一 系统环境
公司服务器等保要求,修复openssl的高危漏洞。
本机使用centos7.9系统,openssl版本是1.0.2k,计划升级到1.1.1q
在执行下列操作前,务必要打快照做好备份,以防升级失败引起的生产事故。
因为openssl属于非常基础的服务,可能影响实际生产中的许多服务,因此建议先在同一业务下的测试环境升级,经过验证后服务未受影响,则在生产环境操作。
二 操作步骤
1.安装依赖
yum install -y gcc gcc-c++ autoconf automake zlib zlib-devel pcre-devel
2.下载源码包并解压
wget https://www.openssl.org/source/openssl-1.1.1q.tar.gz
tar xzf openssl-1.1.1q.tar.gz
cd openssl-1.1.1q
3.编译安装
./config
make && make install
安装完之后openssl可执行文件的位置在/usr/local/bin/目录下。
4.配置lib库
echo "/usr/local/lib64/" >> /etc/ld.so.conf
ldconfig
5.备份旧版本openssl
mv /usr/bin/openssl /usr/bin/openssl.bak
6.将新版本openssl链接到/usr/bin
ln -s /usr/local/bin/openssl /usr/bin/openssl
三 版本检查
最后执行openssl version -a 可以查看升级后的新版本。
运维初步验证:检查ssh服务是否可以正常使用。
systemctl restart sshd
然后先新开一个会话窗口(当前操作的远程连接会话不要关闭,以防止出现问题后无法远程ssh连接),检查能否ssh连接上服务器,如果没有问题,说明openssl升级后对当前业务环境下的ssh服务无影响;最后由开发人员去验证该主机关联的业务是否正常。
