RedhatLinux6.5-OpenSSL升级安装步骤

RedhatLinux6.5-OpenSSL升级安装步骤

各位朋友，2014年4月8日，OpenSSL发布公告，因为一个叫心脏出血的漏洞，全世界绝大多数现网服务器面临威胁，不管是LINUX还是WNDOWS，这里提供大家Redhat Linux 6.5的修复办法和RPM包，因为使用网上下载的源代码编译安装后，所有使用OpenSSL的相关应用全部都起不来，直接报.so文件调用失败，看来红帽子是有什么定制的内容在里面。

没办法，找到红帽子的源代码盘，与网上下载的OpenSSL1.0.1g进行混合，一步步解决Patch冲突问题，修订部分openssl.spec的冲突和错误，经过几个小时的奋斗，终于成功生成.rpm包，经测试在Redhat Linux 6.5上完全升级成功，如果需要用于其他版本的Redhat Linux，请大家自行测试。

因为现网系统，升级可不是小事，并且openssl可是核心模块，很多应用程序都需要调用，升级完成要多做测试，确保所有应用都没有问题才行。并且现网的平台很多都是通过

4A系统访问管理，4A平台连接主机只有SSH方式，一旦升级有问题，SSH也是无法启动的（SSH也调用openssl），就再也无法连接主机了，必须去机房！所以必须先弄一个备份连接，那就只能先把Telnet弄起来吧。

具体如何弄Telnet，我就不想多说了，本文并不是Telnet的安装操作手册，并且还有可能涉及到主机防火墙的配置，所以如何起动Telnet，并且测试能够通过4A平台访问，这是自己的事情，也许还有可能你们的4A平台不支持Telnet，但支持其他方式（虽然这种情况很少见，不支持Telnet的4A平台我还没见过），你就需要使用其他方式来建一个备份连接方式，防止SSH升级有问题，无法再连接主机。

我的步骤是考虑到现网系统的特殊性的，并不是自己在家玩，自己在家玩，怎么玩都行！但现网系统可不能乱玩。

一、在家里用一台测试机升级，试验。

a) 从现网备份OpenSSL的相关系统配置，拿回来备用，主要是以下几个：

i./etc/pki/CA目录下面的所有文件

ii./etc/pki/tls目录下面的所有文件

b) 先删除旧版本，以免出现安装冲突

#rpm -qa|grep openssl

一般是有两个，然后一个个删除

#rpm -e openssl --nodeps

#rpm -e openssl-devel --nodeps

c) 安装新版本

#rpm -ivh openssl-1.0.1g-1.el6.x86_64.rpm --nodeps

#rpm -ivh openssl-devel-1.0.1-1.el6.x86_64.rpm --nodeps

其他的都可以不安装。

d) 从本机上找到第1步从现网备份的文件，将f与备份的文件比较，找出

现网修改的地方，主要是关注现网取消掉注释的语句，与本机的文件比较差异。然

后修改本机上的文件，与现网配置匹配（其实最简单是直接用现网文件就行）。

e) 其他文件，直接用现网的取代就行，配置文件修改完成后，试着重启SSH服务，

并检查启动结果是否正常

#service sshd restart

f) 找另一台机器，使用SSH登录已升级的主机，看是否能够正常使用，一般情况下，

只要服务起动不报错，就是没有问题的。

g) 其他需要检查的服务，根据现网设备的用途不一样，如APACHE服务、TOMCAT

服务等等，这就不谈了，大家自己去验证。

如果以上测试没问题，下一步就是去现网操作了。

二、现网操作

a) 使用Telnet登录到主机操作，不能用SSH了，因为要重启SSH进行验证。

b) 登录现网主机后，按家里测试机上的步骤进行升级，因为/etc/pki目录中是包含主

机的密钥、配置等相关信息的，并且每台设备都有可能不一样，所以必须每一台都

做好备份！！切记！！升级好后一定要恢复这些数据！！

c) 现网系统升级后，使用4A平台通过SSH来登录进行验证，如果登录成功，恭喜，

你已经部分过关了。

d) 再次对其他应用进行重启验证，检查有没有异常。

e) 一般应用只要能启动，就不会有什么问题，如果有不能启动的，那就比较复杂了，

因为应用太多，我只对SSH、APACHE、TOMCAT进行了验证，其他有问题大家

多交流补充。

友情提供一下Telnet的方法吧：

打开telnet服务

//修改设置文件/etc/xinetd.d/telnet中disable字段改为no。

修改/etc/xinetd.d/krb5-telnet 中disable字段改为no。

启动服务 #service xinetd restart。

临时修改文件

因为不能直接root telnet登陆，所以需要修改一下文件，请将/etc/securetty文件改名保存，等我们确认升级完成SSH，停止Telnet的时候，再改回来。记住一定要改回来，不然又是一个大漏洞，通不过安全

扫描的。执行mv /etc/securetty /etc/securetty.bak命令即可，这样就可以使用root 用户登录来完成升级操作。

关闭telnet服务

修改设置文件/etc/xinetd.d/telnet中disable字段改为yes。

启动服务#service xinetd restart。

改回文件：mv /etc/securetty.bak /etc/securetty

这里，提供我自己制作的RPM包，相信大家看到这才松口气吧，说了半天，其实这才是重点，安装方案老手早就知道了。

/s/1jGgbpjw

百度网盘分享！里面有OpenSSL相关的内容，有需要的就下载吧。