最近、脆弱性スキャンは、多くの問題を発見したので、Apacheをアップグレードする、とOpenSSLの新しいバージョンをインストールし、OpenSSLのやシステムと競合しません
パッケージのニーズと環境
環境:centos7.6
OpenSSLのバージョン
[ルート@ localhostの〜] -a#のopensslのバージョン
のOpenSSL 2017年1月26日には1.0.2k-FIPS
上に構築された:再現可能なビルド、日付指定されていない
プラットフォーム:のlinux-x86_64版
のオプション:(64,64)MD2 BN(int型)RC4(16X、int型)DES(IDX、CISC、16、int型)アイデア(INT)フグ(IDX)
コンパイラ:gccの-I。-I .. -I ../含む-fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -Wall -O2 -g -pipe -Wall -Wp、-D_FORTIFY_SOURCE = 2 -fexceptions - fstackプロテクター強い--param = SSP-バッファサイズ= 4 -grecord-GCC-スイッチ-m64 -mtune =ジェネリック-Wa、 - noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "は/ etc / PKI / TLS"
エンジン:rdrandダイナミック
必要なパッケージをインストールします。
yumのGCC *のexpat-develのインストール-y
二つのApache APR-utilののPCREをAPR他のパッケージの最新のニーズをインストール
CDは/ usr / local / SRC タールXF 4月 -1.7 .0.tar.gz CD 4月 -1.7.0 / 。/ --prefix =は/ usr / local /設定4月 作る && make installを CDを.. タールXF 4月 -util-1.6.1 .tar.gzの CD 4月 -util-1.6.1 /を 。/設定--prefix =は/ usr / /ローカルAPR-utilの--with-4月=は/ usr / local / 4月 作る && make installを CD .. タールXFのPCRE -8.43 .tar.gzの CDのPCRE -8.43 /を 。/のconfigure --prefix =は/ usr / local / PCRE 作る && make installを CDを.. タールXFのopensslの -1.1 .1c.tar.gz CD opensslの -1.1.1c / 。/ configに--prefix =は/ usr / local / sslの- 共有 作る && make installを エコー" は/ usr / local / sslの/ libに" >>は/ etc / ld.so.conf にldconfig #使库文件生效を
三つは、Apacheをインストールします
CD .. タールXFのhttpd -2.4.41 .tar.gzの CDのhttpd -2.4.41 / 。/設定--prefix =は/ usr / local / httpdの--with-4月=は/ usr / local / 4月--with-APR-utilの=は/ usr / local / APR-utilの--with-PCRE =は/ usr / local / PCRE \ --enable-ので--enable-書き換え--enable-sslの--with-sslの=は/ usr / local / sslの--with-MPM = preforkの 作る make installを&&
四つの起動に設定を変更するのは簡単
vimのは/ usr / local / httpdの/ confに/ httpd.confの
ServerNameのはlocalhost: 80
は/ usr / local /のhttpd / binに/はapachectl開始
ファイブ設定HTTPSアクセス
#私钥 は/ usr / local / sslの/ binに/ opensslのgenrsa -des3 -out server.keyの1024 #生成服务器证书请求 opensslのREQ -new -key server.keyの- server.csrアウト #の自签证 [ルート@ mylinux confに] #は/ usr / local / SSL / binに/のOpenSSL X509 -req -days 700 -in server.csr -signkey server.keyのアウトをserver.crt 署名OK 被写体 = C = CN、ST =北京、L =北京、O = lenovo.com、OU = IT、CN = liullm7 プライベートキーの取得 入力パスフレーズをするためにserver.keyの: vimのhttpd.confには、 confに含める /エクストラ/ httpd- のLoadModule ssl_moduleモジュール / mod_ssl.soを のssl.conf 2キー名内部のssl.confの#httpdのファイルをserve.crtのserver.keyの Socache_shmcb_moduleモジュールのLoadModule / mod_socache_shmcb.so 、プライベートキーフレーズを削除し、彼が入ったときに起動しません [ルート@ MyLinux confに] #は/ usr / local / sslの/ binに/ OpenSSLのRSA -IN server.keyの-out server.keyの 入力パスフレーズを用:server.keyの RSAキーの書き込み は/ usr / local /のhttpd / binに/はapachectlを再起動します
ビューopensslの6例
[ルート@ mylinux〜] #-aは/ usr / local / sslの/ binに/ opensslのバージョン のOpenSSL 1.1.1cは、2019年5月28日は、 上に構築された:木09月02日 22午後三時33分35秒2019 UTCの プラットフォーム:Linuxの - x86_64版 のオプション:BNを( 64 、64 )RC4(16X、int型)DES(INT)アイデア(INT)フグ(PTR) コンパイラ:gccの -fPIC -pthread -m64 -Wa、 - noexecstack -Wall -03 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM - DNDEBUG OPENSSLDIR:"/ usr / local / SSL / SSLの" ENGINESDIR:" /usr/local/ssl/lib/engines-1.1 " 種まきソース:OS - 特定の [ルート@ mylinux〜] #1 -a opensslのバージョン のOpenSSL 1.0.2k-FIPS 1月26日2017 再現可能なビルド、日付未指定:上に構築された :プラットフォームのlinux - x86_64版の BN(:オプション 64,64)MD2(INT)RC4(16X、int型)DES(IDX、CISC、16 、int型)アイデア(INT)フグ(IDX) コンパイラ:GCC-私。-I .. -I ../含む-fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -Wall -O2 -g -pipe -Wall -Wp、-D_FORTIFY_SOURCE = 2 -fexceptions - fstackプロテクター強い--param = SSP-バッファサイズ= 4 -grecord-GCC-スイッチ-m64 -mtune =ジェネリック-Wa、 - noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM - DECP_NISTZ256_ASM OPENSSLDIR:" は/ etc / PKI / TLS " エンジン:rdrandダイナミック