Come reinstallare una versione intermedia dal sorgente?


2

Sto cercando di creare un server di test vulnerabile all'attacco Heartbleed. Ho installato apache24; il problema è duplice:
- FreeBSD viene fornito con OpenSSL 0.9.8 (non vulnerabile)
- Se installo utilizzando le porte, riceverò l'ultima versione di OpenSSL (non vulnerabile)

Ho il tar dal sito OpenSSL per la versione 1.0.1f (vulnerabile), ma mi chiedo come installarlo sulla mia macchina virtuale FreeBSD.

Requisiti per il controllo:
- per favore dimmi come disinstallare la versione inclusa di default (0.9.8)
- per favore dimmi come installare OpenSSL 1.0.1f in seguito

Risposte:


1

Ci sono diversi modi per costruire un FreeBSD server di test vulnerabile a heartbleed :

  1. Installazione di FreeBSD 10.0

    FreeBSD 9.x e 8.x stanno arrivando OpenSSL 0.9.x. D'altra parte, la versione base FreeBSD 10.0 Viene con OpenSSL 1.0.1e . Quindi potrebbe essere più semplice ottenere una versione 10.0, installarla e alcuni pacchetti: avrai un server di prova in ore se non in minuti.

  2. Installazione di un OpenSSL personalizzato con apache24 che lo usa

    per quanto riguarda FreeBSD & Lt; 10.0, non vi è alcun vero punto nel rimuovere la versione inclusa di default di OpenSSL dal sistema base, come devi solo fare il tuo apache24 punto di installazione verso l'installazione privata di openssl-1.0.1f.

    • ottenere le fonti OpenSSL 1.0.1f (o precedenti) dal ufficiale OpenSSL posto

    • assicurati di averlo perl installato, come è necessario per costruire OpenSSL

    • costruire un costume OpenSSL (da installare in /usr/local come farebbero le porte):

      # sh ./config --prefix=/usr/local
      # make
      # make install
      

    Sii consapevole questa è un'installazione personalizzata senza traccia o registro per gli strumenti di gestione dei pacchetti.

    • crea / aggiungi al tuo /etc/make.conf la seguente riga:

      WITH_OPENSSL_PORTS=yes
      
    • quindi installare o reinstallare gli altri moduli ( devel/apr1, www/apache24, ...)

    • puoi controllare libssl usato da apache24 (in effetti l'apache24 mod_ssl modulo):

      # ldd /usr/local/libexec/apache24/mod_ssl.so |grep ssl 
      /usr/local/libexec/apache24/mod_ssl.so:
              libssl.so.8 => /usr/local/lib/libssl.so.8 (0x801634000)
      

      L'apache24 mod_ssl ora sta usando l'abitudine OpenSSL libreria da /usr/local.


Come affermato in (2): questo non è necessario per rendere vulnerabile un sistema di test FreeBSD ed è un compito estremamente dispendioso in termini di tempo, in particolare per le persone che non hanno familiarità con la procedura.

  • Rimozione del valore predefinito OpenSSL dal sistema di base (non necessario)

    Per rimuovere davvero OpenSSL dal sistema di base, devi ricostruirlo e perderai openSSH e Kerberos (e forse alcuni altri). Questo è un processo molto lungo e dovresti seguire la procedura ufficiale accuratamente.

    • Ottieni le tue fonti di sistema (da installare o tramite sovversione)
    • crea il tuo /etc/src.conf con la seguente linea (per saperne di più: man src.conf ):

      WITHOUT_OPENSSL=yes
      
    • ricostruire il sistema di base (potrebbe essere necessario ricostruire il kernel se i sorgenti non sono sincronizzati con la versione corrente del sistema), in breve: make buildworld e make installworld ( maggiori informazioni qui ).

    Potrebbe essere necessario pulire il OpenSSL file manualmente.


La tua risposta è devoto , quindi grazie; Non avevo nemmeno preso in considerazione l'installazione di FreeBSD 10.0, quindi sembra il modo più semplice.
user2738698

Mi ci è voluto un po 'per mettere tutto giù, ma ho fatto quel genere di cose per anni ed è stato doloroso vederti in difficoltà;)
Ouki
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.