脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器nginx → 针对OpenSSL漏洞调整Nginx

针对OpenSSL安全漏洞调整Nginx服务器的方法

 更新时间:2015年06月30日 11:34:06   投稿:goldensun  
这篇文章主要介绍了针对OpenSSL漏洞调整Nginx服务器的方法,2014年爆出的SSL安全漏洞震惊了全世界,需要的朋友可以参考下

1. 概述
    当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的Nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是没有任何效果,Nginx不会加载外部的 openssl动态链接库的,必须将nginx重新编译才可以根治。

 
2. 识别Nginx是否是静态编译的

  以下三种方法都可以确认Nginx是否静态编译Openssl。
   2.1 查看Nginx编译参数

       输入以下指令,查看Nginx的编译参数:

# ./sbin/nginx -V

如果编译参数中含有--with-openssl=...,则表明Nginx是静态编译Openssl,如下所示:

nginx version: nginx/1.4.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1

2.2 查看Nginx的依赖库

      为进一步确认,可以查看一下程序的依赖库,输入以下指令:

# ldd `which nginx` | grep ssl

显示

libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)

注意:如果输出中不包含libssl.so的文件(),就说明是静态编译的Openssl的

再输入命令以确定openssl以确定库所属的openssl版本,但是不会太详细,比如本应该是1.0.1e.5.7,但是却只输出1.0.1e:

# strings /usr/lib/libssl.so.10 | grep "^OpenSSL "
OpenSSL 1.0.1e-fips 11 Feb 2013

2.3 查看Nginx打开的文件

      也可以通过查看Nginx打开的文件来查看是否静态编译,输入以下指令:

# ps aux | grep nginx
# lsof -p 111111<这里换成Nginx的进程PID> | grep ssl

如果没有打开Openssl的库文件,就说明是静态编译Openssl的,如下图所:

2015630113412152.jpeg (600×157)

3. 重新编译Nginx


在互联网公司里,很少有统一的Nginx版本,都是各部门根据自己的业务需求选择相应的插件,然后自己编译的,所以在编译的时候一定要注意插件这块,不 要忘记编译某些插件,尽量保持Nginx特性不变,下面的方法可以给大家参考一下,但是一定要经过测试才可以上线啊。

您可能感兴趣的文章:

相关文章

  • Nginx 部署的虚拟主机使用 Let's Encrypt 加密 https的方法

    Nginx 部署的虚拟主机使用 Let's Encrypt 加密 https的方法

    HTTPS 是现在网站的标配了,很多服务都是必须使用 https,如果你不使用的话,浏览器可能就不会对你非常友好了,这篇文章主要介绍了Nginx 部署的虚拟主机如何使用 Let's Encrypt 来进行加密 https,需要的朋友可以参考下
    2022-07-07
  • Nginx流量同时转发多后端(流量镜像分发)

    Nginx流量同时转发多后端(流量镜像分发)

    在需要同时将请求转发至多个后端服务的场景中,Nginx的mirror模块提供了流量镜像分发的功能,本文就来介绍一下Nginx流量同时转发多后端(流量镜像分发),感兴趣的可以了解一下
    2024-10-10
  • Nginx中roxy_set_header与add_header区别举例浅析

    Nginx中roxy_set_header与add_header区别举例浅析

    proxy_set_header是一个 Nginx 配置指令,用于设置将要转发到后端服务器的 HTTP 请求头,这篇文章主要给大家介绍了关于Nginx中roxy_set_header与add_header区别的相关资料,需要的朋友可以参考下
    2024-04-04
  • 深入理解Nginx之error_page模块的使用

    深入理解Nginx之error_page模块的使用

    error_page是nginx一个重要的指令,作用是定制化服务器错误页面,本文主要介绍了Nginx之error_page模块的使用,具有一定的参考价值,感兴趣的可以了解一下
    2023-09-09
  • nginx日志中添加请求的response日志(推荐)

    nginx日志中添加请求的response日志(推荐)

    这篇文章主要介绍了nginx日志中添加请求的response日志,非常不错,具有参考借鉴价值,需要的朋友可以参考下
    2018-05-05
  • Nginx实现服务端集群搭建

    Nginx实现服务端集群搭建

    本文介绍了如何搭建Nginx服务端集群,主要包括动静分离及其Tomcat集群搭建,通过本文可以了解如何搭建高效、可扩展、高可用的服务器架构,提高网站性能和可靠性,感兴趣的可以了解一下
    2023-08-08
  • 使用Nginx搭建文件服务器及实现文件服务的步骤

    使用Nginx搭建文件服务器及实现文件服务的步骤

    Nginx是轻巧、高效的Web服务器,用作文件服务器非常合适,但是需要一些高级功能,如FTP远程访问、多用户管理,可能需要选择更为复杂的方案,例如Apache或FileZilla Server,这篇文章主要介绍了详解如何使用Nginx搭建文件服务器及实现文件服务,需要的朋友可以参考下
    2024-01-01
  • nginx proxy_pass指令’/’使用注意事项

    nginx proxy_pass指令’/’使用注意事项

    这篇文章主要介绍了nginx代理配置完之后,nginx配置proxy_pass,需要注意转发的路径配置,需要的朋友可以参考下
    2015-02-02
  • 详解php+nginx 服务发生500 502错误排查思路

    详解php+nginx 服务发生500 502错误排查思路

    这篇文章主要介绍了详解php+nginx 服务发生500 502错误排查思路,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-07-07
  • 基于nginx反向代理获取用户真实Ip地址详解

    基于nginx反向代理获取用户真实Ip地址详解

    我们访问互联网上的服务时,大多数时客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理,反向代理再转发到服务端实现服务访问,这篇文章主要给大家介绍了关于如何基于nginx反向代理获取用户真实Ip地址的相关资料,需要的朋友可以参考下
    2022-03-03

最新评论