จะอัพเกรด OpenSSL 1.1.0 เป็น 1.1.1 ใน Ubuntu 18.04 ได้อย่างไร?

ฉันใช้งานเซิร์ฟเวอร์ที่ติดตั้ง Ubuntu 18 แล้ว เมื่อเร็ว ๆ นี้ฉันพบว่าเว็บแอปพลิเคชันของฉันไม่ได้รับอนุญาตในไฟร์วอลล์บางตัวที่ติดตั้งในตำแหน่งลูกค้า

ฉันพบว่าเซิร์ฟเวอร์ของฉันกำลังสื่อสารที่TLSv1.0, TLSv1.1, TLSv1.2โปรโตคอลฉันคิดว่าการตั้งค่าไฟร์วอลล์อนุญาตให้สื่อสารกับเซิร์ฟเวอร์บนTLSv1.3โปรโตคอลเท่านั้น

เนื่องจาก Ubuntu 18 มาพร้อมกับOpenSSL version 1.1.0และเพื่อให้การสนับสนุนเซิร์ฟเวอร์TLS v1.3ฉันต้องอัพเกรด OpenSSL version 1.1.1ซึ่งเป็นเวอร์ชั่นล่าสุด

เนื่องจากนี่เป็นเซิร์ฟเวอร์ที่ใช้งานจริงที่ใช้งานกับnginxเซิร์ฟเวอร์ฉันไม่ต้องการทดลองใช้งานโดยตรงบนเซิร์ฟเวอร์

root@energy-prod:~# nginx -v
nginx version: nginx/1.14.0 (Ubuntu)

วิธีที่ดีที่สุดในการอัพเกรด OpenSSL เป็น v1.1.1 โดยไม่รบกวนการตั้งค่าอื่น ๆ ของเซิร์ฟเวอร์คืออะไร

18.04 upgrade openssl

— ดอลลาร์
แหล่งที่มา

FYI: » OpenSSL 1.1.1 SRU เป็น Bionic « lists.ubuntu.com/archives/ubuntu-devel/2018-December/…ในระหว่างนี้ให้พูดคุยกับผู้ติดต่อที่เกี่ยวข้องซึ่งเป็นผู้ดูแลการกำหนดค่าไฟร์วอลล์ขอความต้องการ / คำแนะนำ / สละ ฉันสงสัยว่าคุณเป็นคนเดียวที่ทำงาน 18.04 และมีปัญหานี้หรือฉันคิดว่าไม่รองรับ TLS 1.3 ณ เวลานี้เป็นปัญหาเนื่องจากยังค่อนข้างใหม่และตรงข้ามกับคำสั่งของคุณฉันอ่านว่ามันยังทำให้เกิดปัญหากับบางคน มิดเดิลบ็อกซ์ แต่คุณจะไม่ทราบว่าคุณไม่ถามหรือไม่

— LiveWireBT

การอัพเกรดจะไม่สามารถทำได้จนกว่า SRU นั้นจะผ่านไป มีเพียงสิ่งมากเกินไปที่ขึ้นอยู่กับ OpenSSL เพื่อทำการอัปเกรดด้วยตัวเองเพราะอาจทำให้ทุกอย่างเสียหาย

— โธมัสวอร์ด

ในที่สุดbugs.launchpad.net/ubuntu/+source/openssl/+bug/1797386อยู่ในความคืบหน้าในขณะนี้

— Tino

หมายเหตุ : ตั้งแต่ ~ สิงหาคม 2019, openSSL 1.1.1 จะพร้อมใช้งานสำหรับการติดตั้งผ่านการอัพเกรด / ติดตั้งแพ็คเกจปกติสำหรับ 18.04 หรือคุณสามารถดาวน์โหลดแพคเกจ .deb โดยตรงจากที่นี่

อ้างอิงจากเว็บไซต์ OpenSSL :

เวอร์ชั่นล่าสุดที่เสถียรคือซีรี่ย์ 1.1.1 นี่เป็นเวอร์ชันการสนับสนุนระยะยาวของเรา (LTS) จนถึงวันที่ 11 กันยายน 2566

เนื่องจากนี่ไม่ได้อยู่ในที่เก็บ Ubuntu ปัจจุบันคุณจะต้องดาวน์โหลดรวบรวมและติดตั้ง OpenSSL เวอร์ชันล่าสุดด้วยตนเอง

ด้านล่างนี้เป็นคำแนะนำในการปฏิบัติตาม:

เปิดเทอร์มินัล ( Ctrl+ Alt+ t)
ดึง tarball: wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
แกะ tarball ออกด้วย tar -zxf openssl-1.1.1a.tar.gz && cd openssl-1.1.1a
./configออกคำสั่ง
ออกคำสั่งmake(คุณอาจต้องเรียกใช้sudo apt install make gccก่อนที่จะเรียกใช้คำสั่งนี้ได้สำเร็จ)
เรียกใช้make testเพื่อตรวจสอบข้อผิดพลาดที่อาจเกิดขึ้น
สำรอง openssl ไบนารีปัจจุบัน: sudo mv /usr/bin/openssl ~/tmp
sudo make installออกคำสั่ง
สร้างลิงก์สัญลักษณ์จากการติดตั้งไบนารีใหม่ไปยังตำแหน่งเริ่มต้น:
```
sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
```
รันคำสั่งsudo ldconfigเพื่ออัพเดต symlinks และสร้างไลบรารีแคชใหม่

สมมติว่าไม่มีข้อผิดพลาดในการดำเนินการตามขั้นตอนที่ 4 ถึง 10 คุณควรติดตั้ง OpenSSL เวอร์ชันใหม่สำเร็จ

อีกครั้งจาก terminal terminal ออกคำสั่ง:

openssl version

ผลลัพธ์ของคุณควรเป็นดังนี้:

OpenSSL 1.1.1a  20 Nov 2018

— เควินโบเวน
แหล่งที่มา

เกี่ยวกับ "ณ วันที่ ~ มิถุนายน 2019, openSSL 1.1.1 ควรพร้อมใช้งานสำหรับการติดตั้งผ่านการอัพเกรด / ติดตั้งแพ็คเกจปกติ": อย่าเพิ่งสังเกตว่านี่ไม่ได้เป็นกรณีใน Ubuntu 18.04 (อย่างน้อยในสองเครื่องที่ฉันลอง ) ...

— logidelic

@logidelic ที่น่าสนใจ ขอบคุณสำหรับการชี้ให้เห็นว่า ฉันจะจดบันทึกสิ่งนั้น ระบบหลักของฉันคือ 19.04 และฉันมีอนุพันธ์ (Mint) สองตัวจากไบโอนิค (18.04) ที่ได้รับ backport แล้ว เห็นได้ชัดว่าlaunchpad.net/ubuntu/+source/openssl/1.1.1-1ubuntu2.1 ~ 18.04.4มันอาจจะเป็นเพียงแค่ 'เสนอ' 'หรือมีอยู่เป็นแหล่งที่มาใน 18.04 ฉันไม่แน่ใจสถานะ

— Kevin Bowen

ทำงานกับ Debian Jessie เช่นกัน ใช้ 1.1.1c เนื่องจากเป็นรุ่นเดียวกันใน Buster

— Rudolf Vavruch