Heartbleed und nginx

Der Heartbleed-Bug in OpenSSL wurde zur genüge durch alle Medien beackert.
Auch meine Webserver waren hiervon betroffen (natürlich), daher musste ein neues
Kompilat vom nginx her. Debain hatte zu dem Zeitpunkt seine Repositories für libssl-dev
noch nicht aktualisiert, daher habe ich nginx direkt gegen die aktuellen OpenSSL Sourcen
kompiliert.

Hier mein aktueller configure Aufruf, zum einen zur Dokumentation für mich, zum anderen falls
jemand ihn mal braucht…

./configure --prefix=/usr/local/nginx --sbin-path=/usr/local/sbin/nginx 
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log 
--http-log-path=/var/log/nginx/access.log --user=nginx --group=nginx 
--with-http_ssl_module --with-openssl=/usr/src/openssl 
--with-http_spdy_module --pid-path=/var/run/nginx.pid --with-http_geoip_module 
--with-ipv6 --add-module=/usr/src/nginx/ngx_http_auth_pam_module


Zur Erklärung: Zum einen setze ich die benötigten Pfade, damit meine
Version dieselben Pfade nutzt wie das Debain Paket. Ich aktiviere ausserdem
das SPDY Protokoll, sowie das GEOIP Protokoll, um Besucher aus Ländern, aus
denen ich ohnehin keinen Besuch erwarte direkt wegzublocken.
Da nginx von Haus aus keine Authentifizierung unterstützt, binde ich noch das
das AUTH_PAM Modul ein, dazu schreibe ich mal noch was.

Um mir das Aktualisieren von nginx zu erleichtern habe ich mir ein kleines
Update Script gebaut. Nicht schön, aber funktioniert. Wenn eine neue Version
erscheint, muss einfach nur die Versionnummer im Skript geändert werden. Das
Skript lädt die aktuelle Version herunter und kompiliert alles.

#!/bin/bash

VERS="1.5.12"

cd /usr/src/
rm nginx
wget http://nginx.org/download/nginx-$VERS.tar.gz
tar xfz nginx-$VERS.tar.gz
rm nginx-$VERS.tar.gz
ln -s nginx-$VERS nginx
cd /usr/src/nginx
mkdir /usr/src/nginx/ngx_http_auth_pam_module
cd /usr/src/nginx/ngx_http_auth_pam_module
wget https://github.com/r10r/ngx_http_auth_pam_module/archive/master.zip
unzip -j /usr/src/nginx/ngx_http_auth_pam_module/master.zip
rm /usr/src/nginx/ngx_http_auth_pam_module/master.zip -f

./configure --prefix=/usr/local/nginx --sbin-path=/usr/local/sbin/nginx 
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log 
--http-log-path=/var/log/nginx/access.log --user=nginx --group=nginx 
--with-http_ssl_module --with-openssl=/usr/src/openssl 
--with-http_spdy_module --pid-path=/var/run/nginx.pid --with-http_geoip_module 
--with-ipv6 --add-module=/usr/src/nginx/ngx_http_auth_pam_module
make

echo "If everything went well start make install"

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.