openssl版本升级 解决 cipher 加密的问题

今天碰到 SSL 加密算法的漏洞3DE的问题：

出现如下3DE 的都是有风险的：

   Name                          Code             KEX           Auth     Encryption             MAC
    ----------------------        ----------       ---           ----     ---------------------  ---
    EDH-RSA-DES-CBC3-SHA          0x00, 0x16       DH            RSA      3DES-CBC(168)          SHA1
    ECDHE-RSA-DES-CBC3-SHA        0xC0, 0x12       ECDH          RSA      3DES-CBC(168)          SHA1
先检查一下openssl 的版本：openssl version:

OpenSSL 1.0.2k-fips  26 Jan 2017

然后在查一下cippers 的情况： openssl ciphers -v | grep -i 3de 

发现确实有很多3DE 的：

同时check 了一下其他openssl 版本是

 openssl version
OpenSSL 1.1.1  11 Sep 2018

OK， 下面开始进行openssl 升级：

1.查看openssl版本

[root@node2 openssh-8.0p1]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
2.下载指定版本的openssl软件

在下面网址：https://www.openssl.org/source/下载 后面的版本号可以换

[root@node2 opt]# wget https://www.openssl.org/source/openssl-1.1.0k.tar.gz
3.编译安装

cd openssl-1.1.0k
./config shared zlib
make && make install
4.配置

[root@node2]# mv /usr/bin/openssl /usr/bin/openssl.bak
[root@node2]# mv /usr/include/openssl /usr/include/openssl.bak
[root@node2]#  find / -name openssl
[root@node2]# ln -s /usr/local/bin/openssl /usr/bin/openssl
[root@node2]# ln -s /usr/local/include/openssl /usr/include/openssl
root@node2]# echo "/usr/local/lib64/" >> /etc/ld.so.conf
[root@node2]# ldconfig 
[root@node2]# openssl version -a
5.验证

[root@node2 openssl-1.1.0k]# openssl version 
OpenSSL 1.1.0k  28 May 2019
--

注意：上面make 会报错：

/bin/sh: cc: command not found

解决方法：yum -y install gcc gcc-c++ libstdc++-devel

然后又报：fatal error zlib.h No such file or directory

解决方法：(29条消息) [问题已处理] fatal error zlib.h No such file or directory_爷来辣的博客-CSDN博客

 

wget http://www.zlib.net/zlib-1.2.11.tar.gz

tar zxvf zlib-1.2.11.tar.gz

cd zlib-1.2.11

./configure

make test

make install

构建共享库

make clean

./configure --shared

make test

make install

cp zutil.h /usr/local/include

cp zutil.c /usr/local/include

重新执行不会报错了

cd /tmp/openssl-1.0.2q/

./config shared zlib

make

make install
[root@node2]# mv /usr/bin/openssl /usr/bin/openssl.bak
[root@node2]# mv /usr/include/openssl /usr/include/openssl.bak
[root@node2]#  find / -name openssl
[root@node2]# ln -s /usr/local/bin/openssl /usr/bin/openssl
[root@node2]# ln -s /usr/local/include/openssl /usr/include/openssl
root@node2]# echo "/usr/local/lib64/" >> /etc/ld.so.conf
[root@node2]# ldconfig 
[root@node2]# openssl version -a

参考文档：

(29条消息) [问题已处理] fatal error zlib.h No such file or directory_爷来辣的博客-CSDN博客

Securing tomcat - OWASP （ 注意这个是解决 cipher 是 3DE 的关键）