如何在Linux服务器上安装易受攻击的OpenSSL版本？

我想在为团队网络安全挑战而设置的服务器上编译并安装Heartbleed易受攻击的OpenSSL版本（因为显而易见的原因，这些文件无法从Ubuntu的存储库中安装）。

我使用提供的说明（run ./config，then make和make install）从源OpenSSL 1.0.1f下载并进行了编译，并尝试从PC 上运行来自GitHub的公开可用的Heartbleed POC ，但是该脚本使我不知所措，没有收到任何心跳响应，并且服务器可能不容易受到攻击。

运行openssl version产生以下输出：OpenSSL 1.0.1f 2014年1月6日。我当然安装了SSL证书，并且SSL访问可以在服务器上进行。

已安装OpenSSL以与Apache 2.4.7一起使用。

有人可以帮忙吗？

这里可能发生两件事：

1. 默认情况下，简单的“ ./configure; make; make install”将共享库放在中/usr/local/lib。但是，系统安装的库位于中/usr/lib，它在库搜索路径的前面。除非您删除系统安装的OpenSSL版本，否则不会找到易受攻击的版本。

2. 即使您正在覆盖系统库，也要等到重启Apache后才能进行更改。删除的文件将保持可访问状态（并占用磁盘空间），直到所有具有打开的文件句柄的程序关闭这些文件句柄为止。

正在使用什么服务器软件？

尽管OpenSSL二进制文件容易受到攻击，但是从OS软件包安装的Web服务器很可能正在使用不受攻击的库版本。

使易受攻击的侦听器运行的最简单方法是openssl s_server-如果您需要一个完整的Web服务器来使其易受攻击，则可能需要针对易受攻击的OpenSSL进行编译。