Как переустановить промежуточную версию из источника?

Question

Я пытаюсь создать тестовый сервер, уязвимый для атаки Heartbleed. Я установил Apache24; проблема двоякая:
- FreeBSD поставляется с OpenSSL 0.9.8(не уязвим)
- если я установлю с использованием портов, я получу последнюю версию OpenSSL(не уязвима)

У меня есть tar с сайта OpenSSL для версии 1.0.1f(уязвимый), но мне интересно, как установить его на мою виртуальную машину FreeBSD.

Требования к проверке:
- подскажите пожалуйста, как удалить включенную по умолчанию версию (0.9.8)
- подскажите пожалуйста как установить OpenSSL 1.0.1f потом

Answer 1

Существует довольно много способов создать тестовый сервер FreeBSD, уязвимый для heartbleed:

1. Установка FreeBSD 10.0

   FreeBSD 9.x и 8.x идут с OpenSSL 0.9.x. С другой стороны, базовая версия FreeBSD 10.0 поставляется с OpenSSL 1.0.1e. Так что может быть проще получить 10.0 релиз, установить его и несколько пакетов: у вас будет тестовый сервер за несколько часов, если не минут.

   • получить базовую версию FreeBSD 10.0

   • установка FreeBSD 9.x и выше

2. Установка пользовательского OpenSSL с apache24 с его использованием

   Что касается FreeBSD <10.0, то нет смысла удалять версию OpenSSL, включенную по умолчанию, из базовой системы, поскольку вам просто нужно установить точку установки apache24 в направлении вашей частной установки openssl-1.0.1f.

   • получить исходники OpenSSL 1.0.1f (или более ранние) с официального сайта OpenSSL

   • убедитесь, что у вас установлен perl , так как он необходим для сборки OpenSSL

   • создайте пользовательский OpenSSL (для установки в /usr/local как это делают порты):

     # sh ./config --prefix=/usr/local
     # make
     # make install
     

   Имейте в виду, что это пользовательская установка без трассировки или журнала для инструментов управления пакетами.

   • создайте / добавьте в ваш /etc/make.conf следующую строку:

     WITH_OPENSSL_PORTS=yes
     

   • затем установите или переустановите другие модули (devel/apr1 , www/apache24 , ...)

   • Вы можете проверить libssl, используемый apache24 (фактически модуль apache24 mod_ssl ):

     # ldd /usr/local/libexec/apache24/mod_ssl.so |grep ssl 
     /usr/local/libexec/apache24/mod_ssl.so:
             libssl.so.8 => /usr/local/lib/libssl.so.8 (0x801634000)
     

     Apache24 mod_ssl теперь использует пользовательскую библиотеку OpenSSL из /usr/local .

---

Как указано в (2): это не обязательно для создания уязвимой тестовой системы FreeBSD, и это чрезвычайно трудоемкая задача, особенно для людей, не знакомых с процедурой.

• Удаление OpenSSL по умолчанию из базовой системы (необязательно)

  Чтобы действительно удалить OpenSSL из базовой системы, вам нужно пересобрать его, и вы потеряете openSSH и Kerberos (и, возможно, некоторые другие). Это действительно долгий процесс, и вы должны тщательно следовать официальной процедуре .

  • Получите ваши системные источники (от установки или через Subversion)

  • создайте ваш /etc/src.conf со следующей строкой (чтобы узнать больше: man src.conf):

    WITHOUT_OPENSSL=yes
    

  • пересобрать базовую систему (вам может понадобиться пересобрать ядро, если исходные коды не синхронизированы с текущей версией системы), короче: make buildworld и make installworld (более подробную информацию здесь).

  Вам может потребоваться очистить файлы OpenSSL вручную.