Bagaimana untuk menyesuaikan pelayan Nginx untuk kelemahan keselamatan OpenSSL

1. Gambaran Keseluruhan
Pada masa ini, kelemahan openssl telah didedahkan, yang akan membocorkan maklumat peribadi Terdapat banyak mesin yang terlibat dan persekitarannya sangat berbeza, menghasilkan penyelesaian pembaikan yang berbeza. Banyak pelayan menggunakan nginx untuk menyusun openssl secara statik dan mengkompilasi secara langsung openssl ke dalam nginx Ini bermakna bahawa hanya menaik taraf openssl tidak akan memuatkan perpustakaan pautan dinamik openssl luaran mesti dapat memulihkannya.

2 Kenal pasti sama ada nginx disusun secara statik

Tiga kaedah berikut boleh mengesahkan sama ada nginx disusun secara statik openssl.
2.1 Lihat parameter kompilasi nginx

Masukkan arahan berikut untuk melihat parameter kompilasi nginx:

# ./sbin/nginx -v

Jika parameter kompilasi mengandungi --with-openssl =..., ia menunjukkan bahawa nginx menyusun openssl secara statik, seperti yang ditunjukkan di bawah:

nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (red hat 4.4.7-3) (gcc)
tls sni support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1

2.2 Semak perpustakaan bergantung nginx

Untuk pengesahan lanjut, anda boleh menyemak program Pustaka bergantung, masukkan arahan berikut:

# ldd `which nginx` | grep ssl

Paparan

libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)

Nota: Jika output tidak termasuk fail libssl.so (), ini bermakna ia disusun secara statik openssl

Masukkan arahan untuk menentukan openssl untuk menentukan versi openssl milik perpustakaan, tetapi ia tidak akan terlalu terperinci Contohnya, ia sepatutnya 1.0.1e.5.7, tetapi hanya 1.0.1e yang dikeluarkan. :

# strings /usr/lib/libssl.so.10 | grep "^openssl "
openssl 1.0.1e-fips 11 feb 2013

2.3 Semak fail yang dibuka oleh nginx

Anda juga boleh menyemak sama ada fail yang dibuka oleh nginx disusun secara statik Masukkan arahan berikut:

rreee

Jika fail perpustakaan openssl tidak dibuka , ini bermakna openssl disusun secara statik, seperti yang ditunjukkan dalam rajah berikut:

3. Kompil semula nginx

Dalam syarikat Internet, terdapat beberapa versi nginx bersatu Setiap jabatan memilih pemalam yang sepadan mengikut keperluan perniagaannya sendiri dan kemudian menyusunnya dengan sendirinya perhatikan pemalam semasa menyusun, dan jangan lupa untuk menyusun beberapa Pemalam, cuba pastikan ciri nginx tidak berubah.

Atas ialah kandungan terperinci Bagaimana untuk menyesuaikan pelayan Nginx untuk kelemahan keselamatan OpenSSL. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!