版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/Linux_newbie_rookie/article/details/79245503
升级openssl版本,防止openssl的攻击,俗称心脏滴血。
参考链接 http://www.111cn.net/sys/CentOS/61326.htm
在下载openssl源码包的时候最好选用版本高的。
1. yum install gcc gcc-c++ autoconf automake zlib zlib-devel pcre-devel
2. wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz
tar -zxvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config shared zlib-dynamic ----注意添加zlib-dynamic参数,使其编译成动态库---config完成后执行 make 命令
make
make install
mv /usr/bin/openssl /usr/bin/openssl.old -----重命名原来的openssl命令
mv /usr/include/openssl /usr/include/openssl.old -------重命名原来的openssl目录
将安装好的openssl 的openssl命令软连到/usr/bin/openssl
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
将安装好的openssl 的openssl目录软连到/usr/include/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
修改系统自带的openssl库文件,如/usr/local/lib64/libssl.so(根据机器环境而定) 软链到升级后的libssl.so
ln -s /usr/local/ssl/lib/libssl.so /usr/local/lib64/libssl.so
执行命令查看openssl依赖库版本是否为1.0.1g:
strings /usr/local/lib64/libssl.so |grep OpenSSL
在/etc/ld.so.conf文件中写入openssl库文件的搜索路径
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
使修改后的/etc/ld.so.conf生效
ldconfig -v
查看现在openssl的版本是否是升级后的版本
openssl version
更新Webserver的 OpenSSL依赖库
如果webserver在安装编译时加载了openssl,还需对webserver进行重启或者重新编译操作。因webserver安装时分为动态编译和静态编译openssl两种方式,所以具体操作方式也不同。
判断webserver是否为动态编译ssl的两种方法;
1)通道ldd 命令查看依赖库:
ldd /usr/sbin/nginx
出现 libssl.so则为动态编译ssl 。
2)通过nginx -V 查看nginx的编译参数,参数中不存在--with-openssl则为动态编译ssl的,反之为静态。
参考链接 http://www.111cn.net/sys/CentOS/61326.htm
在下载openssl源码包的时候最好选用版本高的。
1. yum install gcc gcc-c++ autoconf automake zlib zlib-devel pcre-devel
2. wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz
tar -zxvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config shared zlib-dynamic ----注意添加zlib-dynamic参数,使其编译成动态库---config完成后执行 make 命令
make
make install
mv /usr/bin/openssl /usr/bin/openssl.old -----重命名原来的openssl命令
mv /usr/include/openssl /usr/include/openssl.old -------重命名原来的openssl目录
将安装好的openssl 的openssl命令软连到/usr/bin/openssl
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
将安装好的openssl 的openssl目录软连到/usr/include/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
修改系统自带的openssl库文件,如/usr/local/lib64/libssl.so(根据机器环境而定) 软链到升级后的libssl.so
ln -s /usr/local/ssl/lib/libssl.so /usr/local/lib64/libssl.so
执行命令查看openssl依赖库版本是否为1.0.1g:
strings /usr/local/lib64/libssl.so |grep OpenSSL
在/etc/ld.so.conf文件中写入openssl库文件的搜索路径
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
使修改后的/etc/ld.so.conf生效
ldconfig -v
查看现在openssl的版本是否是升级后的版本
openssl version
更新Webserver的 OpenSSL依赖库
如果webserver在安装编译时加载了openssl,还需对webserver进行重启或者重新编译操作。因webserver安装时分为动态编译和静态编译openssl两种方式,所以具体操作方式也不同。
判断webserver是否为动态编译ssl的两种方法;
1)通道ldd 命令查看依赖库:
ldd /usr/sbin/nginx
出现 libssl.so则为动态编译ssl 。
2)通过nginx -V 查看nginx的编译参数,参数中不存在--with-openssl则为动态编译ssl的,反之为静态。