 解决方法(强制使用TLS1.2协议): 1.weblogic在weblogic的setDomainEnv.sh中增加限制参数-Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.2 2.Nginxnginx配置文件中增加配置:ssl_protoc...
openssl 升级到 3.0
Enchanter06的博客
06-27 2549
在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连线者的身份。这个包广泛被应用在互联网的网页服务器上。命令查看路径,如果有神通数据库则路径如下:/opt/ShenTong/bin/openssl。选择二,将新的库文件地址写入录 so 库的配置文件 (添加OpenSSL动态链接库)openssl 位于 /usr/local/bin下,配置文件 位于/usr/local/ssl下,库文件 位于/usr/local/lib64下。
SSL基础:2:OpenSSL LTS版本升级方法
知行合一 止于至善
12-08 2792
OpenSSL目前属于LTS 1.0.2系列和1.1.1系列并存的状态,前者将在2019年底完成使命退出支持,而1.1.1的LTS版本将会支持至2023年9月11号为止。在yum或者apt-get的源仓库没有提供相关的二进制安装的情况下,最简单的更新方式就是从源码编译并更新了,这篇文章以CentOS 7.6为例,介绍一下如何将OpenSSL升级至1.1.1版本。
修复OpenSSL TLS 漏洞 CVE-2014-0160:升级OpenSSL 1.0.1g
"修复OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160),升级OpenSSL 1.0.1g,并更新OpenSSH和nginx" 在IT安全领域,漏洞管理是至关重要的,尤其是在涉及到关键服务如HTTPS时。OpenSSL是一个广泛应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值