Rsyslog与OpenSSL 1.0.1e兼容性问题分析

在Rsyslog 8.2402.0版本中，开发团队发现了一个与旧版OpenSSL 1.0.1e的兼容性问题。这个问题主要影响了在CentOS 6等老旧系统上的编译过程，因为这些系统通常搭载的是较早期的OpenSSL版本。

问题背景

Rsyslog是一个功能强大的日志处理系统，它支持通过TLS/DTLS协议进行安全的日志传输。在8.2402.0版本中，开发团队对网络安全模块进行了重构，特别是针对DTLS（Datagram Transport Layer Security）的支持进行了优化。然而，这些改动无意中引入了对OpenSSL 1.0.2及以上版本的依赖。

技术细节

在Rsyslog的net_ossl.c文件中，新增的net_ossl_apply_tlscgfcmd()函数使用了OpenSSL 1.0.2引入的SSL_CONF_CTX系列API。这些API提供了更灵活的SSL/TLS配置方式，但在OpenSSL 1.0.1e中并不存在。

具体来说，代码中使用了以下在OpenSSL 1.0.1e中不可用的功能：

• SSL_CONF_CTX_new/SSL_CONF_CTX_free
• SSL_CONF_CTX_set_flags
• SSL_CONF_CTX_set_ssl_ctx
• SSL_CONF_cmd
• SSL_CONF_CTX_finish

解决方案

开发团队通过条件编译解决了这个问题。现在，相关代码块会被OpenSSL版本检查宏包围：

#if OPENSSL_VERSION_NUMBER >= 0x10002000L && !defined(LIBRESSL_VERSION_NUMBER)

这意味着：

1. 在OpenSSL 1.0.2及以上版本中，这些新功能会被启用
2. 在OpenSSL 1.0.1e及更早版本中，这些代码不会被编译
3. 在LibreSSL环境中，这些代码也不会被编译

影响范围

需要注意的是，这个改动对功能有一定影响：

• omdtls模块需要OpenSSL 1.0.2或更高版本才能构建
• imdtls模块需要OpenSSL 1.1.0或更高版本，因为它依赖更多新的OpenSSL API函数

结论

对于仍在使用老旧系统的用户，建议考虑升级OpenSSL版本以获得完整的功能支持。如果无法升级，Rsyslog仍可编译运行，但部分高级TLS/DTLS功能将不可用。这个案例也提醒我们，在开发跨平台软件时，需要特别注意不同版本依赖库的API兼容性问题。