Centos7 升级 OpenSSL

发表于 2021-12-28 阅读次数：评论数：本文字数： 397 阅读时长 ≈ 1 分钟

系统环境

1	Linux clay 3.10.0-1160.49.1.el7.x86_64 #1 SMP Tue Nov 30 15:51:32 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux

升级 OpenSSL

查看 OpenSSL 的版本

1 2	# openssl version OpenSSL 1.0.2k-fips 26 Jan 2017

备份旧版的 OpenSSL

1 2	# mv /usr/bin/openssl /usr/bin/openssl.bak # mv /usr/include/openssl /usr/include/openssl-bak

安装依赖

1	# yum install -y perl perl-devel perl-Test-Simple gcc gcc-c++ make

编译安装

注意事项

建议从 OpenSSL 官网下载源码包，最新的稳定版本是 1.1.1 系列
./config 命令必须加上 shared 参数，否则生成的 lib 目录里面只有 .a 静态库文件，没有 .so 动态链接库文件

# 下载文件
# wget https://www.openssl.org/source/openssl-1.1.1m.tar.gz

# 解压文件
# tar -xvf openssl-1.1.1m.tar.gz

# 进入解压目录
# cd openssl-1.1.1m

# 构建配置
# ./config shared zlib --prefix=/usr/local/openssl

# 编译
# make -j4

# 安装
# make install

# 添加动态链接库的路径到系统配置文件
# echo "/usr/local/openssl/lib" >> /etc/ld.so.conf

# 使配置生效
# ldconfig -v

# 链接文件
# ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
# ln -sf /usr/local/openssl/include/openssl /usr/include/openssl

验证是否升级成功

1 2	# openssl version OpenSSL 1.1.1m 14 Dec 2021

升级后的维护

更新 OpenSSL 后，需要排查系统的第三方服务是否以静态编译方式使用了 OpenSSL；如果第三方服务是静态编译的，则需要指定新的 OpenSSL 库重新进行编译，否则会影响服务的正常运行或者容易让其受到安全攻击。

提示

一般以静态编译方式使用了 OpenSSL 的第三方服务有：OpenSSH、Nginx、Apache，尤其当 Web 服务器支持 HTTPS 协议的时候

参考博客

0%