Heim > Betrieb und Instandhaltung > Nginx > So passen Sie den Nginx-Server an die OpenSSL-Sicherheitslücke an

So passen Sie den Nginx-Server an die OpenSSL-Sicherheitslücke an

WBOY
Freigeben: 2023-05-12 20:55:04
nach vorne
1323 Leute haben es durchsucht

1. Übersicht
Derzeit wurden OpenSSL-Schwachstellen aufgedeckt, die zum Verlust privater Informationen führen. Es sind viele Maschinen beteiligt und die Umgebungen sind sehr unterschiedlich, was zu unterschiedlichen Reparaturlösungen führt. Viele Server verwenden Nginx, um OpenSSL statisch zu kompilieren und OpenSSL direkt in NginX zu kompilieren. Dies bedeutet, dass ein einfaches Upgrade von OpenSSL keine Auswirkungen auf die externe OpenSSL-Link-Bibliothek hat.


2. Identifizieren Sie, ob Nginx statisch kompiliert ist

Die folgenden drei Methoden können bestätigen, ob Nginx statisch kompiliert ist.
2.1 Nginx-Kompilierungsparameter anzeigen

Geben Sie den folgenden Befehl ein, um Nginx-Kompilierungsparameter anzuzeigen:

# ./sbin/nginx -v
Nach dem Login kopieren

Wenn die Kompilierungsparameter --with-openssl=... enthalten, bedeutet dies, dass Nginx openSSL statisch kompiliert, wie gezeigt unten:

nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (red hat 4.4.7-3) (gcc)
tls sni support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1
Nach dem Login kopieren

2.2 Zeigen Sie die abhängigen Bibliotheken von Nginx an

Zur weiteren Bestätigung können Sie die abhängigen Bibliotheken des Programms überprüfen und den folgenden Befehl eingeben:

# ldd `which nginx` | grep ssl
Nach dem Login kopieren

Display

libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)
Nach dem Login kopieren

Hinweis: Wenn die Ausgabe nicht funktioniert Die Datei libssl.so () enthält, was bedeutet, dass es sich um statisch kompiliertes OpenSSL handelt. Geben Sie dann den Befehl ein, um OpenSSL zu ermitteln, um die OpenSSL-Version zu ermitteln, zu der die Bibliothek gehört. Dies sollte jedoch nicht zu detailliert sein 1.0.1e.5.7 sein, aber nur 1.0.1e wird ausgegeben:

# strings /usr/lib/libssl.so.10 | grep "^openssl "
openssl 1.0.1e-fips 11 feb 2013
Nach dem Login kopieren

2.3 Überprüfen Sie die von nginx geöffneten Dateien. Sie können auch überprüfen, ob die von nginx geöffneten Dateien statisch kompiliert sind
# ps aux | grep nginx
# lsof -p 111111<这里换成nginx的进程pid> | grep ssl
Nach dem Login kopieren

Wenn die OpenSSL-Bibliotheksdatei nicht geöffnet ist, bedeutet dies, dass OpenSSL statisch kompiliert ist, wie im Bild unten gezeigt:


3. Nginx neu kompilieren

So passen Sie den Nginx-Server an die OpenSSL-Sicherheitslücke an

In Internetunternehmen gibt es nur wenige Jede Abteilung wählt das entsprechende Plug-In entsprechend ihren eigenen Geschäftsanforderungen aus und erstellt dann ihr eigenes Plug-In. Achten Sie daher beim Kompilieren darauf, einige Plug-Ins zu kompilieren um die Nginx-Funktionen unverändert zu lassen.

Das obige ist der detaillierte Inhalt vonSo passen Sie den Nginx-Server an die OpenSSL-Sicherheitslücke an. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:yisu.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage