openssl-devel和openssl 是什么具体关系

bclly

如题，想请教一下三个包，是什么具体关系？     是否存在依赖关系？   

openssl-devel-1.0.0-27.el6.x86_64

mod_ssl-2.2.15-26.el6.x86_64

openssl-1.0.0-27.el6.x86_64


今天在RHEL 6.4和6.5上升级  OpenSSH 和 OpenSSL 时候发现  rpm -qa|grep ssl  之后出现3个包，就不清楚怎么升级了：是都要卸载还是光卸载openssl-1.0.0-27.el6.x86_64就行了？

目前最新版的OpenSSL是openssl-1.0.1i.tar.gz (http://www.openssl.org/source/)  但是没有找到openssl-devel的安装包

chenyx

-devel的安装包一般是开发软件的包,用于编译的时候连接的库之类的文件
你说的那个tar.gz一般是源码包,需要自己编译安装的

phanx

回复 1# bclly


    Redhat在封装openssl的时候，把openssl分成了几个部分，执行码部分就是 openssl-1.0.0-27.el6.x86_64 这种包。
openssl-devel-1.0.0-27.el6.x86_64 这个就是包含了头文件，头文件参考，某些库文件等跟开发相关的东西。

mod_ssl-2.2.15-26.el6.x86_64 这个不是open ssl 本身的东西，是apache的模块。

你在http://www.openssl.org/source/上下载的源码编译安装后得到的东西就是openssl-1.0.0-27.el6.x86_64和openssl-devel-1.0.0-27.el6.x86_64这两个包加在一起的内容。


另外，OpenSSL是分系列的，每个系列下再分版本 a b c d e。。。。

目前常用的是 0.9.8  1.0.0  1.0.1 三个系列。

RHEL 6.4 是openssl 1.0.0 系列的版本。
RHEL 6.5 是 openssl 1.0.1 系列的版本。

Redhat 提供的openssl升级包的版本一般是    openssl-1.0.0-27.el6.X.x86_64.rpm 这种。   Redhat 会把OpenSSL发布的补丁整合到现有版本中去，叫做backport。

例如，RHEL 6.4 目前的最新的OpenSSL就是2014-06-05发布的 openssl-1.0.0-27.el6_4.4.x86_64.rpm 和 openssl-devel-1.0.0-27.el6_4.4.x86_64.rpm
         RHEL 6.5 则是2014-08-13发布的 openssl-1.0.1e-16.el6_5.15.x86_64.rpm 和 openssl-devel-1.0.1e-16.el6_5.15.x86_64.rpm。

因为不同系列的OpenSSL，存在的安全漏洞或者BUG不一定相同，所以版本要根据系列来判断。

当然，如果你愿意手动编译安装openssl，那么也可以，只是注意相关软件的依赖。

bclly

回复 2# chenyx


    谢谢告知！我在RHEL 6.4 上用命令：rpm -e openssl-1.0.0-27.el6.x86_64 --nopeds
卸载了openssl-1.0.0-27.el6.x86_64 之后，编译安装了官方下载的：openssl-1.0.1i.tar.gz 包，测试和安装都没有错误发生，安装完成也查看版本号是相符的；但重启之后系统卡在灰色进度条处，不会动！这个让我搞不懂，幸好还没有到生产主机执行。
能帮忙是什么具体情况吗？  是不是不能卸载已有的openssl包，而要直接编译安装最新版？

附上我编译和安装的日志：

mke_openssl.rar (25.57 KB, 下载次数: 25)

2014-08-14 22:26 上传

点击文件名下载附件

bclly

回复 3# phanx


    谢谢你的详细解答！

还有个问题要请教：
在安装新版openssl时候是不是不需要卸载已有的版本，直接编译安装新版本就行了？

我今天下午在RHEL 6.4上 卸载了(rpm -e 命令)openssl-1.0.0-27.el6.x86_64  包，之后再编译安装了官方最新的openssl-1.0.1i.tar.gz，整个编译、测试和安装过程都没有报错，安装完成 openssl version -a 也显示为1.0.1i 但是我reboot之后，系统就卡在灰色进度条读条处，无法继续启动，这个问题很棘手。

能不能帮忙看看是什么问题？

我主要是想升级 心脏出血漏洞。


另外，我在RHEL 6.5上查看了原生ssl版本：

[root@RHELS65 ~]# rpm -qa|grep ssl
openssl098e-0.9.8e-17.el6_2.2.x86_64
openssl-1.0.1e-15.el6.x86_64

这会出现两个openssl的包，这个是怎回事？


[root@RHELS65 ~]# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Fri Sep 27 10:09:12 EDT 2013
platform: linux-x86_64

phanx

回复 5# bclly


    你看过心脏出血漏洞的公告没有？ openssl 0.9.8和1.0.0 这两个系列是不受影响的，受影响的是1.0.1系列。
    RHEL 6.4 的openssl 是1.0.0 系列的，RHEL 6.5的才是 1.0.1 系列的。

当然有其它的安全问题，升级是可以的。    但是最好使用原来的系列，这样可以避免版本变化带来的依赖问题。  

RHEL 6.5 上带了两个系列的OpenSSL。0.9.8 和 1.0.1 , 0.9.8用以兼容老的程序对于0.9.8系列openssl的依赖。   openssl098e-0.9.8e-17.el6_2.2.x86_64 就是OpenSSL 0.9.8。

phanx

回复 4# bclly


    附送你RHEL 6.5的OpenSSL升级包。 openssl-1.0.1e-16.el6_5.15.rar (2.49 MB, 下载次数: 145)

2014-08-15 09:57 上传

点击文件名下载附件

bclly

回复 6# phanx


    好的，谢谢告知！

另外：那意思是不用卸载原来的版本，直接编译安装对应系列的新版？

目前官网最新是1.0.1i 的

phanx

回复 8# bclly


   对于RHEL 6.5， openssl-1.0.1e-16.el6_5.15 这个版本就是包含了 OpenSSL 官网上 1.0.1i 这个版本的安全漏洞修复，例如针对 CVE-2014-3508 的。
  对于RHEL的上游补丁发布修复后，Redhat并不会去改变当前包含的软件的基础版本号，只是把这上游发布的补丁，应用到当前版本中去，并且提供当前版本的修复版。
  这叫做backport。 也就是说你在RHEL 6.5上安装我提供的RPM包后，和你自己从OpenSSL官网上下载1.0.1i编译安装，从安全漏洞修复上来讲，是一样的。
  虽然Redhat提供的包版本看起来仍然是 openssl-1.0.1e ，但是，注意openssl-1.0.1e-16.el6_5.15 才说明了这个包的修订号，和你RHEL 6.5安装时的自带的OpenSSL版本是有区别的。

  

  如果你搞不清楚这些关系，又实在是想自己编译，请不要轻易去卸载系统自带的包。
  你可以重新编译OpenSSL，但建议安装到其它路径,例如编译的时候加入选项 --prefix=/usr/local/openssl
  这样，你可以使用/usr/local/openssl 中的OpenSSL 而不是系统自带的。
  如果你还想更新其它依赖OpenSSL的软件，让它使用你新编译的OpenSSL，那么在这些软件编译的时候，一般都有选项 --with-openssl ,
  你只需要在这个选项中指向你的新的OpenSSL即可，例如 --with-openssl=/usr/local/openssl

bclly

回复 9# phanx

      很感谢你的耐心回答！收益良多！！