針對OpenSSL安全漏洞調(diào)整Nginx服務(wù)器的方法

更新時(shí)間：2015年06月30日 11:34:06 投稿：goldensun

這篇文章主要介紹了針對OpenSSL漏洞調(diào)整Nginx服務(wù)器的方法,2014年爆出的SSL安全漏洞震驚了全世界,需要的朋友可以參考下

1. 概述
當(dāng)前爆出了Openssl漏洞，會泄露隱私信息，涉及的機(jī)器較多，環(huán)境迥異，導(dǎo)致修復(fù)方案都有所不同。不少服務(wù)器使用的Nginx，是靜態(tài)編譯 opensssl，直接將openssl編譯到nginx里面去了，這就意味著，單純升級openssl是沒有任何效果，Nginx不會加載外部的 openssl動態(tài)鏈接庫的，必須將nginx重新編譯才可以根治。

2. 識別Nginx是否是靜態(tài)編譯的

以下三種方法都可以確認(rèn)Nginx是否靜態(tài)編譯Openssl。
2.1 查看Nginx編譯參數(shù)

輸入以下指令，查看Nginx的編譯參數(shù):

# ./sbin/nginx -V

如果編譯參數(shù)中含有--with-openssl=...，則表明Nginx是靜態(tài)編譯Openssl，如下所示：

nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1

2.2 查看Nginx的依賴庫

為進(jìn)一步確認(rèn)，可以查看一下程序的依賴庫，輸入以下指令：

# ldd `which nginx` | grep ssl

顯示

libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)

注意：如果輸出中不包含libssl.so的文件()，就說明是靜態(tài)編譯的Openssl的

再輸入命令以確定openssl以確定庫所屬的openssl版本，但是不會太詳細(xì)，比如本應(yīng)該是1.0.1e.5.7，但是卻只輸出1.0.1e：

# strings /usr/lib/libssl.so.10 | grep "^OpenSSL "
OpenSSL 1.0.1e-fips 11 Feb 2013

2.3 查看Nginx打開的文件

也可以通過查看Nginx打開的文件來查看是否靜態(tài)編譯，輸入以下指令：

# ps aux | grep nginx
# lsof -p 111111<這里換成Nginx的進(jìn)程PID> | grep ssl

如果沒有打開Openssl的庫文件，就說明是靜態(tài)編譯Openssl的，如下圖所：

2015630113412152.jpeg (600×157)

3. 重新編譯Nginx

在互聯(lián)網(wǎng)公司里，很少有統(tǒng)一的Nginx版本，都是各部門根據(jù)自己的業(yè)務(wù)需求選擇相應(yīng)的插件，然后自己編譯的，所以在編譯的時(shí)候一定要注意插件這塊，不要忘記編譯某些插件，盡量保持Nginx特性不變，下面的方法可以給大家參考一下，但是一定要經(jīng)過測試才可以上線啊。

您可能感興趣的文章:

相關(guān)文章

nginx?某些url只能由特定ip訪問的實(shí)現(xiàn)
在Nginx中針對某些URL只允許特定IP地址訪問,本文就來介紹一下如何實(shí)現(xiàn),具有一定的參考價(jià)值,感興趣的可以了解一下
2023-09-09
nginx設(shè)置超時(shí)時(shí)間的問題及解決方案
程序在處理大量數(shù)據(jù),接口超過1分鐘（默認(rèn)的）未返回?cái)?shù)據(jù),導(dǎo)致等待超時(shí),出現(xiàn)這種情況,我們可以先優(yōu)化程序,縮短執(zhí)行時(shí)間,可以調(diào)大nginx超時(shí)限制的參數(shù),使程序可以正常執(zhí)行,本文介紹nginx設(shè)置超時(shí)時(shí)間及504 Gateway Time-out的問題解決方案,一起看看吧
2024-02-02
filebeat同時(shí)收集錯(cuò)誤日志與普通日志并存詳解
這篇文章主要為大家介紹了filebeat同時(shí)收集錯(cuò)誤日志與普通日志并存詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪
2022-08-08
Nginx內(nèi)網(wǎng)環(huán)境開啟https雙協(xié)議的實(shí)現(xiàn)
本文主要介紹了Nginx內(nèi)網(wǎng)環(huán)境開啟https雙協(xié)議,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2025-02-02
Ubuntu下搭建與配置Nginx服務(wù)
這篇文章介紹了Ubuntu下搭建與配置Nginx服務(wù)的方法，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2022-06-06
Nginx防止流量攻擊的配置詳解
這篇文章主要給大家分享了Nginx防止流量攻擊的配置方法，文中給出了詳細(xì)的介紹和配置示例代碼，對大家具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面來一起看看吧。
2017-05-05
Nginx服務(wù)器配置文件完全解析
這篇文章主要介紹了Nginx服務(wù)器配置文件完全解析,Nginx的異步非阻塞特性使其擁有非常出色的性能,需要的朋友可以參考下
2015-08-08
詳解nginx請求頭數(shù)據(jù)讀取流程
這篇文章主要介紹了詳解nginx請求頭數(shù)據(jù)讀取流程，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2020-03-03
nginx rewrite重寫規(guī)則與防盜鏈配置方法教程詳解
這篇文章主要介紹了nginx rewrite重寫規(guī)則與防盜鏈配置方法教程詳解,非常不錯(cuò)，具有參考借鑒價(jià)值，需要的朋友可以參考下
2016-09-09
基于Nginx的Mencached緩存配置詳解
這篇文章主要介紹了基于Nginx的Mencached緩存配置詳解，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2020-06-06