重新编译Nginx指导手册【修复静态编译Openssl的Nginx漏洞 】[Openssl Heartbleed]

t34ewf

1. 概述
    当前爆出了Openssl漏洞，会泄露隐私信息，涉及的机器较多，环境迥异，导致修复方案都有所不同。不少服务器使用的Nginx，是静态编译opensssl，直接将openssl编译到nginx里面去了，这就意味着，单纯升级openssl是没有任何效果，Nginx不会加载外部的openssl动态链接库的，必须将nginx重新编译才可以根治。

2. 识别Nginx是否是静态编译的  以下三种方法都可以确认Nginx是否静态编译Openssl。
   2.1 查看Nginx编译参数       输入以下指令，查看Nginx的编译参数:
       # ./sbin/nginx -V
      如果编译参数中含有--with-openssl=...，则表明Nginx是静态编译Openssl，如下所示：

• nginx version: nginx/1.4.1  
• built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)  
• TLS SNI support enabled  
• configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1  
  

   2.2 查看Nginx的依赖库      为进一步确认，可以查看一下程序的依赖库，输入以下指令：     

• # ldd ./sbin/nginx  
  

     如果依赖库不含有Openssl，则表明是静态编译的Openssl的。
   
   2.3 查看Nginx打开的文件      也可以通过查看Nginx打开的文件来查看是否静态编译，输入以下指令：

• # ps aux | grep nginx  
• # lsof -p 111111<这里换成Nginx的进程PID>  | grep ssl  
  

   如果没有打开Openssl的库文件，就说明是静态编译Openssl的，如下图所示：


3. 重新编译Nginx
     在互联网公司里，很少有统一的Nginx版本，都是各部门根据自己的业务需求选择相应的插件，然后自己编译的，所以在编译的时候一定要注意插件这块，不要忘记编译某些插件，尽量保持Nginx特性不变，下面的方法可以给大家参考一下，但是一定要经过测试才可以上线啊。

    3.1 下载Nginx       去官网下载Nginx，至于版本的话，我是推荐用最新的稳定版本1.4.7，但是各部门可以根据自己的实际情况来选择，不一定要用最新稳定版本。

• Nginx的下载地址： http://nginx.org/en/download.html  
  

   3.2 下载相关Nginx的第三方插件        输入以下命令，查看Nginx编译了哪些插件模块：      

• # ./sbin/nginx -V  
  

       输出的编译参数里面包含了编译模块，如下：

• nginx version: nginx/1.4.1  
• built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)  
• TLS SNI support enabled  
• configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1  
  

     编译选项--add-module就是Nginx所编译的插件模块。先把所有插件模块记录下来，比如上面的服务器就有只有一个插件cache_purge，然后从以下网址中下载相关插件源码：     

• Nginx 第三方插件下载网址： http://wiki.nginx.org/3rdPartyModules  
  

    3.3 自定义插件       如果是咱公司自己开发的Nginx插件，请务必找到相应的同事，确认是否兼容当前的Nginx版本。此外，非官网提供的第三方插件也需要经过测试，是否能够兼容当前Nginx版本。
    3.4 编译参数        在2小节中，将编译参数记录下来，比如上面的--prefix=/opt/app/nginx --with-http_ssl_module ... 等等，记录下来，编译的时候尽量保持一致，这样才能尽可能保持Nginx的特性不变。
    3.5 下载Openssl的源码        从Openssl的官网下载最新的源码，建议使用最新的额1.0.1g版本，下载页面：
      

• 下载页面：http://www.openssl.org/source/  
• 下载地址： http://www.openssl.org/source/openssl-1.0.1g.tar.gz  
  

   
    3.6 编译安装        在编译安装之前，请将原来的./sbin/Nginx 备份一下，以防万一。所有源码准备完之后，就开始编译安装：        

• #./configure <编译参数> <第三方插件>  
• # make & make install   
  

        编译完成之后，重启Nginx，然后测试无误后，然后再对其他相同配置环境的机器直接替换即可，注意，不同环境服务器是不能直接替换的，比如Redhat5.x上的Nginx就不能复制到Redhat6.x上了。


4. 小结         此次，漏洞涉及的服务器太多了，但凡用到了HTTPS的服务器，50%+都中了此道，修复任务任道而重远啊。