openssh rpm包_100台CentOS7要升级OpenSSH怎么办?
背景
現(xiàn)在有 100 臺(tái) Centos7 需要升級(jí) OpenSSH 到 8.3,怎么辦呢?一臺(tái)臺(tái)的操作顯然不符合我摸魚的風(fēng)格,既然每臺(tái)操作都一樣,Ansible Roles 就有用武之地了。
正常升級(jí)流程
首先 rpmbuild 打出 OpenSSH 8.3 的 RPM 包,rpm -Uvh 升級(jí),修改 /etc/pam.d/sshd 文件,重啟 sshd 服務(wù),升級(jí)完成。
yum?install?rpm-build?zlib-devel?openssl-devel?gcc?perl-devel?pam-devel?unzip?-ymkdir?-p?/root/rpmbuild/{SOURCES,SPECS}
cd?/root/rpmbuild/SOURCES
wget?https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.3p1.tar.gz
wget?https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz/8f2e41f3f7eaa8543a2440454637f3c3/x11-ssh-askpass-1.2.4.1.tar.gz
tar?zxvf?openssh-8.3p1.tar.gz?openssh-8.3p1/contrib/redhat/openssh.spec
mv?openssh-8.3p1/contrib/redhat/openssh.spec?../SPECS/
chown?sshd:sshd?/root/rpmbuild/SPECS/openssh.spec
cp?/root/rpmbuild/SPECS/openssh.spec?/root/rpmbuild/SPECS/openssh.spec_def
sed?-i?-e?"s/%global?no_gnome_askpass?0/%global?no_gnome_askpass?1/g"?/root/rpmbuild/SPECS/openssh.spec
sed?-i?-e?"s/%global?no_x11_askpass?0/%global?no_x11_askpass?1/g"?/root/rpmbuild/SPECS/openssh.spec
cd?/root/rpmbuild/SPECS/
rpmbuild?-ba?openssh.spec
第一個(gè)報(bào)錯(cuò): openssl-devel < 1.1 被 openssh-8.3p1-1.el7.x86_64 需要
構(gòu)建依賴失敗:openssl-devel < 1.1 被 openssh-8.3p1-1.el7.x86_64 需要 解決方法:
[root@localhost SPECS]# vim openssh.spec 注釋掉 BuildRequires: openssl-devel < 1.1 這一行
第二個(gè)報(bào)錯(cuò):RPM build errors:
Installed (but unpackaged) file(s) found:
RPM?build?errors:?Installed?(but?unpackaged)?file(s)?found:
?/usr/libexec/openssh/ssh-sk-helper
?/usr/share/man/man8/ssh-sk-helper.8.gz
解決方法:
vi?/usr/lib/rpm/macros#%__check_files?%{_rpmconfigdir}/check-files?%{buildroot}
注釋改行
打包成功
img升級(jí)
#?升級(jí)rpm?-Uvh?*.rpm
#?修改權(quán)限
cd?/etc/ssh/
chmod?400?ssh_host_ecdsa_key?ssh_host_ed25519_key?ssh_host_rsa_key
#?允許?root登錄
echo?"PermitRootLogin?yes"?>>?/etc/ssh/sshd_config
#?不修改這個(gè)文件,會(huì)出現(xiàn)密碼是對(duì)的,卻無(wú)法登陸。
cat?</etc/pam.d/sshd#%PAM-1.0
auth???????required?????pam_sepermit.so
auth???????include??????password-auth
account????required?????pam_nologin.so
account????include??????password-auth
password???include??????password-auth##?pam_selinux.so?close?should?be?the?first?session?rule
session????required?????pam_selinux.so?close
session????required?????pam_loginuid.so##?pam_selinux.so?open?should?only?be?followed?by?sessions?to?be?executed?in?the?user?context
session????required?????pam_selinux.so?open?env_params
session????optional?????pam_keyinit.so?force?revoke
session????include??????password-auth
EOF#?重啟服務(wù)
systemctl?restart?sshdimg
Ansible Roles 簡(jiǎn)介
當(dāng)我們剛開始學(xué)習(xí)運(yùn)用 playbook 時(shí),可能會(huì)把 playbook 寫成一個(gè)很大的文件,到后來(lái)可能你會(huì)希望這些文件是可以方便去重用的,所以需要重新去組織這些文件。Roles 意為角色,主要用于封裝 playbook 實(shí)現(xiàn)復(fù)用性。在 ansible 中,roles 通過(guò)文件的組織結(jié)構(gòu)來(lái)展現(xiàn)。
對(duì)于一個(gè) role,它的文件組織結(jié)構(gòu)如下圖所示。
[root@iZ88n11npysZ?ansible]#?ls?openssh/*openssh/default:
openssh/files:
openssh8.zip??sshd
openssh/tasks:
main.yaml
openssh/templates:
openssh/vars:
首先需要有一個(gè) roles 目錄。同時(shí),在 roles 目錄所在目錄中,還要有一個(gè) playbook 文件,此處為main.yaml,main.yaml 文件是 ansible-playbook 需要執(zhí)行的文件,在此文件中定義了角色,當(dāng)執(zhí)行到角色時(shí),將會(huì)到 roles中對(duì)應(yīng)的角色目錄中尋找相關(guān)文件。
roles 目錄中的子目錄是即是各個(gè) role。例如,此處只有一個(gè)名為 openssh 的 role,在 role 目錄中,有幾個(gè)固定名稱的目錄(如果沒(méi)有則忽略)。在這些目錄中,還要有一些固定名稱的文件,除了固定名稱的文件,其他的文件可以隨意命名。以下是各個(gè)目錄的含義:
- tasks 目錄:存放 task 列表。若 role 要生效,此目錄必須要有一個(gè)主 task 文件 main.yml,在 main.yml 中可以使用 include 包含同目錄(即 tasks )中的其他文件。
- handlers 目錄:存放 handlers 的目錄,若要生效,則文件必須名為 main.yml 文件。
- files 目錄:在 task 中執(zhí)行 copy 或 script 模塊時(shí),如果使用的是相對(duì)路徑,則會(huì)到此目錄中尋找對(duì)應(yīng)的文件。
- templates 目錄:在 task 中執(zhí)行 template 模塊時(shí),如果使用的是相對(duì)路徑,則會(huì)到此目錄中尋找對(duì)應(yīng)的模塊文件。
- vars 目錄:定義專屬于該 role 的變量,如果要有var文件,則必須為 main.ym l文件。
- defaults 目錄:定義角色默認(rèn)變量,角色默認(rèn)變量的優(yōu)先級(jí)最低,會(huì)被任意其他層次的同名變量覆蓋。如果要有 var 文件,則必須為 main.yml文件。
- meta 目錄:用于定義角色依賴,如果要有角色依賴關(guān)系,則文件必須為 main.yml。
看到這些估計(jì)你是懵的,下面看例子就明白了。
使用 Ansible Roles 批量升級(jí) OpenSSH
這里演示的是使用 Ansible Roles 對(duì) 100 臺(tái) CentOS 7 批量升級(jí) OpenSSH 到 8.3 版本。這是最初級(jí)的 Roles示例。
首先是文件結(jié)構(gòu)。
[root@iZ88n11npysZ?ansible]#?ls?openssh/*openssh/default:
openssh/files:
openssh8.zip??sshd
openssh/tasks:
main.yaml
openssh/templates:
openssh/vars:
入口文件為 tasks/main.yaml,看下內(nèi)容
[root@iZ88n11npysZ?openssh]#?cat?tasks/main.yaml?---
-?name:?Copy?ssh?to?agent.
??unarchive:
????src:?openssh8.zip
????dest:?/tmp
-?name:?Copy?ssh?file?to?agent.
??copy:
????src:?sshd
????dest:?/etc/pam.d/sshd
????backup:?yes
-?name:?Install?zabbix-agent
??shell:?|
????cd?/tmp?&&?rpm?-Uvh?/tmp/openssh*.rpm
????cd?/etc/ssh/?
????chmod?400?ssh_host_ecdsa_key?ssh_host_ed25519_key?ssh_host_rsa_key
????echo?"PermitRootLogin?no"?>>?/etc/ssh/sshd_config
-?name:?Restart?zabbix-agent
??systemd:
????state:?restarted
????name:?sshd
放在 files 目錄下 openssh8.zip 是打包出來(lái)OpenSSH 8.3 的 rpm 包,再壓縮為 zip 包。
sshd 是要修改的 /etc/pam.d/sshd ?文件
所以這個(gè) main.yaml 的意思就是把 openssh8.zip 解壓到目標(biāo)主機(jī) /tmp 目錄下,要修改的文件復(fù)制到目標(biāo)主機(jī)目錄下,然后執(zhí)行升級(jí),最后重啟 sshd 服務(wù)。
要升級(jí)所有機(jī)器的時(shí)候就在最外層的 main.yaml 寫上主機(jī)和 roles 執(zhí)行即可,如圖
親測(cè)十幾秒即可升級(jí)好一臺(tái)。
總結(jié)
以上是生活随笔為你收集整理的openssh rpm包_100台CentOS7要升级OpenSSH怎么办?的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 安卓压缩视频的软件(安卓压缩视频)
- 下一篇: ddos攻击服务器收费吗(ddos攻击服