针对OpenSSL安全漏洞调整Nginx服务器的方法
1. 概述
当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的Nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,Nginx不会加载外部的 openssl动态链接库的,必须将nginx重新编译才可以根治。
2. 识别Nginx是否是静态编译的
以下三种方法都可以确认Nginx是否静态编译Openssl。
2.1 查看Nginx编译参数
输入以下指令,查看Nginx的编译参数:
# ./sbin/nginx -V
如果编译参数中含有--with-openssl=...,则表明Nginx是静态编译Openssl,如下所示:
nginx version: nginx/1.4.1 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC) TLS SNI support enabled configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1
2.2 查看Nginx的依赖库
为进一步确认,可以查看一下程序的依赖库,输入以下指令:
# ldd `which nginx` | grep ssl
显示
libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)
注意:如果输出中不包含libssl.so的文件(),就说明是静态编译的Openssl的
再输入命令以确定openssl以确定库所属的openssl版本,但是不会太详细,比如本应该是1.0.1e.5.7,但是却只输出1.0.1e:
# strings /usr/lib/libssl.so.10 | grep "^OpenSSL " OpenSSL 1.0.1e-fips 11 Feb 2013
2.3 查看Nginx打开的文件
也可以通过查看Nginx打开的文件来查看是否静态编译,输入以下指令:
# ps aux | grep nginx # lsof -p 111111<这里换成Nginx的进程PID> | grep ssl
如果没有打开Openssl的库文件,就说明是静态编译Openssl的,如下图所:
3. 重新编译Nginx
在互联网公司里,很少有统一的Nginx版本,都是各部门根据自己的业务需求选择相应的插件,然后自己编译的,所以在编译的时候一定要注意插件这块,不 要忘记编译某些插件,尽量保持Nginx特性不变,下面的方法可以给大家参考一下,但是一定要经过测试才可以上线啊。
相关文章
- 这篇文章主要介绍了Linux环境下nginx搭建简易图片服务器,需要的朋友可以参考下...2016-01-27
解决php中openssl pkey_new()创建中文数字证书乱码问题
使用openssl生成证书如果是纯数字的肯定是没有任何的问题了,但是碰到中文数字时会发现就出问题了,证书变成了乱码了,下文来看解决办法。 用openssl创建证书时, 编码...2016-11-25- 这篇文章主要介绍了Debian7编译安装nginx简明教程,本文直接给出操作命令和步骤,需要的朋友可以参考下...2016-01-27
- 这篇文章主要给大家介绍了在CentOS系统下编译安装nginx及配置缩略图插件的方法教程,文中给出了详细的安装步骤,对大家具有一定的参考价值,有需要的朋友们下面来一起看看吧。...2017-07-06
- 相信大家都知道Nginx ("engine x") 是一个高性能的 HTTP和反向代理服务器,也是一个 IMAPPOP3SMTP 代理服务器。这篇文章将详细给大家介绍在CentOS7系统下用YUM安装Nginx的方法,有需要的朋友们可以参考借鉴,下面来一起看看吧。...2017-01-22
- 这篇文章主要介绍了centos7系统下nginx安装并配置开机自启动操作方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下...2017-07-06
腾讯云CentOS 6.6快速安装 Nginx服务器图文教程
本文通过图文并茂的形式给大家介绍了腾讯云CentOS 6.6快速安装 Nginx服务器的方法,介绍的非常详细,具有参考借鉴价值,感兴趣的朋友一起看看吧...2016-09-28- 本篇文章主要介绍了Nginx与Tomcat实现动静态分离和负载均衡,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。...2016-11-22
- PHP中怎么使用OpenSSL生成证书及加密解密?对此有疑问的同学快来看看这篇文章吧,希望能帮助到大家。 依赖于OpenSSL扩展 代码如下复制代码 /*加密解密*/functi...2017-07-06
- Nginx 是一个轻量级的高性能 Http WebServer,以事件驱动方式编写,因此相比 Apache 而言,Nginx 更加稳定、性能更好,而且配置简单,资源占用较低。以下是我在 Windows 7 安装中 Nginx 和 PHP5.3 的步骤。...2016-01-27
Windows系统下Nginx服务器的基本安装和配置方法介绍
这篇文章主要介绍了Windows系统下Nginx服务器的基本安装和配置方法,文中给出了一个配置文件的实例并作出了些说明,需要的朋友可以参考下...2016-01-27- 本篇文章给大家分享使用Linux系统自带的命令logrotate对Nginx日志进行切割的方法,对nginx日志切割脚本感兴趣的朋友一起学习吧...2016-11-22
使用google-perftools优化nginx在高并发时的性能的教程(完整版)
如果使用googler开发的google-perftools优化Nginx和MySQL的内存管理,性能将会有一定程度的提升。特别是对高并发下的服务器,效果更明显...2016-01-27- 文章给大家介绍基于openssl使用DSA算法生成签名实例,生成签名方法很简单,我们需要懂得中间的原理就比较复杂了,大家一起来看看吧。 命令: openssl> dgst -dss1 -sign...2016-11-25
PHP开启mcrypt扩展和SSL(OpenSSL)的方法详解
我们知道PHP开启mcrypt扩展和SSL(OpenSSL)在windows或linux中要使用都需要开启才可以具体我们以 windows为例子。 打开php.ini, 将“;extension=php_openssl....2016-11-25- 这里简单记录一下在mac系统下安装nginx的方法,推荐给大家,有需要的小伙伴可以参考下。...2016-01-27
ubuntu上配置Nginx+PHP5 FastCGI服务器配置
ubuntu上配置Nginx+PHP5 FastCGI服务器配置方法, 需要的朋友可以参考下。...2016-01-27- 本篇文章主要介绍了阿里云LINUX服务器配置HTTPS(NGINX) ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧 ...2017-07-06
国外著名论坛程序IPB(Invision Power Board)在nginx下的配置示例
这篇文章主要介绍了国外著名论坛程序IPB(Invision Power Board)在nginx下的配置示例,使用fastcgi配置模式,需要的朋友可以参考下...2016-01-27- 前面我有讲过利用其它的算法生成签名,下面我们同样在利用openssl生成签名,希望此文章对各位同学会有所帮助哦。 实例 代码如下 复制代码 <?php...2016-11-25