Ansible:批量升级openssh版本至OpenSSH_8.4p1

最新推荐文章于 2023-08-28 21:10:21 发布
最新推荐文章于 2023-08-28 21:10:21 发布
阅读量1.8k 收藏 12
点赞数 6
分类专栏: ansible Linux openssh 文章标签: ansible openssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rookie23rook/article/details/111691267
版权
Linux 同时被 3 个专栏收录
87 篇文章 3 订阅
订阅专栏
ansible
3 篇文章 1 订阅
订阅专栏
openssh
1 篇文章 0 订阅
订阅专栏

批量升级openssh版本至OpenSSH_8.4p1

CentOS Linux release 7.8.2003(Core)默认的openssh版本是OpenSSH_7.4p1,yum提供的最新版本也是 OpenSSH_7.4p1,所以要对openssh升级,必须采用编译安装的方法,下面给大家分享一个可以一键升级的playbook。

准备工作

  • 需要升级的机器需要配置好yum源
  • 确认openssh版本是OpenSSH_7.4p1, OpenSSL 1.0.2k-fips(其他版本未必适用以下的playbook,如果不是这个版本,可以先yum安装到7.4,再执行以下playbook)
  • 在管理节点的机器安装ansible,并配置好inventory,免密(之前已经分享过)

剧本内容
role的文件结构

[root@open-1 ansible]# tree roles/
roles/
├── openssh_update
│   ├── files
│   │   ├── openssh-8.4p1.tar.gz
│   │   └── openssl-1.1.1g.tar.gz
│   ├── handlers
│   │   └── main.yaml
│   ├── tasks
│   │   ├── install.yaml
│   │   └── main.yaml
│   └── vars
│       └── main.yaml
└── update_openssh.yaml

5 directories, 7 files

将两个tar包放到files目录(完整的资源已经上传–openssh升级
update_openssh.yaml

[root@open-1 roles]# cat update_openssh.yaml
---
- name: 升级openssh版本到openssh8.4p1
  hosts: open
  user: root
  gather_facts: false
  roles:
  - openssh_update

vars/main.yaml

[root@open-1 roles]# cat openssh_update/vars/main.yaml
open_ssh_package: openssh-8.4p1.tar.gz
open_ssl_package: openssl-1.1.1g.tar.gz

tasks/main.yaml

[root@open-1 roles]# cat openssh_update/tasks/main.yaml
---
- import_tasks: install.yaml

tasks/install.yaml

[root@open-1 roles]# cat openssh_update/tasks/main.yaml
---
- import_tasks: install.yaml
[root@open-1 roles]# cat openssh_update/tasks/install.yaml
---
- name: 安装telnet、xinetd
  yum:
    name: ['telnet','telnet-server','xinetd']
    state: present
- name: 启动telnet、xinetd,并设置开机启动
  service:
    name: "{{ item }}"
    state: started
    enabled: yes
  loop:
  - xinetd
  - telnet.socket
- name: 备份/etc/securetty文件
  shell:
    cmd: cp -rf /etc/securetty /etc/securetty.bak$(date +%Y%m%d)
- name: 在/etc/securetty文件添加其他终端设备
  blockinfile:
    dest: /etc/securetty
    block: "pts/0\npts/1\npts/2\npts/3\npts/4"
- name: 重启xinetd服务
  service:
    name: xinetd
    state: restarted
  notify:                                #要确保telnet成功启动后才能进行升级,否则如果升级失败,telnet又没启动,就无法远程连接服务器了
  - telnet已经启动成功,可以进行升级

handlers/main.yaml

[root@open-1 roles]# cat openssh_update/handlers/main.yaml
---
- name: 安装编译环境
  yum:
    name: ['gcc','gcc-c++','glibc','make','autoconf','openssl','openssl-devel','pcre-devel','pam-devel']
    state: present
  listen: telnet已经启动成功,可以进行升级
- name: 安装pam,zlib
  shell:
    cmd: yum -y install pam* zlib*
  listen: telnet已经启动成功,可以进行升级
- name: 将openssh、openssl的压缩包解压到/opt目录
  unarchive:
    src: "{{ item }}"
    dest: /opt/
  loop:
  - "{{ open_ssh_package }}"
  - "{{ open_ssl_package }}"
  listen: telnet已经启动成功,可以进行升级
- name: 备份openssl文件
  shell:
    cmd: mv /usr/bin/openssl /usr/bin/openssl_bak;mv /usr/include/openssl /usr/include/openssl_bak
  listen: telnet已经启动成功,可以进行升级
- name: 编译安装openssl
  shell:
    cmd: ./config shared --prefix=/usr/local/ssl && make && make install
    chdir: /opt/openssl-1.1.1g
  listen: telnet已经启动成功,可以进行升级
- name: 设置openssl指令的软链接
  shell:
    cmd: 'ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl;ln -s /usr/local/ssl/include/openssl /usr/include/openssl'
  listen: telnet已经启动成功,可以进行升级
- name: 加载openssl模块
  shell:
    cmd: echo "/usr/local/ssl/lib" >> /etc/ld.so.conf;/sbin/ldconfig
  listen: telnet已经启动成功,可以进行升级
- name: 备份/etc/ssh、/etc/pam.d/sshd.pam
  shell:
    cmd: mv /etc/ssh /etc/ssh.$(date +%Y%m%d);cp -rf /etc/pam.d/sshd.pam /etc/pam.d/sshd.pam.$(date +%Y%m%d) || echo "ansible_ens33['ipv4']['address']上暂无这个文件。"
  listen: telnet已经启动成功,可以进行升级
- name: 编译安装openssh
  shell:
    cmd: ./configure --prefix=/usr --sysconfdir=/etc/ssh  --with-openssl-includes=/usr/local/ssl/include --with-ssl-dir=/usr/local/ssl   --with-zlib   --with-md5-passwords   --with-pam  && make && make install
    chdir: /opt/openssh-8.4p1
  listen: telnet已经启动成功,可以进行升级
- name: 替换新的sshd_config
  shell:
    cmd: cp -rf /opt/openssh-8.4p1/sshd_config /etc/ssh/sshd_config
  listen: telnet已经启动成功,可以进行升级
- name: override default of no subsystems
  lineinfile:
    dest: /etc/ssh/sshd_config
    regexp: .*Subsystem.*sftp-server
    line: Subsystem       sftp    /usr/libexec/openssh/sftp-server
  listen: telnet已经启动成功,可以进行升级
- name: 关闭DNS解析
  lineinfile:
    dest: /etc/ssh/sshd_config
    regexp: .*UseDNS
    line: UseDNS no
  listen: telnet已经启动成功,可以进行升级
- name: 允许root远程登录
  lineinfile:
    dest: /etc/ssh/sshd_config
    regexp: .*PermitRootLogin
    line: PermitRootLogin yes
  listen: telnet已经启动成功,可以进行升级
- name: 添加banner路径
  lineinfile:
    dest: /etc/ssh/sshd_config
    insertafter: ^#Banner none
    line: Banner /etc/sshbanner
  listen: telnet已经启动成功,可以进行升级
- name: 拷贝sshd.init和sshd.pam
  shell:
    cmd: cp -a contrib/redhat/sshd.init /etc/init.d/sshd;cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam
    chdir: /opt/openssh-8.4p1
  listen: telnet已经启动成功,可以进行升级
- name: 将sshd交给chkconfig管理
  shell:
    cmd: chmod +x /etc/init.d/sshd;chkconfig --add sshd;chkconfig sshd on;systemctl enable sshd
  listen: telnet已经启动成功,可以进行升级
- name: 备份sshd.service并重启sshd服务
  shell:
    cmd: mv  /usr/lib/systemd/system/sshd.service  /opt/;mv  /usr/lib/systemd/system/sshd.socket  /opt/;systemctl daemon-reload;service sshd restart
  listen: telnet已经启动成功,可以进行升级
- name: 检查版本,确认是否升级成功
  shell:
    cmd: ssh -V;openssl version
  register: check
  listen: telnet已经启动成功,可以进行升级
- name: 更新后版本信息
  debug:
    var: check
    verbosity: 0
  listen: telnet已经启动成功,可以进行升级

语法检查

[root@open-1 roles]# ls
openssh_update  update_openssh.yaml
[root@open-1 roles]# ansible-playbook --syntax-check update_openssh.yaml

playbook: update_openssh.yaml

运行

[root@open-1 roles]# ansible-playbook  update_openssh.yaml

PLAY [升级openssh版本到openssh8.4p1] ************************************************************************************************************************************************************

TASK [openssh_update : 安装telnet、xinetd] ****************************************************************************************************************************************************
changed: [open-2]
changed: [open-3]

TASK [openssh_update : 启动telnet、xinetd,并设置开机启动] ********************************************************************************************************************************************
changed: [open-2] => (item=xinetd)
changed: [open-3] => (item=xinetd)
changed: [open-2] => (item=telnet.socket)
changed: [open-3] => (item=telnet.socket)

TASK [openssh_update : 备份/etc/securetty文件] *************************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

TASK [openssh_update : 在/etc/securetty文件添加其他终端设备] ******************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

TASK [openssh_update : 重启xinetd服务] *********************************************************************************************************************************************************
changed: [open-2]
changed: [open-3]

RUNNING HANDLER [openssh_update : 安装编译环境] **************************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 安装pam,zlib] **********************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 将openssh、openssl的压缩包解压到/opt目录] ***************************************************************************************************************************
changed: [open-3] => (item=openssh-8.4p1.tar.gz)
changed: [open-2] => (item=openssh-8.4p1.tar.gz)
changed: [open-3] => (item=openssl-1.1.1g.tar.gz)
changed: [open-2] => (item=openssl-1.1.1g.tar.gz)

RUNNING HANDLER [openssh_update : 备份openssl文件] *********************************************************************************************************************************************
changed: [open-2]
changed: [open-3]

RUNNING HANDLER [openssh_update : 编译安装openssl] *********************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 设置openssl指令的软链接] *****************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 加载openssl模块] *********************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 备份/etc/ssh、/etc/pam.d/sshd.pam] **************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 编译安装openssh] *********************************************************************************************************************************************
changed: [open-2]
changed: [open-3]

RUNNING HANDLER [openssh_update : 替换新的sshd_config] *****************************************************************************************************************************************
changed: [open-2]
changed: [open-3]

RUNNING HANDLER [openssh_update : override default of no subsystems] ***********************************************************************************************************************
changed: [open-2]
changed: [open-3]

RUNNING HANDLER [openssh_update : 关闭DNS解析] *************************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 允许root远程登录] **********************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 添加banner路径] **********************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 拷贝sshd.init和sshd.pam] ************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 将sshd交给chkconfig管理] **************************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 备份sshd.service并重启sshd服务] *********************************************************************************************************************************
changed: [open-3]
changed: [open-2]

RUNNING HANDLER [openssh_update : 检查版本,确认是否升级成功] *******************************************************************************************************************************************
changed: [open-2]
changed: [open-3]

RUNNING HANDLER [openssh_update : 更新后版本信息] *************************************************************************************************************************************************
ok: [open-2] => {
    "check": {
        "changed": true,
        "cmd": "ssh -V;openssl version",
        "delta": "0:00:00.010729",
        "end": "2020-12-23 09:43:04.779265",
        "failed": false,
        "rc": 0,
        "start": "2020-12-23 09:43:04.768536",
        "stderr": "OpenSSH_8.4p1, OpenSSL 1.1.1g  21 Apr 2020",
        "stderr_lines": [
            "OpenSSH_8.4p1, OpenSSL 1.1.1g  21 Apr 2020"
        ],
        "stdout": "OpenSSL 1.1.1g  21 Apr 2020",
        "stdout_lines": [
            "OpenSSL 1.1.1g  21 Apr 2020"
        ]
    }
}
ok: [open-3] => {
    "check": {
        "changed": true,
        "cmd": "ssh -V;openssl version",
        "delta": "0:00:00.010667",
        "end": "2020-12-23 09:42:42.195868",
        "failed": false,
        "rc": 0,
        "start": "2020-12-23 09:42:42.185201",
        "stderr": "OpenSSH_8.4p1, OpenSSL 1.1.1g  21 Apr 2020",
        "stderr_lines": [
            "OpenSSH_8.4p1, OpenSSL 1.1.1g  21 Apr 2020"
        ],
        "stdout": "OpenSSL 1.1.1g  21 Apr 2020",
        "stdout_lines": [
            "OpenSSL 1.1.1g  21 Apr 2020"
        ]
    }
}

PLAY RECAP *********************************************************************************************************************************************************************************
open-2                     : ok=24   changed=23   unreachable=0    failed=0    skipped=0    rescued=0    ignored=0
open-3                     : ok=24   changed=23   unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

可以看到,已经成功升级,原来配置的免密登录应该是无法登录了,把root/.ssh/konwn_hosts文件里面的记录删掉就能连接了。

zJayLiao
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssh升级ansible-playbook
12-25
openssh升级ansible-playbook
Ansible服务器批量升级实战案例
davidwkx的博客
02-27 816
ansible是作为自动化运维工具,使用简单方便,本文为实际项目配置过程记录
22.0 ansible模块介绍
csdn_immortal的博客
07-29 3799
pssh 10-20台机器 系统装完之后,可以在系统上批量安装服务软件包,ansible由不同的模块组成,,目前为止已经有上千个模块,每个模块都是实现一个功能,由不同的组织开发, 1、运维自动化发展历程及技术应用 2、Ansible命令使用 3、Ansible常用模块详解 4、YAML语法简介 5、Ansible playbook基础     剧本,是一个脚本 6、Playbook变量、tag...
如何着手布局一个相对大型的的ansible playbook脚本
weixin_30530939的博客
01-08 65
一、适用人群 1、文章适用于已经对ansible有所了解,但是不知如何着手布局一个相对大型的脚本框架。 2、适用于运维从业者或者爱好者,对运维自动化运维有一定基础的人士。如果帮到您,我非常乐意看到;如果文章中有不妥的地方或者疑问,请留言吐槽讨论。 二、前言 文章以k8s自动部署为例,例子中展开解释,为什么要这么做。 ansible布局非常重要,类似于开发的框架。开发人员都非常清楚,一个框...
ansible-playbook
weixin_33979203的博客
11-06 44
yaml的基本元素 变量 Inventory 条件测试 迭代 playbook的组成结构; Inventory modules Ad hoc Command playbooks tasks:任务 variables:变量 template:模板 handler:处理器 roles:角色 基本结构: - hosts:webserver...
批量更新软件和安全优化(以openssh为例) —— 筑梦之路
筑梦之路
04-21 3030
使用ansible批量更新openssh 环境说明: 多台机器,比如500台 局域网内网络互通 其中一台安装ansible,并能连接其他所有的机器 操作系统版本一致,这里都是centos7 1.编写hosts文件,举例三台 [test] 192.168.1.30 ansible_ssh_user=root ansible_ssh_password=root ansible_ssh_port=22 [dev] 192.168.1.60 ansible_ssh_user=root an.
Ansible对接操作系统升级脚本(一)
wzj94210816的博客
11-29 445
ansible实现操作系统自动批量升级
如何编译打包OpenSSH 9.4并实现批量升级
最新发布
singless的博客
08-28 1561
由于openssh官方只提供源码包,网上下载的rpm包有可能遇到各种依赖问题,因此我们选择自己将源码编译为rpm包来升级环境的openssh。当然编译过程也尽量简单化,这里我们直接使用开源的脚本进行编译。编译需要涉及到很多开发软件的下载安装,建议使用一台虚拟机来进行操作。先下载编译脚本,解压简单看下代码结构compile.sh:编译脚本el5、el6、el7:对应CentOS5、6、7三个系统,编译相关的参数由SPECS目录下的openssh.spec控制。编译好的rpm包放在RPMS目录下。
Ansible自动化运维实战】使用Ansible批量部署SSH免密登录远程主机
热门推荐
jks212454的博客
04-21 1万+
使用Ansible批量部署SSH免密登录远程主机
关于OpenSSL1.0.2k-fip升级修复漏洞
海贼王的博客
01-19 4453
CentOS系统当中openssl漏洞修复方法
openssh-7.9p1+openssl-1.1.0h一键升级
11-10
因Linux漏洞实在太烦人,也从网上看了些升级文档,可是那些文档升级操作太过程化,太麻烦,就花点时间写了一个一键升级Openssh7.9P1和Openssl-1.1.0h的脚本,把下载包放入/home目录下,直接运行update就好,不用卸载前ssh和ssl ,直接升级到ssh7.9 和ssl升级1。1.oh,目前最高版本,希望给你带来帮助,如果有疑问可以私聊
openssh一键升级的脚本,全干货
04-08
详细的涵盖了openssh升级的全部代码,以及详细的文档介绍
ansible-role-openssh:在系统上安装和配置openssh
02-16
在系统上安装和配置openssh。 的GitHub 亚搏体育app 质量 资料下载 版本 该示例摘自molecule/resources/converge.yml并在每次推送,拉动请求和释放时进行了测试。 --- - name : Converge hosts : all become : yes gather_facts : yes roles : - role : robertdebock.openssh openssh_allow_users : root 机器需要使用CI进行准备,这可以使用molecule/resources/prepare.yml : --- - name : Prepare hosts : all gather_facts : no become : yes roles : - role
Ansible:学习Ansible:剧本和摘要示例
02-18
自从我使用Debian 10以来,它如下: sudo apt update && sudo apt install ansible -y 要确保ansible已安装并正常工作,只需检查其版本,如下所示: root@your-host: ~ /ansible# ansible --version ansible 2.7.7 ...
ansible-sshd:Ansible角色,用于配置OpenSSH服务器守护程序
01-31
ansible-sshd:Ansible角色,用于配置OpenSSH服务器守护程序
ANSIBLE:UP_AND_RUNNING
03-16
高清pdf,奔跑吧ansible,亲测内容完整,可以放心下载!
Nginx:配置http(https)正向代理【ngx_http_proxy_connect_module】
zJay-L's Blog
06-22 1万+
配置http(https)正向代理【ngx_http_proxy_connect_module】 nginx一般用于负载均衡,反向代理比较多;当然nginx也是可以充当正向代理的,但是nginx本身并没有自带支持正向代理的模块。其实更准确地说,nginx是没有支持七层正向代理的模块,只有实现四层正向代理的模块(具体可以参考一下这篇文章–使用NGINX作为HTTPS正向代理服务器)。本文讨论的是使用第三方模块实现的七层正向代理。 第三方包下载:https://github.com/chobits/ngx_ht
Linux系统使用ntp对时后发现时间依然不准确
zJay-L's Blog
07-31 6584
Linux系统使用ntp对时后发现时间依然不准确? 这是怎么回事呢?不就是一条命令的事吗,怎么会对不了时,下面是我遇到的情况: 可能一: ntpd服务没有启动,启动ntpd服务,再同步即可。 systemctl start ntpd ntpdate -s ntp.ntsc.ac.cn 可能二: (这是我遇到的情况) date出来的时间显示的是 PDT ,正常应该是CST [root@LiaoZJ ~]# date Fri Jul 31 19:53:57 CST 2020 PDT太平洋夏季时间,如果你
Linux:CentOS 7 解压 7zip 压缩的文件
zJay-L's Blog
01-12 6409
CentOS 7 解压 7zip 压缩的文件 在CentOS上我们解压得比较多的文件类型一般是tar.gz,zip等结尾的,比较少见.7z结尾的,那么这种文件应该用什么命令来解压呢? 尝试使用tar命令 [root@machine-1 ~]# tar xf OneAPM.7z tar: This does not look like a tar archive tar: Skipping to next header tar: Exiting with failure status due to previ
ansible :when not
08-26
引用中提到了ansible的when条件中的一个选项是when not。这个条件是用来判断某个条件为假时执行特定的任务。例如,当文件不存在时,我们可以使用when not条件来执行某个任务。引用和引用中的示例展示了使用ansible-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值