CentOS7升级openssl

一 系统环境

公司服务器等保要求，修复openssl的高危漏洞。

本机使用centos7.9系统，openssl版本是1.0.2k，计划升级到1.1.1q

在执行下列操作前，务必要打快照做好备份，以防升级失败引起的生产事故。

因为openssl属于非常基础的服务，可能影响实际生产中的许多服务，因此建议先在同一业务下的测试环境升级，经过验证后服务未受影响，则在生产环境操作。

二 操作步骤

1.安装依赖

yum install -y gcc gcc-c++ autoconf automake zlib zlib-devel pcre-devel
1

2.下载源码包并解压

wget https://www.openssl.org/source/openssl-1.1.1q.tar.gz
tar xzf openssl-1.1.1q.tar.gz 
cd openssl-1.1.1q
1
2
3

3.编译安装

./config
make && make install
1
2

安装完之后openssl可执行文件的位置在/usr/local/bin/目录下。

4.配置lib库

echo "/usr/local/lib64/" >> /etc/ld.so.conf
ldconfig
1
2

5.备份旧版本openssl

mv /usr/bin/openssl /usr/bin/openssl.bak
1

6.将新版本openssl链接到/usr/bin

ln -s /usr/local/bin/openssl /usr/bin/openssl
1

三 版本检查

最后执行openssl version -a 可以查看升级后的新版本。

运维初步验证：检查ssh服务是否可以正常使用。

systemctl restart sshd
1

然后先新开一个会话窗口（当前操作的远程连接会话不要关闭，以防止出现问题后无法远程ssh连接），检查能否ssh连接上服务器，如果没有问题，说明openssl升级后对当前业务环境下的ssh服务无影响；最后由开发人员去验证该主机关联的业务是否正常。