Ubuntu 18.04'te OpenSSL 1.1.0'ı 1.1.1'e nasıl yükseltebilirim?


17

Ubuntu 18 kurulu bir üretim sunucusu çalıştırıyorum. Son zamanlarda, web uygulamamın müşteri yerinde yüklü bazı güvenlik duvarlarında izin verilmediğini gördüm.

Sunucumun TLSv1.0, TLSv1.1, TLSv1.2protokollerde iletişim kurduğunu fark ettim , güvenlik duvarı ayarının TLSv1.3sadece protokolde sunucuyla iletişime izin verdiğini varsayıyorum .

Ubuntu 18 ile birlikte gönderildikçe OpenSSL version 1.1.0ve sunucu desteği TLS v1.3sağlamak version 1.1.1için en son sürüm olan OpenSSL'yi yükseltmem gerekiyor .

Bu sunucu çalışan bir üretim sunucusu nginxolduğundan, doğrudan sunucuda hiçbir şey denemek istemiyorum.

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

Sunucunun diğer ayarlarını bozmadan OpenSSL'yi v1.1.1'e yükseltmenin en iyi yolu nedir?


2
Bilginize: »OpenSSL 1.1.1 SRU Bionic'e « lists.ubuntu.com/archives/ubuntu-devel/2018-Aralık/… Bu arada güvenlik duvarı yapılandırmasından sorumlu ilgili kişiyle görüşün, gereksinimleri / önerileri isteyin / feragat. 18.04 çalıştıran ve bu soruna sahip olan tek kişi olduğunuzdan şüpheliyim ya da şu anda TLS 1.3'ü desteklememenin sorun olduğunu düşünüyorum, çünkü hala oldukça yeni ve ifadenizin aksine hala bazı sorunlara neden olduğunu okudum ama istemediğinizi öğrenemezsiniz.
LiveWireBT

2
Bu SRU geçene kadar yükseltme mümkün olmayacaktır. Yükseltmeyi kendiniz yapmak için OpenSSL'ye bağlı çok fazla şey var, çünkü her şeyi kırabilir.
Thomas Ward

1
Sonunda bugs.launchpad.net/ubuntu/+source/openssl/+bug/1797386 şimdi Sürüyor olduğunu
Tino

Yanıtlar:


35

NOT : ~ Ağustos 2019 itibarıyla openSSL 1.1.1, 18.04 normal paket yükseltmeleri / kurulumları ile kuruluma hazır olmalıdır. Veya, doğrudan .deb paketini indirebilirsiniz burada .


Göre OpenSSL web :

En son kararlı sürüm 1.1.1 serisidir. Bu aynı zamanda 11 Eylül 2023'e kadar desteklenen Uzun Süreli Destek (LTS) sürümümüzdür.

Bu, mevcut Ubuntu depolarında olmadığından, en son OpenSSL sürümünü manuel olarak indirmeniz, derlemeniz ve yüklemeniz gerekecektir.

Takip edilecek talimatlar aşağıdadır:

  1. Bir terminal açın ( Ctrl+ Alt+ t).
  2. Tarball getir: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
  3. Tarball'ı ambalajından çıkarın tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
  4. Komutu verin ./config.
  5. Komutu verin make( sudo apt install make gccBu komutu başarıyla çalıştırmadan önce çalıştırmanız gerekebilir ).
  6. make testOlası hataları kontrol etmek için çalıştırın .
  7. Yedekleme akımı openssl ikili: sudo mv /usr/bin/openssl ~/tmp
  8. Komutu verin sudo make install.
  9. Yeni kurulum ikili dosyasından varsayılan konuma sembolik bağlantı oluşturun:
    sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
    
  10. sudo ldconfigSembolik bağlantıları güncelleme ve kütüphane önbelleğini yeniden oluşturma komutunu çalıştırın .

4-10 arasındaki adımların yürütülmesinde herhangi bir hata olmadığını varsayarsak, yeni OpenSSL sürümünü başarıyla yüklemiş olmanız gerekir.

Yine, terminal sorunundan komut:

openssl version

Çıktınız aşağıdaki gibi olmalıdır:

OpenSSL 1.1.1a  20 Nov 2018

1
"~ Haziran 2019 itibarıyla, openSSL 1.1.1 normal paket yükseltmeleri / kurulumları yoluyla kurulmaya hazır olmalıdır": Ubuntu 18.04 (en azından denediğim iki makinede bunun böyle görünmediğine dikkat edin) ) ...
logidelic

@logidelic İlginç. Bunu işaret ettiğiniz için teşekkürler. Bunu not edeceğim. Ana sistemlerim 19.04 ve zaten backport almış biyonik (18.04) bazlı bir çift türev (Mint) var. Görünüşe göre, launchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1~18.04.4 yine de sadece 'önerilebilir' veya 18.04'te kaynak olarak kullanılabilir. Durumdan gerçekten emin değilim.
Kevin Bowen

Debian Jessie üzerinde de çalıştı. 1.1.1c, Buster'da aynı sürüm olduğundan kullanılır.
Rudolf Vavruch
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.