我到处搜索,但找不到一种无需重新编译即可升级 Apache 的简单方法。我安装了httpd24这说明,但无法弄清楚如何用 httpd24 替换 httpd。
有没有办法更新存储库并使用 yum 来处理 Apache 升级?
作为生产服务器,我想让事情变得简单,以便可以自动应用安全补丁。
我能够将 OpenSSL 升级到版本 1.1.0。
促使我升级的原因:我希望服务器能够保持最新的安全状态。我还在 www.ssllabs.com/ssltest/ 上努力争取 A+ 分数。我目前在 A。我看到以下 2 条消息:该网站仅在支持 SNI 的浏览器中运行。和客户端不支持 > 1024 位的 DH 参数。DHParameters (4096) 在服务器中创建,但是...
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
...在 Apache 2.4.6 中不起作用,我不想将其添加到站点 ssl 证书,因为它会由 Let's Encrypt 自动更新。
答案1
Red Hat/CentOS 通常通过将这些更改向后移植到以前的版本来对软件进行更新(即更新当前版本但不更改实际版本号)。 httpd-2.4.6 是 CentOS 7 的 httpd 的最新可用“版本”。
查看公告列表,CentOS 7 上 httpd 的最新更新为CESA-2016:1422。
请点击链接,特别是转到相应的 Red Hat 勘误表,然后转到 CVE 部分以获取1353755。如果您阅读 bugzilla 报告,您将看到这些最新修复已应用于 Red Hat/CentOS 的 httpd-2.4.6.40。它还提到 ASF 计划在 2.4.24 中解决这些问题。
最新的 Apache httpd 是2.4.23。鉴于此,如果您在 CentOS 7 上运行 httpd-2.4.6-40,则您拥有适用于 CentOS 7 的最新、最好的 httpd 版本。
答案2
RE:在 www.ssllabs.com/ssltest/ 上获得 A+ 我缺少此选项:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
因此,要获得 A+ 分数,请将所有这些参数添加到 /etc/httpd/conf/httpd.conf
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"