如何升级openssl?

yanqzh

收到了服务器商的邮件，说公安机构委托第三方，检测到了我的服务器有漏洞，需要更新openssl。。。

yanqzh

OpenSSL 1.0.1e-fips 11 Feb 2013

yanqzh

Nginx_Ver='nginx-1.12.1'
Php_Ver='php-7.0.21'

lnmp1.4

yanqzh

在openssl.org上找到以下版本更新：

5223 2019-May-28 13:26:28 openssl-1.0.2s.tar.gz (SHA256) (PGP sign) (SHA1)
5163 2019-May-28 13:26:28 openssl-1.1.0k.tar.gz (SHA256) (PGP sign) (SHA1)
8656 2019-May-28 13:26:28 openssl-1.1.1c.tar.gz (SHA256) (PGP sign) (SHA1)
1457 2017-May-24 18:01:01 openssl-fips-2.0.16.tar.gz (SHA256) (PGP sign) (SHA1)
1437 2017-May-24 18:01:01 openssl-fips-ecp-2.0.16.tar.gz (SHA256) (PGP sign) (SHA1)

应该下载哪个版本的最新版来升级？

licess

你发的上面最新的肯定是1.1.1c

yanqzh

licess 发表于 2019-7-17 21:26
你发的上面最新的肯定是1.1.1c

我服务器用lnmp1.4 搭建的，Nginx_Ver=nginx-1.12.1 ；Php_Ver=php-7.0.21；OpenSSL 1.0.1e-fips 11 Feb 2013，可以用哪个新版本的openssl来安装？

yanqzh

另外，有相关的升级教程吗？军哥？

licess

yanqzh 发表于 2019-7-18 20:22
另外，有相关的升级教程吗？军哥？

没有，你可以搜索一下论坛里之前应该有其他人发过
建议升级系统版本，openssl会随系统而升级

yanqzh

licess 发表于 2019-7-18 20:55
没有，你可以搜索一下论坛里之前应该有其他人发过
建议升级系统版本，openssl会随系统而升级 ...

你是指升级lnmp吗？这样可能会导致服务器环境出现未知的变数吧。
另外，升级最稳妥的教程是哪个呢？
如果是只升级openssl，我服务器用lnmp1.4 搭建的，Nginx_Ver=nginx-1.12.1 ；Php_Ver=php-7.0.21；OpenSSL 1.0.1e-fips 11 Feb 2013，可以用哪个新版本的openssl来安装？

licess

yanqzh 发表于 2019-7-18 21:44
你是指升级lnmp吗？这样可能会导致服务器环境出现未知的变数吧。
另外，升级最稳妥的教程是哪个呢？
如果 ...

升级系统版本不是lnmp，openssl自然会随系统升级，lnmp较新版本的openssl只供php、nginx之类的使用不会替换系统自动的openssl版本

直接上最新版

yanqzh

看到redis、openssl在lnmp1.6里面都有升级了，直接升级lnmp可以升级这些软件的版本吗？
lnmp1.4的redis使用有BUG，之前升级或打补丁不成功，现在想直接升级lnmp1.6，二来可以升级openssl

yanqzh

或者，可以单独升级这两个软件吗？已经下载lnmp1.6

yanqzh

从lnmp1.4升级到1.6成功，并且升级nginx到1.16.0成功

方法如下：
先进入目录，执行命令：~/ ，下载lnmp1.6完整安装包：lnmp1.6-full.tar.gz，并解压，进入解压后得到的目录lnmp1.6-full中，输入命令：./upgrade1.x-1.6.sh
不须一分钟时间即可升级完成；
升级nginx，以便升级openssl
先修改lnmp1.6-full/include/upgrade_nginx.sh，将 if [[ "${Nginx_Ver_Com} ........ fi 语段中，else 后面的 ${Nginx_With_Openssl} 修改为 --with-openssl=../openssl-1.1.1b ，注：else前面还有一个 ${Nginx_With_Openssl} 不必修改。
然后进入lnmp1.6-full/src解压openssl-1.1.1b.tar.gz，即执行命令：tar -zxf openssl-1.1.1b.tar.gz ；
返回上级目录lnmp1.6-full，并执行命令：./upgrade.sh nginx，执行命令会要求选择要升级到的nginx版本，可以直接输入前一句提示的当前版本号，即不升级nginx，只升级openssl，也可以输入1.16.0以下的版本，以同时升级nginx。
升级完成要修改虚拟主机的ssl.conf文件，修改成以下两行代码：
ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:SSLCipherSuiteECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256;';

然后执行nginx -t查看nginx 的配置语句是否有问题，无问题的话直接 lnmp restart 以使得升级生效。

yanqzh

licess 发表于 2019-7-19 11:03
升级系统版本不是lnmp，openssl自然会随系统升级，lnmp较新版本的openssl只供php、nginx之类的使用不会替 ...

上面一层楼是我升级lnmp 、nginx 、openssl成功的经验，是从网络上一些教程综合过来的。现在 想如法炮制升级redis，但发现在php或nginx中都 找不到redis的版本语句，而在include下有一个独立的redis的语句，如何去升级redis呢？

yanqzh

https://segmentfault.com/a/1190000019267931?utm_source=tag-newest