本文小编为大家详细介绍“针对OpenSSL安全漏洞怎么调整Nginx服务器”,内容详细,步骤清晰,细节处理妥当,希望这篇“针对OpenSSL安全漏洞怎么调整Nginx服务器”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。
专注于为中小企业提供成都网站建设、成都网站制作服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业东兴免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了上千多家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。
1. 概述
当前爆出了openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,nginx不会加载外部的 openssl动态链接库的,必须将nginx重新编译才可以根治。
2. 识别nginx是否是静态编译的
以下三种方法都可以确认nginx是否静态编译openssl。
2.1 查看nginx编译参数
输入以下指令,查看nginx的编译参数:
# ./sbin/nginx -v
如果编译参数中含有--with-openssl=...,则表明nginx是静态编译openssl,如下所示:
nginx version: nginx/1.4.1 built by gcc 4.4.7 20120313 (red hat 4.4.7-3) (gcc) tls sni support enabled configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1
2.2 查看nginx的依赖库
为进一步确认,可以查看一下程序的依赖库,输入以下指令:
# ldd `which nginx` | grep ssl
显示
libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)
注意:如果输出中不包含libssl.so的文件(),就说明是静态编译的openssl的
再输入命令以确定openssl以确定库所属的openssl版本,但是不会太详细,比如本应该是1.0.1e.5.7,但是却只输出1.0.1e:
# strings /usr/lib/libssl.so.10 | grep "^openssl " openssl 1.0.1e-fips 11 feb 2013
2.3 查看nginx打开的文件
也可以通过查看nginx打开的文件来查看是否静态编译,输入以下指令:
# ps aux | grep nginx # lsof -p 111111<这里换成nginx的进程pid> | grep ssl
如果没有打开openssl的库文件,就说明是静态编译openssl的,如下图所:
3. 重新编译nginx
在互联网公司里,很少有统一的nginx版本,都是各部门根据自己的业务需求选择相应的插件,然后自己编译的,所以在编译的时候一定要注意插件这块,不 要忘记编译某些插件,尽量保持nginx特性不变。
读到这里,这篇“针对OpenSSL安全漏洞怎么调整Nginx服务器”文章已经介绍完毕,想要掌握这篇文章的知识点还需要大家自己动手实践使用过才能领会,如果想了解更多相关内容的文章,欢迎关注创新互联行业资讯频道。
