nginx平滑升级完整版

最新推荐文章于 2025-05-14 17:22:53 发布
原创 最新推荐文章于 2025-05-14 17:22:53 发布
· 2k 阅读 · 5 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #linux

nginx平滑升级完整版

前言:因公司漏洞扫描发现高危漏洞,要求修复漏洞

nginx resolver 释放后重利用漏洞(CVE-2016-0746)修复,拿到这个漏洞的时候整个人都是懵的,wc,我才两年多Java开发工作经验需要我升级服务器漏洞?心里一万头cnm在奔腾…好吧,即使再不情愿也需要修复…只能在网上找了一大堆博客做出总结。

目录

提示:以下是本篇文章正文内容,下面案例可供参考

一、什么是nginx resolver 释放后重利用漏洞(CVE-2016-0746)?

nginx是一款使用非常广泛的高性能web服务器。 ==nginx 1.8.1之前版本、1.9.10之前的1.9.x版本中==,resolver存在释放后重利用漏洞。 远程攻击者通过CNAME响应处理相关的构造的DNS响应,可造成worker进程崩溃, 拒绝服务。虽然介绍就这样么写的,还给我提供了厂商补丁包: 厂商补丁: Nginx

Nginx已经为此发布了一个安全公告(049700)以及相应补丁:
049700:nginx security advisory (CVE-2016-0742, CVE-2016-0746,
CVE-2016-0747)
链接:http://mailman.nginx.org/pipermail/nginx/2016-January/049700.html
补丁链接:https://trac.nginx.org/nginx/changeset/93d70d87914c350948ab70
1cc99569680320e198/nginx,通过链接打开一开,我又懵了,这都是啥,我的天,于是我就看详情描述,被我捕捉到关键字nginx 1.8.1之前版本、1.9.10之前的1.9.x版本中,意思就是说nginx1.8.1和1.9.19是不存在漏洞,接下来相信大家都知道怎么做了,就是升级呗,来上干货。

二、升级nginx-1.8.1

1.准备工作
提前准备好安装包nginx-1.8.1.tar.gz
下载地址:http://nginx.org/en/download.html
点击nginx-1.8.1下载首先cd /tmp
在tmp新建一个文件夹
mkdir nginx
通过XShell等连接工具上传至nginx文件夹并解压
tar -zxvf nginx-1.8.1.tar.gz

在这里插入图片描述
接下来先查看当前nginx版本
/usr/local/nginx/sbin/nginx -V

我这边是刚升级完,所有版本是1.8.1

在这里插入图片描述
在编译安装之前查看nginx进程ID信息:
ps -ef |grep nginx

在这里插入图片描述
1.编译安装:这里需要注意如果你是root账号升级安装的话是不需要指定用户和组的
例如:./configure --with-http_realip_module就可以了,这里./configure后面输入的就是你之前nginx版本信息中的configure arguments

如果你需要指定用户编译安装例如www用户
支持ssl 支持pcre 支持状态查询 支持静态压缩模块等执行如下命令
./configure --user=www --group=www --prefix=/usr/local/nginx/ --with-pcre --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module

这里需要说明,具体需要支持什么功能还是要查看之前nginx配置的信息

2.查看是否编译成功
echo $? ,返回0则代表成功

3.echo $?成功后直接执行make

4.再次查看是否执行成功
echo $?

5.平滑升级,把编译安装好的nginx启动文件替换旧的文件

mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old

再把新的文件copy过去
cp /tmp/nginx/nginx-1.8.1/objs/nginx /usr/local/nginx/sbin/nginx

6.kill掉之前老版本nginx进程
kill -USR2 cat /usr/local/nginx/nginx.pid
kill -QUIT cat /usr/local/nginx/nginx.pid.oldbin

7.没报错就代表成功查看nginx的版本
/usr/local/nginx/sbin/nginx -V

在这里插入图片描述

至此nginx就已经升级完毕,第一次写博客,各位大佬多多包涵,
如有什么问题可在评论中提出。

DZDZDZ丶
关注
Nginx 平滑升级原理分析和实验
一个认真学习的女孩子的博客
01-23 1726
TERM, INT:立刻退出QUIT:等待工作进程结束后再退出KILL:强制终止进程HUP:重新加载配置文件,使用新的配置启动工作进程,并逐步关闭旧进程。USR1:重新打开日志文件USR2:启动新的主进程master,实现热升级WINCH:逐步关闭worker工作进程实现的步骤:1、首先使用nginx -V查看nginx现有的编译参数2、然后下载好要更新的源码包,上传到服务器中,然后使用make命令编译,编译时用--with添加要使用的模快,--without。
Nginx:安装部署和升级平滑升级
二次源的博客
01-03 1117
Nginx是一个高性能的HTTP和反向代理web服务器,是运维中十分常用的中间件,本篇文章将介绍Nginx的安装部署和升级平滑升级
NGINX 类漏洞 整理记录
04-06 6414
简单介绍NGINX: Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。 其特点是占有内存少,并发能力强,nginx的并发能力在同类型的网页服务器中表现较好。主要应用在百度,淘宝等高并发请求情形。 漏洞: 1.NGINX解析漏洞 (1)Nginx文件名逻辑漏洞(CVE-2013-4547) 影响版本:Nginx0.8.41~1.4.3 / 1.5.0~1.5.7 漏洞原理:主要原因是nginx错误的..
Nginx 解析漏洞
m0_65150886的博客
10-18 996
Nginx (engine x) 是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
nginx版本升级
最新发布
linux
05-14 536
【代码】nginx版本升级
nginx升级
weixin_60847913的博客
09-30 2999
输入命令:cp /root/nginx-1.22.7/objs/nginx /usr/local/nginx/sbin/nginx。在之前一段时间,发现nginx1.8存在漏洞,所以需要将nginx进行升级。10、验证是否可以使用:在浏览器输入nginx的 ip:port。输入命令:/usr/local/nginx/sbin/nginx -V。这样在最新版本nginx的目录下会多出来一个objs目录,如下图所示。者进入nginx目录的sbin下执行:。进入到解压后的最新版nginx目录,输入命令。
nginx1.8.1(稳定版本) ngixn.conf 配置文件详解一
zhouzhiwengang的专栏
04-16 4404
#定义Nginx运行的用户和用户组 user www www; #nginx进程数,建议设置为等于CPU总核心数。 worker_processes 8; #全局错误日志定义类型,[ debug | info | notice | warn | error | crit ] error_log ar/loginx/error.log info; #进程文件 pid ar/runinx.
Nginx工作原理和优化、漏洞。
weixin_30457065的博客
05-16 201
1. Nginx的模块与工作原理 Nginx由内核和模块组成,其中,内核的设计非常微小和简洁,完成的工作也非常简单,仅仅通过查找配置文件将客户端请求映射到一个location block(location是Nginx配置中的一个指令,用于URL匹配),而在这个location中所配置的每个指令将会启动不同的模块去完成相应的工作。 Nginx的模块从结构...
详解CentOS系统中Nginx平滑升级方法及关键步骤
02-21
内容概要:本文档详细描述了在CentOS 7.6环境下对Nginx从1.10.2平滑升级到1.20.1的方法和具体步骤。主要包括检查现有配置和依赖项、备份原始程序、编译与替换新版本以及执行无间断重启以确保不影响在线服务的一系列...
1分钟搞定Nginx版本的平滑升级与回滚的方法
09-29
平滑升级和回滚是Nginx管理中的关键操作,确保服务在升级过程中不会中断,如果出现问题也能快速恢复到原有状态。本文将详细讲解如何在1分钟内完成Nginx平滑升级与回滚。 首先,我们来看一下环境介绍。在这个例子...
nginx平滑升级了解一下。
wdwangye的博客
08-05 453
nginx平滑升级 平滑升级是什么: 在线上业务不停止的情况下,进行nginx升级 过程简述: 在不影响老进程运行情况下启动新进程。 老进程负责处理还没有处理完的请求,但不在接受新的处理请求。 此时新进程接受处理新的请求。 当老进程处理完所有请求后,关闭所有连接后停止运行。 原理: 多进程模式下的请求分配方式 nginx默认工作在多进程模式下,就是在进程启动完成配置加载和端口绑定等动作后,fork出指定数量的工作 进程,这些子进程会持有监听端口文件描述符(fd)并通过在该描述上添加监听事件来
Nginx最新0day
weixin_30343157的博客
09-02 1138
昨晚黑锅在微博上发了老外爆的Nginx漏洞,开始并没几个人关注,小我马上架环境测试验证了,我人品好随手在网上试了两个网站也验证了这个漏洞,于是乎马上就在微博上传开了。 这个漏洞是7月20日发的,老外做了非常详细的分析,大家可以深入参考: https://nealpoole.com/blog/2011/07/possible-arbitrary-code-execution-with-nu...
Nginx 安全漏洞(CVE-2022-3638)处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
11-28 1万+
漏洞描述如下:nginx中发现的该漏洞会影响涉及IPv4连接断开的ngx_resolver.c文件某些未知处理过程,攻击者利用该漏洞在发起远程攻击,导致这个过程中触发内存泄漏。从发布的版本看,1.23.2版本并没有标明修复CVE-2022-3638漏洞,但看文件已经删除了下列代码,最好使用补丁编译。:该主机上Nginx为从其他主机整体打包后拷贝过来,启动运行的,后来升级时发现很多依赖项并未安装;2)下载后,将补丁覆盖源码包,重新编译或直接用1.23.2版本重新编译。
nginx 拒绝服务漏洞(CVE-2016-4450)
qq_39496099的博客
05-28 2895
nginx 拒绝服务漏洞(CVE-2016-4450) 一、漏洞报告 以上漏洞一般都并发存在,原因是nginx版本问题。受影响的版本有: Nginx Nginx 1.11 Nginx Nginx 1.10 Nginx Nginx 1.9.10 Nginx Nginx 1.9.9 Nginx Nginx 1.8.1 Nginx Nginx 1.3.16 Nginx Nginx 1.3.15 Nginx Ngi 二、修复建议 http://nginx.org/en/download.html 下载贴合自己环境
nginx常见漏洞解析_nginx漏洞,你有过迷茫吗
2301_76225520的博客
04-03 2043
3.查看效果,确实可以有效消除CRLF的影响。
nginx常见漏洞解析_nginx漏洞,2024年最新蚂蚁金服网络安全架构面试题
2401_83621541的博客
04-15 1494
中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。但是在开发使用过程中也不乏官方程序自身的一些安全问题。我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于中间件安全的重视程度与了解程度,只谈发现漏洞后如何处理,便是一团乱。开发商推卸说这并不是代码上的问题,他们完全是按照安全开发流程(SDL)走的,所以跟他无关。
深入浅出带你学习Nginx中间件常见漏洞
Spontaneous_0的博客
02-13 1353
深入浅出带你学习Nginx中间件常见漏洞
Nginx解析漏洞复现
热门推荐
钟言的博客
01-28 1万+
本篇为Nginx的解析漏洞复现,详细内容包含了搭建环境 复现过程 漏洞原理及防范同时包含了配置过程中出现的问题以及解决方案等等。
Nginx详解,漏洞复现,基线检查
qq_66934029的博客
01-06 1881
我们常说的代理也就是只正向代理,正向代理的过程,它隐藏了真实的请求客户端,服务端不知道 真实的客户端是谁,客户端请求的服务都被代理服务器代替来请求,某些科学上网工具扮演的就是典型 的正向代理角色。示例5:禁止对于特定目录的所有访问,注意给目录设置时要把目录后面的 / 加上,否则会出现意料之外的匹 配,如给 /test/ 目录设置时如果没写最后的 / 那么他会匹配到 /test、/test1、/testuser 等等的 以 /test 开头的内容。确保你的Nginx服务器运行的是最新版本。
nginx平滑升级
04-29
<think>好的,用户想了解如何进行Nginx平滑升级以及注意事项。我需要先整理一下之前提供的引用内容,看看有哪些关键步骤和注意点。 首先,根据引用[1],平滑升级的方法主要是向原Nginx主进程发送HUP信号,这样可以重新启动工作进程,同时继续使用旧版本的配置文件。但这里可能有点混淆,因为引用[4]提到的是USR2信号来启动新版本,然后使用WINCH信号逐步停止旧进程。需要确认正确的信号使用方式。 再看引用[2],里面提到两种方案,用户关注的是第二种,即平滑升级。步骤包括编译新版本、替换二进制文件、发送信号。引用[3]给出了具体的命令示例,比如解压、配置、编译安装,这可能涉及覆盖旧版本的可执行文件吗?或者是否需要将新版本的安装路径分开? 引用[4]详细描述了信号的使用流程:USR2启动新服务,WINCH停止旧的工作进程,之后可能需要发送QUIT信号来完全关闭旧的主进程。这里需要注意的是,新旧版本会同时运行一段时间,确保新版本没问题后再关闭旧的。 接下来需要综合这些信息,整理出步骤清晰的流程。首先,用户需要下载新版本的Nginx源码,进行编译,注意配置参数要与旧版本一致,这点在注意事项里很重要,否则可能出现兼容问题。然后,替换二进制文件,通常是将新编译的nginx文件复制到旧版本的安装目录下。接着,发送USR2信号给旧的主进程,启动新进程。此时,系统会有两个主进程,旧的和新的。确认新版本运行正常后,发送WINCH信号给旧的主进程,让其优雅停止工作进程。如果出现问题,可以回滚,即重新使用旧进程并reload。 注意事项方面,必须确保编译时的参数一致,包括模块,否则新版本可能缺少必要的功能。同时,每一步都要检查nginx的状态,使用nginx -v或nginx -V查看版本和参数。此外,备份旧版本二进制文件也是关键,以便快速回滚。还有,升级过程中要监控服务状态,确保没有请求丢失。 用户可能的疑问点包括信号的具体作用,如何验证配置参数是否一致,以及回滚的具体步骤。需要把这些细节清晰地呈现出来,避免用户操作时出错。同时,要强调测试的重要性,建议在测试环境先演练一遍,再在生产环境操作。 最后,生成的相关问题应该围绕升级后的验证、常见错误处理、参数对比方法等,帮助用户全面了解平滑升级的各个方面。</think>### Nginx平滑升级方法与注意事项 #### **一、平滑升级方法** 1. **准备新版本源码包** 下载新版本Nginx源码并解压: ```bash wget http://nginx.org/download/nginx-x.x.x.tar.gz tar zxvf nginx-x.x.x.tar.gz ``` 2. **编译新版本** 进入源码目录,**确保编译参数与原版本一致**(可通过 `nginx -V` 查看旧版本参数)[^3]: ```bash cd nginx-x.x.x ./configure --prefix=/usr/local/nginx --user=www --with-http_ssl_module # 其他参数需与旧版本一致 make # 仅编译,不执行make install ``` 3. **替换二进制文件** 备份旧版本二进制文件,替换为新编译的 `objs/nginx`: ```bash cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old cp objs/nginx /usr/local/nginx/sbin/nginx ``` 4. **发送信号触发升级** - 向旧主进程发送 `USR2` 信号,启动新版本主进程[^4]: ```bash kill -USR2 $(cat /usr/local/nginx/logs/nginx.pid) ``` - 向旧主进程发送 `WINCH` 信号,逐步关闭旧工作进程: ```bash kill -WINCH $(cat /usr/local/nginx/logs/nginx.pid.oldbin) ``` 5. **验证与回滚** - 确认新版本运行正常后,关闭旧主进程: ```bash kill -QUIT $(cat /usr/local/nginx/logs/nginx.pid.oldbin) ``` - 若需回滚,向旧主进程发送 `HUP` 信号重启旧进程,并强制终止新进程[^1]。 --- #### **二、注意事项** 1. **编译参数一致性** 必须通过 `nginx -V` 检查旧版本配置参数,确保新版本编译时包含所有原有模块(如缺少 `--with-http_ssl_module` 会导致HTTPS失效)[^3]。 2. **备份与版本验证** - 操作前备份配置文件和二进制文件。 - 升级后执行 `nginx -v` 和 `nginx -t` 验证版本及配置语法[^1]。 3. **信号操作顺序** 必须按 `USR2` → `WINCH` → `QUIT` 顺序发送信号,避免服务中断[^4]。 4. **并行运行风险** 新旧版本会短暂并行运行,需监控资源占用情况(如内存、CPU)。 5. **回滚预案** 保留旧版本二进制文件,若新版本异常,可通过旧文件快速回滚[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值