针对OpenSSL安全漏洞调整Nginx服务器的方法

这篇文章主要介绍了针对OpenSSL漏洞调整Nginx服务器的方法,2014年爆出的SSL安全漏洞震惊了全世界,需要的朋友可以参考下

1. 概述
    当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的Nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,Nginx不会加载外部的 openssl动态链接库的,必须将nginx重新编译才可以根治。

 
2. 识别Nginx是否是静态编译的

  以下三种方法都可以确认Nginx是否静态编译Openssl。
   2.1 查看Nginx编译参数

       输入以下指令,查看Nginx的编译参数:

# ./sbin/nginx -V

如果编译参数中含有--with-openssl=...,则表明Nginx是静态编译Openssl,如下所示:

nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1

2.2 查看Nginx的依赖库

      为进一步确认,可以查看一下程序的依赖库,输入以下指令:

# ldd `which nginx` | grep ssl

显示

libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)

注意:如果输出中不包含libssl.so的文件(),就说明是静态编译的Openssl的

再输入命令以确定openssl以确定库所属的openssl版本,但是不会太详细,比如本应该是1.0.1e.5.7,但是却只输出1.0.1e:

# strings /usr/lib/libssl.so.10 | grep "^OpenSSL "
OpenSSL 1.0.1e-fips 11 Feb 2013

2.3 查看Nginx打开的文件

      也可以通过查看Nginx打开的文件来查看是否静态编译,输入以下指令:

# ps aux | grep nginx
# lsof -p 111111<这里换成Nginx的进程PID> | grep ssl

如果没有打开Openssl的库文件,就说明是静态编译Openssl的,如下图所:

2015630113412152.jpeg (600×157)

3. 重新编译Nginx


在互联网公司里,很少有统一的Nginx版本,都是各部门根据自己的业务需求选择相应的插件,然后自己编译的,所以在编译的时候一定要注意插件这块,不 要忘记编译某些插件,尽量保持Nginx特性不变,下面的方法可以给大家参考一下,但是一定要经过测试才可以上线啊。

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

一:确定你的系统是UTF编码 [root@Tserver ~]# env|grep LANG LANG=en_US.UTF-8 二:NGINX配置文件里默认编码设置为utf-8 server { listen 80; server_name .inginx.com ; index index.html index.htm index.php; root /usr/local/nginx/html/inginx.com; ch
很多网站需要采用伪静态来访问动态网页。所以像phpcms这样的系统,都提供了一个.htaccess文件,供写伪静态规则。但这个规则是针对Apache的。在nginx服务器上并不起作用。 nginx 可以直接将伪静态规则写在配置文件中,但这个需要有服务器管理权限,普通站长不
在网站建设中需要网页重定向的情况很多:如网页目录结构变动,网页重命名、网页的扩展名改变、网站域名改变等。如果不做重定向,用户的收藏和搜索引 擎数据库中的旧地址只能让访客得到一个404错误信息页面,访问流量白白丧失。不仅如此,之前该页面的一切积
利用nginx泛域名解析配置二级域名和多域名 网站的目录结构为 html ├── bbs └── www html为nginx的安装目录下默认的存放源代码的路径。 bbs为论坛程序源代码路径 www为主页程序源代码路径 把相应程序放入上面的路径通过 http://www.youdomain.com 访问
1. 下载最新版本的Perl,安装后重启系统。 http://downloads.activestate.com/ActivePerl/ 2.下载 latest openssl并解压到C:\openssl-0.9.8k。 http://www.openssl.org/source/ 参考openssl目录下的install.win32说明进行安装: 1、进入解压目录。 cd C:\op
一:安装nginx nginx在windows下进行完整配置,需要下载windows的nginx,下载完成后,将下载的nginx解压到你要安装配置的路径,假设我这里是D:\nginx-1.11.4\nginx-1.11.4\,打开nginx的文件夹,找到里面的conf目录的nginx.conf,修改以下内容: 打开错误日