全部产品
Search
文档中心

升级 ECS OpenSSL

更新时间: 2018-01-12

为了确保 OpenSSL 的安全,建议云上用户升级 ECS 的 OpenSSL 版本到官方最新版本。本文介绍了具体的升级方法。

升级 ECS OpenSSL

连接到 ECS 实例,打开 shell 运行命令行。

使用源更新 OpenSSL

  • 对于阿里云的 Linux/CentOS 服务器,以 root 权限运行以下命令:
    1. sudo yum update openssl
  • 对于 Ubuntu Server/Debain 服务器,以 root 权限运行以下命令:
    1. sudo apt-get update
    2. sudo apt-get upgrade

使用编译安装更新 OpenSSL

下载最新版本 OpenSSL(以 openssl-1.1.0e 为例)。

注意:以下编译升级操作存在风险,建议由专业技术人员来操作。

以 root 权限运行以下命令:

  1. wget https://www.openssl.org/source/openssl-1.1.0e.tar.gz
  2. tar zxvf openssl-1.1.0e.tar.gz
  3. cd openssl-1.1.0e
  4. ./config shared zlib
  5. make
  6. make install
  7. # 替换旧版 OpenSSL
  8. mv /usr/bin/openssl /usr/bin/openssl.old
  9. mv /usr/include/openssl /usr/include/openssl.old
  10. ln -s /usr/local/bin/openssl /usr/bin/openssl
  11. ln -s /usr/local/include/openssl/ /usr/include/openssl

检查 OpenSSL 版本

以 root 权限运行 openssl version -a 命令,系统会返回 OpenSSL 版本信息,如下所示。

  1. OpenSSL 1.1.0e 16 Feb 2017
  2. built on: reproducible build, date unspecified
  3. platform: linux-x86_64
  4. compiler: gcc -DZLIB -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DOPENSSLDIR="\"/usr/local/ssl\"" -DENGINESDIR="\"/usr/local/lib/engines-1.1\"" -Wa,--noexecstack
  5. OPENSSLDIR: "/usr/local/ssl"
  6. ENGINESDIR: "/usr/local/lib/engines-1.1"

了解更多:OpenSSL 官方漏洞信息公告