Existem algumas maneiras de criar um servidor de teste FreeBSD vulnerável a heartbleed :
-
Instalando o FreeBSD 10.0
FreeBSD 9.xe 8.x estão vindo com o OpenSSL 0.9.x. Por outro lado, a versão base do FreeBSD 10.0 vem com o OpenSSL 1.0.1e . Portanto, pode ser mais fácil obter uma versão 10.0, instalá-la e alguns pacotes: você terá um servidor de teste em horas, se não em minutos.
-
get FreeBSD 10.0 versão base
-
instalando o FreeBSD 9.xe posterior
-
-
Instalando um OpenSSL personalizado com o apache24 usando-o
Em relação ao FreeBSD
10.0, não há nenhum ponto real em remover a versão incluída por padrão do OpenSSL do sistema básico, pois você só precisa fazer com que o seu ponto de instalação apache24 direcione para o seu sistema privado. openssl-1.0.1f install. -
obtenha as fontes OpenSSL 1.0.1f (ou anteriores) do site oficial do OpenSSL
-
certifique-se de ter o
perl
instalado, pois é necessário construir o OpenSSL -
construa um OpenSSL personalizado (para instalar em
/usr/local
como as portas fariam):# sh ./config --prefix=/usr/local # make # make install
Esteja ciente de que esta é uma instalação personalizada sem qualquer rastreio ou registro das ferramentas de gerenciamento de pacotes.
-
crie / adicione ao seu
/etc/make.conf
a seguinte linha:WITH_OPENSSL_PORTS=yes
-
em seguida, instale ou reinstale os outros módulos (
devel/apr1
,www/apache24
, ...) -
você pode verificar o libssl usado pelo apache24 (na verdade o módulo apache24 mod_ssl ):
# ldd /usr/local/libexec/apache24/mod_ssl.so |grep ssl /usr/local/libexec/apache24/mod_ssl.so: libssl.so.8 => /usr/local/lib/libssl.so.8 (0x801634000)
O apache24 mod_ssl agora está usando a biblioteca OpenSSL personalizada de
/usr/local
.
-
Como afirmado em (2): isto não é necessário para tornar um sistema de teste vulnerável do FreeBSD e é uma tarefa extremamente demorada, particularmente para pessoas não familiarizadas com o procedimento.
-
Removendo o OpenSSL padrão do sistema básico (desnecessário)
Para realmente remover OpenSSL do sistema básico, você precisa reconstruí-lo e você perderá openSSH e Kerberos (e talvez alguns outros ). Este é um processo muito longo e você deve seguir com cuidado o procedimento oficial .
- Obtenha as fontes do seu sistema (da instalação ou da subversão)
-
crie seu
/etc/src.conf
com a seguinte linha (para saber mais:man src.conf
) :WITHOUT_OPENSSL=yes
-
reconstrua o sistema básico (talvez seja necessário reconstruir o kernel se as fontes não estiverem sincronizadas com a versão atual do sistema), resumindo:
make buildworld
emake installworld
( mais informações aqui ).
Talvez seja necessário limpar os arquivos OpenSSL manualmente.