Làm cách nào để nâng cấp OpenSSL 1.1.0 lên 1.1.1 trong Ubuntu 18.04?


17

Tôi đã chạy một máy chủ sản xuất với cài đặt Ubuntu 18. Gần đây, tôi thấy rằng ứng dụng web của tôi không được phép trên một số tường lửa được cài đặt tại vị trí khách hàng.

Tôi thấy rằng máy chủ của tôi đang giao tiếp tại các TLSv1.0, TLSv1.1, TLSv1.2giao thức, tôi cho rằng cài đặt tường lửa chỉ cho phép giao tiếp với máy chủ trên TLSv1.3giao thức.

Vì Ubuntu 18 được cung cấp cùng với OpenSSL version 1.1.0và để hỗ trợ máy chủ, TLS v1.3tôi phải nâng cấp OpenSSL lên version 1.1.1phiên bản mới nhất.

Vì đây là máy chủ sản xuất đang chạy nginxmáy chủ, tôi không muốn trực tiếp thử bất cứ thứ gì trên máy chủ.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Cách tốt nhất để nâng cấp OpenSSL lên v1.1.1 mà không làm phiền bất kỳ cài đặt nào khác của máy chủ là gì?


2
FYI: »OpenSSL 1.1.1 SRU thành Bionic« list.ubfox.com/archives/ubfox-devel/2018-December/, Trong lúc đó, hãy nói chuyện với người liên hệ tương ứng phụ trách cấu hình tường lửa, yêu cầu các yêu cầu / đề xuất / miễn trừ. Tôi nghi ngờ rằng bạn là người duy nhất chạy 18.04 và gặp sự cố này và tôi cũng không nghĩ rằng việc không hỗ trợ TLS 1.3 tại thời điểm này là vấn đề vì nó vẫn còn khá mới và trái với tuyên bố của bạn Tôi đọc rằng nó vẫn gây ra sự cố với một số hộp giữa, nhưng bạn sẽ không tìm ra nếu bạn không hỏi.
LiveWireBT

2
Nâng cấp sẽ không thể thực hiện cho đến khi SRU đi qua. Có quá nhiều thứ phụ thuộc vào OpenSSL để tự nâng cấp, bởi vì nó có thể phá vỡ mọi thứ.
Thomas Ward

1
cuối cùng là bug.launchpad.net/ubfox/+source/openssl/+orms/1797386 hiện đang được tiến hành
Tino

Câu trả lời:


34

LƯU Ý : Kể từ ~ tháng 8 năm 2019, openSSL 1.1.1 nên có sẵn để cài đặt thông qua nâng cấp / cài đặt gói thông thường cho 18.04. Hoặc, bạn có thể tải xuống gói .deb trực tiếp từ đây .


Theo trang web OpenSSL :

Phiên bản ổn định mới nhất là loạt 1.1.1. Đây cũng là phiên bản Hỗ trợ dài hạn (LTS) của chúng tôi, được hỗ trợ cho đến ngày 11 tháng 9 năm 2023.

Vì đây không có trong kho Ubuntu hiện tại, bạn sẽ cần tải xuống, biên dịch và cài đặt phiên bản OpenSSL mới nhất theo cách thủ công.

Dưới đây là các hướng dẫn để làm theo:

  1. Mở một thiết bị đầu cuối ( Ctrl+ Alt+ t).
  2. Lấy tarball: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Giải nén tarball với tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Ban hành lệnh ./config.
  5. Dùng lệnh make(Bạn có thể cần chạy sudo apt install make gcctrước khi chạy lệnh này thành công).
  6. Chạy make testđể kiểm tra các lỗi có thể.
  7. Sao lưu nhị phân openssl hiện tại: sudo mv /usr/bin/openssl ~/tmp
  8. Ban hành lệnh sudo make install.
  9. Tạo liên kết tượng trưng từ nhị phân mới cài đặt đến vị trí mặc định:
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
    
  10. Chạy lệnh sudo ldconfigđể cập nhật symlink và xây dựng lại bộ đệm của thư viện.

Giả sử rằng không có lỗi khi thực hiện các bước từ 4 đến 10, bạn nên cài đặt thành công phiên bản mới của OpenSSL.

Một lần nữa, từ thiết bị đầu cuối phát lệnh:

openssl version

Đầu ra của bạn phải như sau:

OpenSSL 1.1.1a  20 Nov 2018

1
Về "Kể từ ngày ~ tháng 6 năm 2019, openSSL 1.1.1 nên có sẵn để cài đặt thông qua nâng cấp / cài đặt gói thông thường": Chỉ cần lưu ý rằng điều này dường như không xảy ra trên Ubuntu 18.04 (ít nhất là trên hai máy tôi đã thử trên ) ...
logidelic

@logidelic Thú vị. Cảm ơn đã chỉ ra rằng. Tôi sẽ ghi chú về điều đó. Các hệ thống chính của tôi là 19.04 và tôi có một vài công cụ phái sinh (Mint) dựa trên bionic (18.04) đã nhận được backport. Rõ ràng, launchpad.net/ubfox/+source/openssl/1.1.1-1ubfox2.1~18.04.4 nó vẫn có thể chỉ là 'đề xuất' ', hoặc có sẵn dưới dạng nguồn trong 18.04. Tôi không thực sự chắc chắn về tình trạng này.
Kevin Bowen

Làm việc trên Debian Jessie là tốt. Được sử dụng 1.1.1c vì đây là phiên bản tương tự trong Buster.
Rudolf Vavruch
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.