一、OpenSSL源码升级
2014年4月8日,XP宣布正式停止服务的日子,也是OpenSSL爆出大漏洞的日子。
OpenSSL主要是负责在一些敏感的数据提交上面被广泛使用,不乏大家经常访问的一些网站:支付宝、微信、淘宝、网银、社交、门户等知名网站。
官方上面推荐大家将OpenSSL升级到OpenSSL 1.0.1g。
这不火急火燎的加入的升级大军,先查看下自己机器上的OpenSSL版本。
openssl version #OpenSSL 1.0.0-fips 29 Mar 2010
很明显不是官方所说的版本,必须要升级好吧,我们以源码的形式。先去下载相对应的OpenSSL版本。
cd /usr/local/src/ wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz tar -zxvf openssl-1.0.1g.tar.gz cd openssl-1.0.1g./config shared zlib make && make install #修改历史的OpenSSL文件设置备份 mv /usr/bin/openssl /usr/bin/openssl.old mv /usr/include/openssl /usr/include/openssl.old #设置软连接使其使用新的OpenSSL版本 刚刚安装的OpenSSL默认安装在/usr/local/ssl ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl ln -s /usr/local/ssl/include/openssl /usr/include/openssl #更新动态链接库数据 echo "/usr/local/ssl/lib">>/etc/ld.so.conf ldconfig -v
我们再来看看OpenSSL版本信息.
openssl version #OpenSSL 1.0.1g 7 Apr 2014
如果是1.0.1g,说明你安装正确了。
二、php_openssl组件版本更新
1、与php一同设置的编译参数情况
如果你和我一样很久很久以前安装了php的版本,而且又是在编译php版本的时候直接使用“–with-openssl”的话,似乎也没有添加什么路径的话,那么你现在可能需要重新再编译你的php版本了,首先我们要获取到当时编译php的参数,注意你的php源码版本要一致哦,当然你可以重新升级你的php版本也无妨(如果你选择升级php版本可能会导致你安装的一些组件无法使用,或者在启动php-fpm时候会有错误提示,我还是不太建议大家升级php版本,最好是找当前版本一直的源码进行重新编译)。
#查看php版本/usr/local/php/bin/php -v #获取php编译时的参数/usr/local/php/bin/php -i | grep Command#./configure' '--prefix=/usr/local/php' '--with-mysql' '--with-mysqli' '--with-iconv-dir' '--with-zlib' '--with-libxml-dir' '--enable-xml' '--with-curl' '--enable-fpm' '--enable-mbstring' '--with-gd' '--with-openssl' '--with-mhash' '--enable-sockets' '--with-xmlrpc' '--enable-zip' '--enable-soap' '--disable-fileinfo'
注意把这些“’”都去掉,因为我们采用了源码升级OpenSSL的方式,所以新的OpenSSL安装路径在上面提到了
cd /usr/local/src/php-5.5.6./configure --prefix=/usr/local/php --with-mysql --with-mysqli --with-iconv-dir --with-zlib --with-libxml-dir --enable-xml --with-curl --enable-fpm --enable-mbstring --with-gd --with-openssl=/usr/local/ssl/--with-mhash --enable-sockets --with-xmlrpc --enable-zip --enable-soap --disable-fileinfo make && make install
你采用的是和之前源码安装一样的版本库无非就是重新编译一次需要点时间,其他都不需要修改就可以安装对openssl的升级了。我们重启下php-fpm服务。
service php-fpm restart
然后我们去phpinfo()函数输出里面去找找openssl的版本是否是OpenSSL 1.0.1g,是的话就证明一切操作都顺利了。
到这里或许你可能会说我为什么不用phpize了,这不是有点累死人的节奏,我是尝试过了,一开始就对php_openssl进行单独模块编译,编译好了之后,重新去启动php-fpm告诉我下面这个提示。
PHP Warning:Module'openssl' already loaded inUnknown on line 0……
也就是说OpenSSL已经被加载了请不要重复加载,可是我将php.ini文件仔细查看也没有重复添加openssl组件,我的猜想应该是在php编译的时候配置了,所以你使用phpize添加进去的模块当然是重复的模块了。
2、未启用php_openssl模块
貌似这种情况有点差强人意的感觉,因为你从来没有使用过openssl,何必要升级呢?除非你有新的业务需要。咳咳,扯淡了。
如果你没有上面第一种情况的话,那么这种方式应该是你的最佳方式了。
cd /usr/local/src/php-5.5.6/ext/openssl /usr/local/php/bin/phpize ./configure --with-openssl=/usr/local/ssl/--with-php-config=/usr/local/php/bin/php-config make && make install
最后就在/usr/local/php/lib/php.ini文件中添加一行
extension=openssl.so
重启php-fpm,去phpinfo()找找openssl的版本看看。
