修復Nginx安全漏洞(CVE-2019-9516)
近日客戶在進行安全掃描時檢測出Nginx有安全漏洞,簡單記錄下這次安全漏洞的升級程序,
客戶給檔案如圖:
先按照修補建議去獲取補丁
查看官方建議,需要將nginx進行升級到1.17.3,下載地址:http://nginx.org/download/
將下載好的nginx上傳到服務器上,解壓
tar -zxvf nginx-1.17.3.tar.gz
以為專案正在運行,因此這次升級需要在不影響業務系統情況下進行平滑升級
因為前期部署Nginx是直接從另一臺服務期上拷貝過去的,因此需要先安裝nginx所需的依賴,這時遇到了一個問題,服務器不能連外網,因此需要手動下載依賴包進行安裝,或者新建一個本地的YUM源,詳細步驟可參考:在Linux系統中配置本地YUM倉庫
準備作業完成之后開始進行升級
1.安裝依賴
yum install gcc
yum install pcre-devel
yum install zlib-devel
yum install openssl
yum install openssl-devel
2.進入新版本Nginx,進行編譯后替換舊版本
//進入新版本目錄
cd nginx-1.17.3
// 執行配置
./configure
// 執行編譯(只編譯不安裝)
make
// 備份舊版本檔案
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
// 復制新版本檔案
cp nginx-1.17.3/objs/nginx /usr/local/nginx/sbin/
3.關閉并重啟 nginx
//查看nginx的pid
ps -ef|grep nginx
//使nginx的舊版本停止接收請求,用新版本接替,且老行程處理完所有請求,關閉所有連接后,停止
kill -USR2 3578
kill -USR2 3580
//關閉舊版本行程
kill -QUIT 3578
kill -USR2 3580
// 驗證nginx是否升級成功
nginx -V //顯示最新編譯的版本資訊即更新成功
升級程序中遇到了一個問題nginx: [emerg] the “ssl” parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:156
經排查之后發現,nginx啟動了https服務,在上述第二步配置的時候需要添加一些配置
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/246958.html
標籤:其他
上一篇:極客日報第 45 期:蝦米音樂將永久關停;GitHub 解禁伊朗開發者使用權;抖音 2020 資料報告:日均視頻搜索量破 4 億
下一篇:OpenSSH 下載與配置