1、背景信息

　　对于不同的操作系统，OpenSSL整改建议如下：

　　查询版本方法：

　　SuSE操作系统版本查询方法：

　　# cat /etc/SuSE-release

　　SUSE Linux Enterprise Server 11 (x86_64)

　　VERSION = 11

　　PATCHLEVEL = 1

　　OpenSSL版本查询方法：

　　linux:/ # rpm -qa | grep ssl

　　openssl-certs-0.9.8h-27.1.30

　　libopenssl0_9_8-0.9.8j-0.44.1

　　libopenssl0_9_8-32bit-0.9.8j-0.44.1

　　openssl-0.9.8j-0.44.1

　　将查询到的OpenSSL版本与对应操作系统建议升级的OpenSSL目标版本做比较，从左至右依次比较数字和字母，第一个出现的不同数字或字母较大的版本高(z>a)。示例中查询的OpenSSL版本为0.9.8j-0.44.1，低于openssl-0.9.8j-0.58.1版本，涉及整改。

　　2、OpenSSL升级前备份

　　如果考虑到升级后可能要回退，则需要对当前版本进行备份，正常情况下无需回退至老版本。

　　3、OpenSSL升级操作

　　操作步骤

　　①　创建“/opt/sslupdate”目录存放SSL补丁包。

　　linux: #mkdir –p /opt/sslupdate

　　linux:/opt/sslupdate #cd /opt/sslupdate

　　②　将与操作系统版本对应的补丁包上传至“/opt/sslupdate”目录下。

　　③　在“/opt/sslupdate”目录下解压tar类型的补丁包。

　　SUSE11:

　　linux:/opt/sslupdate#tarzxvfopenssl-0.9.8j-0.58.1.x86_64_suse11sp1.tar.gz

　　SUSE10:

　　linux:/opt/sslupdate#tarzxvfopenssl-0.9.8a-18.39.6.7009.2.PTF.880891.x86_64_suse10sp1sp2.tar.gz

　　④　执行补丁安装命令(此处以suse11为例)。

　　linux:/opt/sslupdate # cd openssl-0.9.8j-0.58.1.x86_64_suse11sp1

　　linux:/opt/sslupdate/openssl-0.9.8j-0.58.1.x86_64_suse11sp1# rpm -Uvh *.rpm

　　若升级前系统中未安装相应的包，则升级过程中不会对相应的补丁包进行安装。

　　⑤　检查升级后的SSL版本：

　　linux: # rpm -qa | grep readline

　　linux: # rpm -qa | grep ssl

　　如果显示包的版本与安装包的版本一致，则安装成功。

　　4、OpenSSL回退操作

　　SUSE10与SUSE11方法相同，(sslbackup为备份的原ssl版本信息目录)

　　①　进入suse11系统中OpenSSL的备份目录。

　　linux # cd /opt/sslbackup/x86_64/

　　linux:/opt/sslbackup/x86_64 # ls

　　②　安装备份的OpenSSL包。

　　linux:/opt/sslbackup/x86_64 # rpm -Uvh *.rpm --force

　　③　检查OpenSSL版本是否和之前一致。

　　linux:/opt/sslbackup/x86_64 # rpm -qa | grep openssl

　　linux:# cat /opt/sslbackup/ssl_version.txt //备份文件

　　如上示例显示OpenSSL版本已成功回退至0.9.8j-0.44.1。

本文是万方安全研究院原创文章，

转载请标明出处：http://www.dengjibaohu.org/dbzg/165.html