批量更新软件和安全优化(以openssh为例) —— 筑梦之路

已于 2022-04-22 11:08:25 修改
阅读量3.1k 收藏 4
点赞数 2
分类专栏: linux系统运维 文章标签: linux ansible批量升级
于 2022-04-21 23:24:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34777982/article/details/124334409
版权 
使用ansible批量更新openssh

环境说明:

多台机器,比如500台

局域网内网络互通

其中一台安装ansible,并能连接其他所有的机器

操作系统版本一致,这里都是centos7

1.编写hosts文件,举例三台

[test]
192.168.1.30  ansible_ssh_user=root  ansible_ssh_password=root ansible_ssh_port=22

[dev]
192.168.1.60  ansible_ssh_user=root  ansible_ssh_password=root ansible_ssh_port=22

[prod]
192.168.1.100 ansible_ssh_user=root  ansible_ssh_password=root ansible_ssh_port=22

2.将升级的离线安装包分发到各主机

ansible all -i hosts -m copy -a "src=/root/openssh9.0p1.tar.gz dest=/root/"

3.执行解压和清理操作

ansible all -i hosts -m shell -a "tar -zxf /root/openssh9.0p1.tar.gz -C /root/ && rm -rf /root/openssh9.0p1.tar.gz"

4.备份现有的配置和权限文件

ansible all -i hosts -m shell -a "cp -rp /etc/ssh /etc/ssh_backup_$(date +'%Y-%m-%d_%H%M%S')"

ansible all -i hosts -m shell -a "cp -rp /etc/pam.d/sshd /etc/pam.d/sshd_backup_$(date +'%Y-%m-%d_%H%M%S')"

5.分组执行升级操作,避免一把梭带来的失误

ansible test -i hosts -m shell -a "cd /root/openssh9.0p1 && yum localinstall -y ./openssh*.rpm"

ansible test -i hosts -m shell -a "cat /root/openssh9.0p1/sshd > /etc/pam.d/sshd"

---小插曲  

ansible test -i hosts -m shell -a "chmod 400 /etc/ssh/ssh_host_* && echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config && echo 'PasswordAuthentication yes' >> /etc/ssh/sshd_config"

ansible test -i hosts -m shell -a "sed -i 's/#Port/Port/' /etc/ssh/sshd_config && sed -i '/Port/a Port 18822' /etc/ssh/sshd_config"

---

ansible test -i hosts -m shell -a "systemctl restart sshd && systemctl enable sshd"

6.验证升级后的版本

ansible all -i hosts -m shell -a "ssh -V"

ansible all -i hosts -m shell -a "rpm -qa | grep openssh"

ansible all -i hosts -m shell -a "ss -anlp | grep :18822"

ansible all -i hosts -m shell -a "systemctl status sshd | grep running | grep -v grep"


注意事项:

---这里没有考虑selinux的情况,因此最好在做此操作前,对selinux disabled
---这里没有考虑防火墙的情况,因此最好是在此操作前,对firewalld stop disable
---升级使用的是root账户,没有考虑其他用户的情况,需要根据实际情况修改
---这里以openssh批量升级举例,使用的是离线的rpm包,其他软件升级需要根据实际场景,实际情况进行。
考虑selinux和firewalld的情况,进行ssh服务安全优化


注意: 这种情况需要先添加一个端口18822,测试连接没问题后才能关闭默认的22端口

#添加端口
ansible all -i hosts -m shell -a "sed -i "s/\#Port 22/Port 22/g" /etc/ssh/sshd_config"

ansible all -i hosts -m shell -a "sed -i '/\Port 22/a Port 18822' /etc/ssh/sshd_config"

#检查防火墙状态

ansible all -i hosts -m shell -a "systemctl status firewalld"

#开放端口

ansible all -i hosts -m shell -a "firewall-cmd --zone=public --add-port=18822/tcp --permanent  && firewall-cmd --reload"

#查询

ansible all -i hosts -m shell -a "firewall-cmd --zone=public --query-port=18822/tcp"

#查看selinux状态 Enforcing开启,disabled关闭,permissive关闭但记录警告信息

ansible all -i hosts -m shell -a "getenforce"

#查询ssh端口

ansible all -i hosts -m shell -a "semanage port -l|grep ssh"

#添加ssh端口放通

ansible all -i hosts -m shell -a "semanage -a -t ssh_port_t -p tcp 18822"

#再次查询一下ssh端口

ansible all -i hosts -m shell -a "semanage port -l|grep ssh"

#重启ssh服务

ansible all -i hosts -m shell -a "systemctl restart sshd"

#查看端口监听
ansible all -i hosts -m shell -a "ss -anlp | grep :18822"

#测试连接 这里可以写个shell脚本进行批量检测 

ssh -v -p 18822 root@ip

#关闭22
ansible all -i hosts -m shell -a "sed -i 's/^Port 22/^#&/g' /etc/ssh/sshd_config"

或者

ansible all -i hosts -m shell -a "sed -i "s/\Port 22/#Port 22/g" /etc/ssh/sshd_config"

ansible all -i hosts -m shell -a "systemctl restart sshd"

相关离线包和文件:openssh9.0p1.tar.gz-系统安全文档类资源-CSDN下载

筑梦之路
关注
专栏目录
openssh升级ansible-playbook
12-25
openssh升级ansible-playbook
ansible批量漏洞升级openssh版本
weixin_44147924的博客
05-28 658
1、ansible宿主机准备好环境,并写好hosts文件。4、环境准备好后,直接运行剧本即可。2、下载好安装包,然后编写yml。3、两个shell脚本内容如下。5、升级后检查ssh版本。
Ansible批量升级openssh版本至OpenSSH_8.4p1
zJay-L's Blog
12-25 2097
批量升级openssh版本至OpenSSH_8.4p1 CentOS Linux release 7.8.2003(Core)默认的openssh版本是OpenSSH_7.4p1,yum提供的最新版本也是 OpenSSH_7.4p1,所以要对openssh升级,必须采用编译安装的方法,下面给大家分享一个可以一键升级的playbook。 准备工作 需要升级的机器需要配置好yum源 确认openssh版本是OpenSSH_7.4p1, OpenSSL 1.0.2k-fips(其他版本未必适用以下的play
linux ssh 批量,linux 批量升级openssh8.0
weixin_42511702的博客
05-12 170
updateopenssh.shckmsce=/home/updateopenssh.expusername=rootpassword=123456omplist="192.167.1.94192.167.1.95192.167.1.96192.167.1.97"port=23for ompname in $omplistdo$ckmsce $ompname $username $password...
如何编译打包OpenSSH 9.4并实现批量升级
singless的博客
08-28 1942
由于openssh官方只提供源码包,网上下载的rpm包有可能遇到各种依赖问题,因此我们选择自己将源码编译为rpm包来升级环境的openssh。当然编译过程也尽量简单化,这里我们直接使用开源的脚本进行编译。编译需要涉及到很多开发软件的下载安装,建议使用一台虚拟机来进行操作。先下载编译脚本,解压简单看下代码结构compile.sh:编译脚本el5、el6、el7:对应CentOS5、6、7三个系统,编译相关的参数由SPECS目录下的openssh.spec控制。编译好的rpm包放在RPMS目录下。
centos7升级openssh软件和教程
02-22
OpenSSH是一个用于安全远程登录的开源工具,它通过加密的方式提供了对网络上的远程计算机的安全访问。在过去,OpenSSH也曾经发现过一些安全漏洞,这些漏洞可能会影响到系统的安全性,因此及时修补是非常重要的。 ...
Centos7升级openssl-3.2.0和openssh-9.6p1笔记和软件
01-09
OpenSSL提供了加密、身份验证和安全通信服务,而OpenSSH则提供了安全的远程登录功能。随着技术的发展,保持这些软件的更新至关重要,以抵御新的安全威胁。本文将详细讲解如何在CentOS 7上升级到OpenSSL 3.2.0和...
政务云linux(中科麒麟Kylin V10)系统升级Openssh9.8步骤和软件打包
最新发布
09-14
政务云linux(中科麒麟Kylin V10)系统升级Openssh9.8步骤和软件打包 包含软件和安装文档 因为是源码方式安装,只要是系统和版本能对应上,无论x86_64还是arm64架构安装步骤是一样的哦!
openssh8.4——rpm升级
12-22
在IT行业中,安全性是服务器管理的首要任务之一,而OpenSSH作为远程访问服务的核心组件,其安全性和稳定性至关重要。本文将详细探讨如何在CentOS 7.7环境中使用提供的OpenSSH 8.4 RPM升级包进行系统升级,并分享相关...
升级openssh到8.8用以解决openSSH一下安全漏洞问题
07-13
升级openssh到8.4用以解决openSSH一下安全漏洞问题 OpenSSH 安全漏洞(CVE-2020-14145) OpenSSH 安全漏洞(CVE-2018-15919) OpenSSH 安全漏洞(CVE-2017-15906) OpenSSH 安全漏洞(CVE-2018-15473) 更新方法...
ansible-role-openssh:在系统上安装和配置openssh
02-16
在系统上安装和配置openssh。 的GitHub 亚搏体育app 质量 资料下载 版本 该示例摘自molecule/resources/converge.yml并在每次推送,拉动请求和释放时进行了测试。 --- - name : Converge hosts : all become : yes gather_facts : yes roles : - role : robertdebock.openssh openssh_allow_users : root 机器需要使用CI进行准备,这可以使用molecule/resources/prepare.yml : --- - name : Prepare hosts : all gather_facts : no become : yes roles : - role
openssh-7.9p1+openssl-1.1.0h一键升级
11-10
Linux漏洞实在太烦人,也从网上看了些升级文档,可是那些文档升级操作太过程化,太麻烦,就花点时间写了一个一键升级Openssh7.9P1和Openssl-1.1.0h的脚本,把下载包放入/home目录下,直接运行update就好,不用卸载前ssh和ssl ,直接升级ssh7.9 和ssl升级1。1.oh,目前最高版本,希望给你带来帮助,如果有疑问可以私聊
openssh一键升级的脚本,全干货
04-08
详细的涵盖了openssh升级的全部代码,以及详细的文档介绍
Ansible服务器批量升级实战案例
davidwkx的博客
02-27 1064
ansible是作为自动化运维工具,使用简单方便,本文为实际项目配置过程记录
Ansible自动化运维实战】使用Ansible批量部署SSH免密登录远程主机
热门推荐
jks212454的博客
04-21 1万+
使用Ansible批量部署SSH免密登录远程主机
linux运维日常之一键升级ssh
AMimiDou_212
10-08 1951
linux 日常运维之一键升级OpenSSH 至最新版本OpenSSH 是开源的ssh 服务程序升级前的准备:一键升级安装脚本使用方式1. 解压安装包2.阅读README文档3. 修改脚本权限4. 一键安装升级5. 验证升级 OpenSSH 是开源的ssh 服务程序 由于网络安全的日益紧迫,网络漏洞逐渐被暴露出来,一天正在上班,突然来了一条短信: 由于linux 安全发布漏洞 xxx ,请尽快升...
OpenSSH(CVE-2023-38408)OpenSsh9.5一键升级
geniusbluesky的博客
11-27 1776
【代码】OpenSSH(CVE-2023-38408)OpenSsh9.5一键升级修复手册(Rhel6-8)
升级openSSH
开心程序猿
05-28 381
1、当前系统版本 [root@localhost ~]# cat /etc/redhat-release Red Hat Enterprise Linux Server release 7.4 (Maipo) [root@localhost ~]# uname -m x86_64 [root@localhost ~]# uname -r 3.10.0-693.el7.x86_64...
Ansible对接操作系统升级脚本(一)
wzj94210816的博客
11-29 522
ansible实现操作系统自动批量升级
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值