记一次nginx程序漏扫升级

今天收到了一份服务器的漏扫报告，反馈服务器的nginx应用存在安全漏洞，需要升级nginx程序版本（程序升级只是修复安全漏洞的一部分，还有其他的操作，因为谈不上通用，文章中就不写了）。

我首先上网查了查报告中反馈的漏洞信息，确认了漏洞涉及的程序版本，再登录服务器执行 nginx -v 确定了服务器当前的版本，最终根据以上信息决定将服务器上的nginx升级到1.22.1版本（一个较新的，但不是最新的，保持兼容性，也尽量保障稳定性）。

接着执行升级前的备份。通过执行 nginx -T 命令确认nginx程序配置文件的位置；执行 nginx -V命令确定当前版本nginx编译使用的参数；执行 which nginx 命令确定nginx可执行程序的位置。使用cp命令对nginx程序文件和配置文件进行备份。

接下来就是下载nginx的升级包了。本次采用的是源码安装，从nginx官网下载了1.22.1版本的源码包，解压到/soft目录下，执行 tar -xzvf "源码包" 命令解压下载的安装包。

再下来就是编译安装，进入解压后的安装包目录，执行 ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module --with-pcre 命令，注意这里的配置参数“--prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module --with-pcre”都是刚刚通过执行 nginx -V命令查询到的。

不过这次比较可惜，初始化configure执行完成以后，执行 make 命令编译时报错了。我看了一下出错信息，报错都是和openssl相关的，提示没有找到相关的库文件，所以先执行 make clean 清除刚刚编译生成的临时文件，再次执行初始化configure命令时，增加了“--with-openssl=/usr/local/openssl/openssl-1.1.1q”参数。完整的命令是“./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module --with-pcre --with-openssl=/usr/local/openssl/openssl-1.1.1q”，其中/usr/local/openssl/openssl-1.1.1q是openssl程序的安装位置。

再执行 make 命令就没有出错了。先不着急执行 make install，先执行 systemctl stop nginx命令停止当前的nginx服务，然后再执行 make install， 之后执行 nginx -v命令确认nginx程序的版本是否已经更新，如果没有问题，使用 systemctl start nginx 命令启动nginx服务。

如果需要更新nginx的配置文件，更新nginx.conf文件后，先执行 nginx -t 命令检查配置文件的语法是否正确，没有问题的话再执行 systemctl reload nginx命令重新加载nginx的配置文件。

如果nginx程序升级后出现问题，可以还原之前备份的nginx应用程序或者nginx.conf配置文件，这样nginx应用就可以回退到之前的版本或配置。

这次升级nginx程序并没有采用“不停服务”升级的方式，主要是业务系统是5x8的，没有必要增加升级的复杂性。如果需要“不停服”升级nginx程序，大家可以参考网上的相关文章，这类操作其实还是非常成熟的。