iT邦幫忙

0

CentOS升級OpenSSL版本沒變

舜~ 2020-09-12 13:31:331186 瀏覽

各位前輩問一下,
上面丟了一台CentOS伺服器給我,
然後說要修補一些漏洞,
要我遠端進去處理,
有的漏洞跟ssl有關

但我對Linux不熟...

系統資訊
CentOS release 6.10 (Final)
Linux version 2.6.32-754.29.1.el6.x86_64 (mockbuild@x86-01.bsys.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) ) #1 SMP Mon Apr 27 15:30:33 UTC 2020

我看openSSL 版本是OpenSSL 1.0.1e-fips 11 Feb 2013
想說套件是2013年的那我把它升級上去好了...

我看官方今年有出1.1.1g的版本想說單獨把openssl升級上去

我照著這篇去做

CentOS 編譯安裝升級 OpenSSL

在這條語法出錯卡住
./config -fPIC –prefix=/usr/local/openssl/ enable-shared

接著改照這篇的第三個步驟開始繼續下去
在CentOS 7上安裝OpenSSL

做完的的結果版本竟然沒變....
我在第一篇教學明明有照著執行這段阿...
yum remove openssl openssl-devel -y

以下是我執行 openssl version -a 的結果

# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Wed Aug 14 16:32:19 UTC 2019
platform: linux-x86_64
options:  bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  dynamic

請問一下我是哪邊出錯了?


我回頭去找 idconfig -v 的資訊發現
idconfig -vidconfig -v | grep 'ssl'結果不一致

# idconfig -v 
...(略)...
/usr/local/ssl/lib:
        libcrypto.so.1.1 -> libcrypto.so.1.1
        libssl.so.1.1 -> libssl.so.1.1
...(略)...

# idconfig -v  | grep 'ssl'
/usr/local/ssl/lib:
        libssl.so.1.1 -> libssl.so.1.1
        libssl3.so -> libssl3.so
        libssl.so.10 -> libssl.so.1.0.1e

找了一下多出來的都是在/usr/lib64下面

# ls /usr/lib64 | grep ssl
libssl3.so
libssl.so
libssl.so.10
libssl.so.1.0.1e
openssl

然後我該怎麼下一步?

nansen iT邦新手 3 級 ‧ 2020-09-13 08:59:37 檢舉
1.0.1跟1.1.1不是百分之百相容,直接更新lib而未更新使用lib的程式可能導致某些使用服務直接停擺,有些程式與openssl是使用靜態連結編譯的修改lib也無助於這些程式使用新的openssl版本

建議先確定修正的起源/目標,例如:是哪個服務使用SSL被掃瞄到過低版本的SSL在規劃升級路線

1 個回答

1
一級屠豬士
iT邦大師 1 級 ‧ 2020-09-12 18:08:31

https://linuxscriptshub.com/update-openssl-1-1-0-centos-6-9-7-0/

按照裡面的步驟,當然你已經編譯成功,就不必再編譯.
但是最後那段,把舊版的先備份的部分 , 你可以先做, 甚至另外再多 cp 到別目錄下保存.

cd /usr/bin/
mv openssl openssl_old
mv openssl_latest openssl

其實就是一個做 symbolic link 的技巧. 可以安裝不同版本, 然後做連結到 會使用的路徑,
新代舊.

我要發表回答

立即登入回答