针对OpenSSL安全漏洞调整Nginx服务器的方法_nginx

1. 概述
    当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的Nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,Nginx不会加载外部的 openssl动态链接库的,必须将nginx重新编译才可以根治。

 
2. 识别Nginx是否是静态编译的

  以下三种方法都可以确认Nginx是否静态编译Openssl。
   2.1 查看Nginx编译参数

       输入以下指令,查看Nginx的编译参数:

# ./sbin/nginx -V

如果编译参数中含有--with-openssl=...,则表明Nginx是静态编译Openssl,如下所示:

nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1

2.2 查看Nginx的依赖库

      为进一步确认,可以查看一下程序的依赖库,输入以下指令:

# ldd `which nginx` | grep ssl

显示

libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)

注意:如果输出中不包含libssl.so的文件(),就说明是静态编译的Openssl的

再输入命令以确定openssl以确定库所属的openssl版本,但是不会太详细,比如本应该是1.0.1e.5.7,但是却只输出1.0.1e:

# strings /usr/lib/libssl.so.10 | grep "^OpenSSL "
OpenSSL 1.0.1e-fips 11 Feb 2013

2.3 查看Nginx打开的文件

      也可以通过查看Nginx打开的文件来查看是否静态编译,输入以下指令:

# ps aux | grep nginx
# lsof -p 111111<这里换成Nginx的进程PID> | grep ssl

如果没有打开Openssl的库文件,就说明是静态编译Openssl的,如下图所:

3. 重新编译Nginx

在互联网公司里,很少有统一的Nginx版本,都是各部门根据自己的业务需求选择相应的插件,然后自己编译的,所以在编译的时候一定要注意插件这块,不 要忘记编译某些插件,尽量保持Nginx特性不变,下面的方法可以给大家参考一下,但是一定要经过测试才可以上线啊。

以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索nginx
openssl
nginx openssl 漏洞、nginx openssl、nginx with openssl、nginx openssl 安装、nginx 升级openssl,以便于您获取更多的相关知识。

时间: 2024-09-23 21:35:15

针对OpenSSL安全漏洞调整Nginx服务器的方法_nginx的相关文章

Linux 安装nginx服务器详细介绍_nginx

nginx依赖一些软件库,在安装之前请确保系统安装了gcc.ssl.pcre和gzip等软件,可以用rpm -q 命令查看软件是否安装. [root@RedHat1 ~]# rpm -q gcc gcc-4.1.2-44.el5 依赖库信息如下: (1). gzip 模块需要 zlib 库 ( 下载: http://www.zlib.net/ ) (2). rewrite 模块需要 pcre 库 ( 下载: http://www.pcre.org/) (3). ssl 功能需要 openssl

CentOS 安装 Nginx服务器环境方法

#CentOS 安装 Nginx 服务器# 1.如果没有安装 GCC 开发工具请先安装:yum groupinstall -y "Development Tools" 2.下载新版本的 nginx:http://nginx.org/en/download.html, 下载到本地:wget http://nginx.org/download/nginx-1.4.3.tar.gz 3.解压源码包:tar zxvf nginx-1.4.3.tar.gz 4.进入解压出来的源码文件夹:cd n

腾讯云CentOS 6.6快速安装 Nginx服务器图文教程_nginx

一.下载Nginx 从Nginx的官网(http://nginx.org/en/download.html)下载Nginx的最新版本,这里我下载的是nginx-1.9.12. 下载完成后,得到一个如下图所示的压缩包 上传nginx的tar包到Linux服务器上,如下图所示: 二.安装Nginx 2.1.安装前提 在安装Nginx前,需要确保系统安装了g++,gcc, openssl-devel.pcre-devel和zlib-devel软件. 1.安装必须软件:yum -y install zl

实现自动定期删除Nginx日志的方法_nginx

系统日志是一个很重要的东西但同时如果我们不定时清除空间就会给日志占完了,下面我来介绍定期删除日志实现方法,各位同学可参考. Nginx的日志文件累积的太多,最后充满了整个磁盘空间,所以昨天做了一个可以定期自动删除的脚本. #!/bin/bash find /usr/local/nginx/logs/ -mtime +15 -type f -name *.log | xargs rm -f 上述脚本是将nginxlogs下面的15天之前的日志文件删除,可以参考上面的脚本删除其他程序(如PHP.To

针对OpenSSL 922乌龙事件的回应 绿盟科技给出OpenSSL最新漏洞分析及防护方案

近日,OpenSSL针对22日爆出的 CVE-2016-6304漏洞 发布了补丁,补丁又带来了 新的漏洞CVE-2016-6309 和CVE-2016-7052 ,官方 随即再次发布公告 给出更新补丁,1.1.0a版本升级到1.1.0b,正在使用1.0.2i版本升级到1.0.2j,绿盟科技也再次给出新漏洞的分析及防护方案-- OpenSSL最新漏洞信息 CVE-2016-6309 提交时间:2016年9月23日 漏洞描述:当系统收到超过大约16K大小的消息时,准备接受该消息的缓冲区会在其他地方重

在Nginx服务器中配置针对TCP的负载均衡的方法_nginx

 默认nginx不支持tcp的负载均衡,需要打补丁,(连接方式:从客户端收到一个连接,将从本地新建一个连接发起到后端服务器),具体配置如下: 一.安装Nginx1.下载nginx # wget http://nginx.org/download/nginx-1.2.4.tar.gz 2.下载tcp模块补丁 # wget https://github.com/yaoweibin/nginx_tcp_proxy_module/tarball/master 源码主页: https://github.c

修改nginx服务器类型实现简单伪装(隐藏nginx类型与版本等)_nginx

修改服务器类型为了防止被有所图的人利用,才做的一些调整.比如当前使用的一个低版本正好被爆出漏洞,如果被发现,那岂不是危险. 1.隐藏版本号,修改nginx.conf,在http区块加入 复制代码 代码如下: server_tokens off; 然后重新加载nginx,可以看到server头部也是不带版本号,也可以通过404查看 2.返回自定义服务器类型 通过curl -i http://127.0.0.1 查看当前的类型或者一些站长工具都可以看到,可以修改一为gws或者GFW来威慑一些利用工具

Nginx服务器中关于SSL的安全配置详解_nginx

 本文向你们展示如何在nginx的web服务器上设置更强的SSL.我们是通过使SSL无效来减弱CRIME攻击的这种方法实现.不使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够实现Forward Secrecy,同时我们还启用HSTS和HPKP.这样我们就有了一个更强.不过时的SSL配置并且我们在Qually Labs SSL 测试中得到了A等级. 我们在nginx的设置文档中如下编辑 复制代码 代码如下: /etc/nginx/sited-ena

详解OpenSSL重大漏洞:谁会受影响?如何解决?

中介交易 SEO诊断淘宝客 站长团购 云主机 技术大厅 延伸阅读: OpenSSL曝重大安全漏洞 可致网购支付密码泄露OpenSSL曝"毁灭性"漏洞 百度 加速乐率先防御OpenSSL重大漏洞 曝光:影响雅虎等多家网站解析OpenSSL漏洞:影响巨大 两年前已存在网络世界陷入最大危机 OpenSSL曝重大安全漏洞又要改密码了?怎么看刚爆出的OpenSSL事件 近日有研究人员公布,广为流行的网络加密软件OpenSSL存在名为Heartbleed的重大漏洞,人们的账号密码.信用卡号码等个人