openssl-devel和openssl 是什么具體關(guān)系

bclly

如題，想請(qǐng)教一下三個(gè)包，是什么具體關(guān)系？     是否存在依賴關(guān)系？   

openssl-devel-1.0.0-27.el6.x86_64

mod_ssl-2.2.15-26.el6.x86_64

openssl-1.0.0-27.el6.x86_64


今天在RHEL 6.4和6.5上升級(jí)  OpenSSH 和 OpenSSL 時(shí)候發(fā)現(xiàn)  rpm -qa|grep ssl  之后出現(xiàn)3個(gè)包，就不清楚怎么升級(jí)了：是都要卸載還是光卸載openssl-1.0.0-27.el6.x86_64就行了？

目前最新版的OpenSSL是openssl-1.0.1i.tar.gz (http://www.openssl.org/source/)  但是沒有找到openssl-devel的安裝包

chenyx

-devel的安裝包一般是開發(fā)軟件的包,用于編譯的時(shí)候連接的庫(kù)之類的文件
你說的那個(gè)tar.gz一般是源碼包,需要自己編譯安裝的

phanx

回復(fù) 1# bclly


    Redhat在封裝openssl的時(shí)候，把openssl分成了幾個(gè)部分，執(zhí)行碼部分就是 openssl-1.0.0-27.el6.x86_64 這種包。
openssl-devel-1.0.0-27.el6.x86_64 這個(gè)就是包含了頭文件，頭文件參考，某些庫(kù)文件等跟開發(fā)相關(guān)的東西。

mod_ssl-2.2.15-26.el6.x86_64 這個(gè)不是open ssl 本身的東西，是apache的模塊。

你在http://www.openssl.org/source/上下載的源碼編譯安裝后得到的東西就是openssl-1.0.0-27.el6.x86_64和openssl-devel-1.0.0-27.el6.x86_64這兩個(gè)包加在一起的內(nèi)容。


另外，OpenSSL是分系列的，每個(gè)系列下再分版本 a b c d e。。。。

目前常用的是 0.9.8  1.0.0  1.0.1 三個(gè)系列。

RHEL 6.4 是openssl 1.0.0 系列的版本。
RHEL 6.5 是 openssl 1.0.1 系列的版本。

Redhat 提供的openssl升級(jí)包的版本一般是    openssl-1.0.0-27.el6.X.x86_64.rpm 這種。   Redhat 會(huì)把OpenSSL發(fā)布的補(bǔ)丁整合到現(xiàn)有版本中去，叫做backport。

例如，RHEL 6.4 目前的最新的OpenSSL就是2014-06-05發(fā)布的 openssl-1.0.0-27.el6_4.4.x86_64.rpm 和 openssl-devel-1.0.0-27.el6_4.4.x86_64.rpm
         RHEL 6.5 則是2014-08-13發(fā)布的 openssl-1.0.1e-16.el6_5.15.x86_64.rpm 和 openssl-devel-1.0.1e-16.el6_5.15.x86_64.rpm。

因?yàn)椴煌�系列的OpenSSL，存在的安全漏洞或者BUG不一定相同，所以版本要根據(jù)系列來判斷。

當(dāng)然，如果你愿意手動(dòng)編譯安裝openssl，那么也可以，只是注意相關(guān)軟件的依賴。

bclly

回復(fù) 2# chenyx


    謝謝告知！我在RHEL 6.4 上用命令：rpm -e openssl-1.0.0-27.el6.x86_64 --nopeds
卸載了openssl-1.0.0-27.el6.x86_64 之后，編譯安裝了官方下載的：openssl-1.0.1i.tar.gz 包，測(cè)試和安裝都沒有錯(cuò)誤發(fā)生，安裝完成也查看版本號(hào)是相符的；但重啟之后系統(tǒng)卡在灰色進(jìn)度條處，不會(huì)動(dòng)！這個(gè)讓我搞不懂，幸好還沒有到生產(chǎn)主機(jī)執(zhí)行。
能幫忙是什么具體情況嗎？  是不是不能卸載已有的openssl包，而要直接編譯安裝最新版？

附上我編譯和安裝的日志：

mke_openssl.rar (25.57 KB, 下載次數(shù): 25)

2014-08-14 22:26 上傳

點(diǎn)擊文件名下載附件

bclly

回復(fù) 3# phanx


    謝謝你的詳細(xì)解答！

還有個(gè)問題要請(qǐng)教：
在安裝新版openssl時(shí)候是不是不需要卸載已有的版本，直接編譯安裝新版本就行了？

我今天下午在RHEL 6.4上 卸載了(rpm -e 命令)openssl-1.0.0-27.el6.x86_64  包，之后再編譯安裝了官方最新的openssl-1.0.1i.tar.gz，整個(gè)編譯、測(cè)試和安裝過程都沒有報(bào)錯(cuò)，安裝完成 openssl version -a 也顯示為1.0.1i 但是我reboot之后，系統(tǒng)就卡在灰色進(jìn)度條讀條處，無(wú)法繼續(xù)啟動(dòng)，這個(gè)問題很棘手。

能不能幫忙看看是什么問題？

我主要是想升級(jí) 心臟出血漏洞。


另外，我在RHEL 6.5上查看了原生ssl版本：

[root@RHELS65 ~]# rpm -qa|grep ssl
openssl098e-0.9.8e-17.el6_2.2.x86_64
openssl-1.0.1e-15.el6.x86_64

這會(huì)出現(xiàn)兩個(gè)openssl的包，這個(gè)是怎回事？


[root@RHELS65 ~]# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Fri Sep 27 10:09:12 EDT 2013
platform: linux-x86_64

phanx

回復(fù) 5# bclly


    你看過心臟出血漏洞的公告沒有？ openssl 0.9.8和1.0.0 這兩個(gè)系列是不受影響的，受影響的是1.0.1系列。
    RHEL 6.4 的openssl 是1.0.0 系列的，RHEL 6.5的才是 1.0.1 系列的。

當(dāng)然有其它的安全問題，升級(jí)是可以的。    但是最好使用原來的系列，這樣可以避免版本變化帶來的依賴問題。  

RHEL 6.5 上帶了兩個(gè)系列的OpenSSL。0.9.8 和 1.0.1 , 0.9.8用以兼容老的程序?qū)τ?.9.8系列openssl的依賴。   openssl098e-0.9.8e-17.el6_2.2.x86_64 就是OpenSSL 0.9.8。

phanx

回復(fù) 4# bclly


    附送你RHEL 6.5的OpenSSL升級(jí)包。 openssl-1.0.1e-16.el6_5.15.rar (2.49 MB, 下載次數(shù): 145)

2014-08-15 09:57 上傳

點(diǎn)擊文件名下載附件

bclly

回復(fù) 6# phanx


    好的，謝謝告知！

另外：那意思是不用卸載原來的版本，直接編譯安裝對(duì)應(yīng)系列的新版？

目前官網(wǎng)最新是1.0.1i 的

phanx

回復(fù) 8# bclly


   對(duì)于RHEL 6.5， openssl-1.0.1e-16.el6_5.15 這個(gè)版本就是包含了 OpenSSL 官網(wǎng)上 1.0.1i 這個(gè)版本的安全漏洞修復(fù)，例如針對(duì) CVE-2014-3508 的。
  對(duì)于RHEL的上游補(bǔ)丁發(fā)布修復(fù)后，Redhat并不會(huì)去改變當(dāng)前包含的軟件的基礎(chǔ)版本號(hào)，只是把這上游發(fā)布的補(bǔ)丁，應(yīng)用到當(dāng)前版本中去，并且提供當(dāng)前版本的修復(fù)版。
  這叫做backport。 也就是說你在RHEL 6.5上安裝我提供的RPM包后，和你自己從OpenSSL官網(wǎng)上下載1.0.1i編譯安裝，從安全漏洞修復(fù)上來講，是一樣的。
  雖然Redhat提供的包版本看起來仍然是 openssl-1.0.1e ，但是，注意openssl-1.0.1e-16.el6_5.15 才說明了這個(gè)包的修訂號(hào)，和你RHEL 6.5安裝時(shí)的自帶的OpenSSL版本是有區(qū)別的。

  

  如果你搞不清楚這些關(guān)系，又實(shí)在是想自己編譯，請(qǐng)不要輕易去卸載系統(tǒng)自帶的包。
  你可以重新編譯OpenSSL，但建議安裝到其它路徑,例如編譯的時(shí)候加入選項(xiàng) --prefix=/usr/local/openssl
  這樣，你可以使用/usr/local/openssl 中的OpenSSL 而不是系統(tǒng)自帶的。
  如果你還想更新其它依賴OpenSSL的軟件，讓它使用你新編譯的OpenSSL，那么在這些軟件編譯的時(shí)候，一般都有選項(xiàng) --with-openssl ,
  你只需要在這個(gè)選項(xiàng)中指向你的新的OpenSSL即可，例如 --with-openssl=/usr/local/openssl

bclly

回復(fù) 9# phanx

      很感謝你的耐心回答！收益良多��！