全球主机交流论坛

标题: Nginx 平滑升级到 0.7.62版本（附更改header信息） [打印本页]

作者: cpuer 时间: 2009-10-17 18:53
标题: Nginx 平滑升级到 0.7.62版本（附更改header信息）
因为 VU#180065 vulnerability  漏洞：http://hostloc.gdisk.cf/thread-4868-1-1.html

使用0.7.61版本的最好升级到0.7.62版本，更安全些。

考虑到不少人使用的一键安装包，我就按照一键安装包的路径写下这个平滑升级的过程，路径不一样的自己修改。

下载nginx 0.7.62版本，解压进入解压目录，
wget http://sysoev.ru/nginx/nginx-0.7.62.tar.gz
tar zxvf nginx-0.7.62.tar.gz
cd nginx-0.7.62

------
如果要更改header信息的话，

vi src/core/nginx.h

#define NGINX_VERSION    "0.7.62"
#define NGINX_VER       "nginx/" NGINX_VERSION

上面的版本号和nginx自己修改
-------

编译
./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

make

切记不要make install

备份nginx 原文件
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old

复制编译make后的文件覆盖nginx原文件
cp objs/nginx /usr/local/nginx/sbin/nginx

检测nginx文件配置
/usr/local/nginx/sbin/nginx -t

把nginx.pid改成nginx.pid.oldbin 跟着启动新的nginx
kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`

退出旧的nignx
kill -QUIT `cat /usr/local/nginx/logs/nginx.pid.oldbin`

就这样，升级结束。

作者: junhan 时间: 2009-10-17 18:58
沙发支持````

去试一下

[ 本帖最后由 junhan 于 2009-11-30 14:44 编辑 ]

作者: cnx 时间: 2009-10-17 19:31
加分加分.
试试加分功能.

作者: gdtv 时间: 2009-10-17 19:34
貌似我以前升级过，完全按照第一次安装的方法重新安装一次就行，配置不会丢失

作者: ATOM 时间: 2009-10-17 19:42
升级成功.

作者: ATOM 时间: 2009-10-17 19:43
升级成功.

作者: gdtv 时间: 2009-10-17 19:59
广东人民发来贺电：升级成功

作者: qijingheng 时间: 2009-10-17 20:21
试试看，有点不会，

作者: qijingheng 时间: 2009-10-17 20:30
我下载了文件在这里/usr/local/src/nginx-0.7.62

下一步要怎么样啊.还是不会搞

作者: cpuer 时间: 2009-10-17 20:32

原帖由 junhan 于 2009-10-17 18:58 发表
沙发支持````
去试一下
-------------------------------------------------------------------------------
升级啦，
探针:http://dp.0532.in/tz.php

服务器解译引擎 nginx/0.7.62 呵呵。

作者: cpuer 时间: 2009-10-17 20:33

原帖由 cnx 于 2009-10-17 19:31 发表
加分加分.
试试加分功能.

作者: cpuer 时间: 2009-10-17 20:33

原帖由 gdtv 于 2009-10-17 19:34 发表
貌似我以前升级过，完全按照第一次安装的方法重新安装一次就行，配置不会丢失

也make install 了？那样不会造成配置文件被覆盖么？

作者: cpuer 时间: 2009-10-17 20:38

原帖由 gdtv 于 2009-10-17 19:59 发表
广东人民发来贺电：升级成功

呵呵，大伙都升级了呀。

作者: cpuer 时间: 2009-10-17 20:39

原帖由 qijingheng 于 2009-10-17 20:30 发表
我下载了文件在这里/usr/local/src/nginx-0.7.62

下一步要怎么样啊.还是不会搞

修改header头信息那块你可以不用看，按照顶楼的步骤做就行了。

作者: gdtv 时间: 2009-10-17 20:45

原帖由 cpuer 于 2009-10-17 20:33 发表

也make install 了？那样不会造成配置文件被覆盖么？

不会，不过不是平滑升级，要重启才行

作者: zyypp 时间: 2009-10-17 20:56
修正错误啊
C大你更改 header 信息位置错啦

如果要更改header信息的话，

vi src/core/nginx.h

#define NGINX_VERSION "0.7.62"
#define NGINX_VER "nginx/" NGINX_VERSION

上面的版本号和nginx自己修改

你写的那个位置是注释信息改了也应该没用的

应该改这里就可以了
src/http/ngx_http_header_filter_module.c

static char ngx_http_server_string[] = "Server: nginx" CRLF;
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;

[ 本帖最后由 zyypp 于 2009-10-17 20:58 编辑 ]

作者: qijingheng 时间: 2009-10-17 20:56
呵呵，OK
404 Not Found

--------------------------------------------------------------------------------

nginx/0.7.62

作者: cpuer 时间: 2009-10-17 21:01

原帖由 gdtv 于 2009-10-17 20:45 发表

不会，不过不是平滑升级，要重启才行

嗯，那就跟安装一个意思了

作者: cpuer 时间: 2009-10-17 21:06
标题: 回复 16# 的帖子
我改了在header里面查看是改后的，在header里面是成功的呢。

如你curl下 http://test.daigou.in/

[root@s ~]# curl -I http://test.daigou.in
HTTP/1.1 200 OK
Server: DGWS/0.8
Date: Sat, 17 Oct 2009 13:09:23 GMT
Content-Type: text/html
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/5.2.6
Set-Cookie: cd531_lastvisit=0%091255784963%09%2Findex.php%3F; expires=Sun, 17-Oct-2010 13:09:23 GMT; path=/
Set-Cookie: cd531_lastvisit=0%091255784963%09%2Findex.php%3F; expires=Sun, 17-Oct-2010 13:09:23 GMT; path=/
Set-Cookie: cd531_online=deleted; expires=Fri, 17-Oct-2008 13:09:22 GMT; path=/

作者: zyypp 时间: 2009-10-17 21:25
额你用探针看看

作者: zyypp 时间: 2009-10-17 21:26
我改的那个就是 nginx 的 header 文件啊看来又让C大发现另一处呵呵

作者: cpuer 时间: 2009-10-17 21:48

原帖由 zyypp 于 2009-10-17 21:25 发表
额你用探针看看

探针能看出来是nginx，只能伪装header不是nginx

作者: cpuer 时间: 2009-10-17 21:48

原帖由 zyypp 于 2009-10-17 21:26 发表
我改的那个就是 nginx 的 header 文件啊看来又让C大发现另一处呵呵

我的这个伪装得不够好，只能伪装header，你的连探针都能伪装

作者: miyug 时间: 2009-10-17 21:59
哈哈，我升级到0.8.18了

作者: cpuer 时间: 2009-10-17 22:00
标题: 回复 24# 的帖子
http://hs.daigou.in/

升级到服务器解译引擎 nginx/0.8.20 了

作者: freebsd 时间: 2009-10-17 22:34

原帖由 cpuer 于 2009-10-17 20:33 发表

也make install 了？那样不会造成配置文件被覆盖么？

升级nginx，不会覆盖配置文件

freebsd用port，升级到0.7.62 我刚弄了，不会覆盖
centos用直接网站上down的，0.8.20升级的，也不会覆盖。VPS上的系统

有些应用好像升级了会覆盖，得提前把配置拷贝出来

[ 本帖最后由 freebsd 于 2009-10-17 22:35 编辑 ]

作者: zyypp 时间: 2009-10-17 22:53

原帖由 freebsd 于 2009-10-17 22:34 发表

升级nginx，不会覆盖配置文件

freebsd用port，升级到0.7.62 我刚弄了，不会覆盖
centos用直接网站上down的，0.8.20升级的，也不会覆盖。VPS上的系统

有些应用好像升级了会覆盖，得提前把配置拷贝出来 ...

受教了呵呵

作者: zyypp 时间: 2009-10-17 22:54

原帖由 cpuer 于 2009-10-17 21:48 发表

我的这个伪装得不够好，只能伪装header，你的连探针都能伪装

探针伪装我没记错好像是改的另一个地方

作者: cpuer 时间: 2009-10-17 23:21

原帖由 freebsd 于 2009-10-17 22:34 发表

升级nginx，不会覆盖配置文件

freebsd用port，升级到0.7.62 我刚弄了，不会覆盖
centos用直接网站上down的，0.8.20升级的，也不会覆盖。VPS上的系统

有些应用好像升级了会覆盖，得提前把配置拷贝出来 ...

拷贝nginx.conf 还是啥？

作者: cpuer 时间: 2009-10-17 23:23

原帖由 zyypp 于 2009-10-17 22:54 发表

探针伪装我没记错好像是改的另一个地方

额，原来你发的那个也不能探针伪装呀，到底哪改，说说。

作者: zyypp 时间: 2009-10-17 23:29
标题: 回复 30# 的帖子
我没记错的话应该是 fcgi.conf
fastcgi_param SERVER_SOFTWARE xxx;

改xxx除

我记得当初试验时就改了这两处(这处和上面说的) 你试试

作者: cpuer 时间: 2009-10-17 23:41
标题: 回复 31# 的帖子
编译前编译后？

作者: zyypp 时间: 2009-10-17 23:55
fcgi.conf 这个是被指文件啊当然是便以后了 ⊙﹏⊙b汗

作者: cpuer 时间: 2009-10-18 00:35
标题: 回复 33# 的帖子
那还挺方便的啊。

作者: zyypp 时间: 2009-10-18 00:41
标题: 回复 34# 的帖子
额我正在郁闷我的 ssl 有问题了郁闷

objs/src/http/ngx_http_request.o: In function `ngx_http_ssl_servername':
/nginx-0.7.62/src/http/ngx_http_request.c:627: undefined reference to `SSL_get_servername'
/nginx-0.7.62/src/http/ngx_http_request.c:652: undefined reference to `SSL_set_SSL_CTX'
collect2: ld returned 1 exit status
make[1]: *** [objs/nginx] Error 1
make[1]: Leaving directory `/nginx-0.7.62'
make: *** [build] Error 2

郁闷啊没法用ssl

[ 本帖最后由 zyypp 于 2009-10-18 00:45 编辑 ]

作者: cpuer 时间: 2009-10-18 11:15
标题: 回复 35# 的帖子
编译的时候有加上--with-http_ssl_module么？你还买SSL玩了

作者: zyypp 时间: 2009-10-18 11:21
标题: 回复 36# 的帖子
当然加了就是加了报的错以前编译都没事这回不知道怎么回事重装openssl 也不行只能把这个去掉了郁闷
我没买
不过可以自己生成只是没有人家的ca认证而已嘿嘿
不过自己生成的不影响自己使用嘿嘿

作者: cpuer 时间: 2009-10-18 11:53
标题: 回复 37# 的帖子
IE和firefox会警告吧，自己生成的话。

作者: zyypp 时间: 2009-10-18 12:46
我在家里用的没事呵呵

作者: cpuer 时间: 2009-10-18 21:29
标题: 回复 39# 的帖子
我还是不玩SSL了，又不做商务站点。

作者: zyypp 时间: 2009-10-18 21:59
标题: 回复 40# 的帖子
做商务站那就买 ssl 不过这用自己做的可以加密连接呵呵

作者: cpuer 时间: 2009-10-19 08:45

原帖由 zyypp 于 2009-10-18 21:59 发表
做商务站那就买 ssl 不过这用自己做的可以加密连接呵呵

Kloxo的7777就是SSL了哈，找免费试用15天的。

作者: zyypp 时间: 2009-10-19 10:59
标题: 回复 42# 的帖子
呵呵偶不用面板地嘿嘿

作者: cpuer 时间: 2009-10-19 11:19
标题: 回复 43# 的帖子
可以找免费试用SSL的地方。

作者: zyypp 时间: 2009-10-19 11:25
标题: 回复 44# 的帖子
(⊙o⊙)哦

作者: zyypp 时间: 2009-10-19 12:27
⊙﹏⊙b汗
刚发现
编译nginx 时
开启debug和关闭debug
生成的文件大小差别好大啊
开启的时候生成为3.5M
关闭的时候生成为496K
（默认开启的）

呵呵

作者: cpuer 时间: 2009-10-19 13:10
标题: 回复 46# 的帖子
呵呵，听说过了，我没实践呢，

编译前，
关闭debug模式来减少nginx大小
vi auto/cc/gcc
# 最后几行sheft+g
#注释这行
#CFLAGS=”$CFLAGS -g”

作者: xiejiji 时间: 2009-10-19 13:16
懒的更新。。。

作者: cpuer 时间: 2009-10-19 13:27
标题: 回复 48# 的帖子
比我还懒

作者: zyypp 时间: 2009-10-19 14:16

原帖由 cpuer 于 2009-10-19 13:10 发表
呵呵，听说过了，我没实践呢，
编译前，
关闭debug模式来减少nginx大小
vi auto/cc/gcc
# 最后几行sheft+g
#注释这行
#CFLAGS=”$CFLAGS -g”

我中午发帖前才试验过呵呵

作者: zyypp 时间: 2009-10-19 14:16
标题: 回复 48# 的帖子
又一个懒人嘿嘿

作者: zyypp 时间: 2009-10-21 22:09

原帖由 zyypp 于 2009-10-18 00:41 发表
额我正在郁闷我的 ssl 有问题了郁闷

objs/src/http/ngx_http_request.o: In function `ngx_http_ssl_servername':
/nginx-0.7.62/src/http/ngx_http_request.c:627: undefined reference to `SSL_get_servername ...

终于找到原因了
因为之前装东西时手动替换过 libssl.so.0.9.8 这个文件
替换回来就一切正常了
郁闷为了解决这个追溯了几天我之前的安装和测试记录才发现