背景

現在有 100 臺 Centos7 需要升級 OpenSSH 到 8.3，怎么辦呢？一臺臺的操作顯然不符合我摸魚的風格，既然每臺操作都一樣，Ansible Roles 就有用武之地了。

正常升級流程

首先 rpmbuild 打出 OpenSSH 8.3 的 RPM 包，rpm -Uvh 升級，修改 /etc/pam.d/sshd 文件，重啟 sshd 服務，升級完成。

yum?install?rpm-build?zlib-devel?openssl-devel?gcc?perl-devel?pam-devel?unzip?-y
mkdir?-p?/root/rpmbuild/{SOURCES,SPECS}
cd?/root/rpmbuild/SOURCES
wget?https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.3p1.tar.gz
wget?https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz/8f2e41f3f7eaa8543a2440454637f3c3/x11-ssh-askpass-1.2.4.1.tar.gz
tar?zxvf?openssh-8.3p1.tar.gz?openssh-8.3p1/contrib/redhat/openssh.spec
mv?openssh-8.3p1/contrib/redhat/openssh.spec?../SPECS/
chown?sshd:sshd?/root/rpmbuild/SPECS/openssh.spec
cp?/root/rpmbuild/SPECS/openssh.spec?/root/rpmbuild/SPECS/openssh.spec_def
sed?-i?-e?"s/%global?no_gnome_askpass?0/%global?no_gnome_askpass?1/g"?/root/rpmbuild/SPECS/openssh.spec
sed?-i?-e?"s/%global?no_x11_askpass?0/%global?no_x11_askpass?1/g"?/root/rpmbuild/SPECS/openssh.spec
cd?/root/rpmbuild/SPECS/
rpmbuild?-ba?openssh.spec

第一個報錯: openssl-devel < 1.1 被 openssh-8.3p1-1.el7.x86_64 需要

構建依賴失敗：openssl-devel < 1.1 被 openssh-8.3p1-1.el7.x86_64 需要 解決方法：

[root@localhost SPECS]# vim openssh.spec 注釋掉 BuildRequires: openssl-devel < 1.1 這一行

第二個報錯：RPM build errors:

Installed (but unpackaged) file(s) found:

RPM?build?errors:
?Installed?(but?unpackaged)?file(s)?found:
?/usr/libexec/openssh/ssh-sk-helper
?/usr/share/man/man8/ssh-sk-helper.8.gz

解決方法：

vi?/usr/lib/rpm/macros

#%__check_files?%{_rpmconfigdir}/check-files?%{buildroot}
注釋改行

打包成功

img

升級

#?升級
rpm?-Uvh?*.rpm
#?修改權限
cd?/etc/ssh/
chmod?400?ssh_host_ecdsa_key?ssh_host_ed25519_key?ssh_host_rsa_key
#?允許?root登錄
echo?"PermitRootLogin?yes"?>>?/etc/ssh/sshd_config
#?不修改這個文件，會出現密碼是對的，卻無法登陸。
cat?</etc/pam.d/sshd#%PAM-1.0
auth???????required?????pam_sepermit.so
auth???????include??????password-auth
account????required?????pam_nologin.so
account????include??????password-auth
password???include??????password-auth##?pam_selinux.so?close?should?be?the?first?session?rule
session????required?????pam_selinux.so?close
session????required?????pam_loginuid.so##?pam_selinux.so?open?should?only?be?followed?by?sessions?to?be?executed?in?the?user?context
session????required?????pam_selinux.so?open?env_params
session????optional?????pam_keyinit.so?force?revoke
session????include??????password-auth
EOF#?重啟服務
systemctl?restart?sshdimg

Ansible Roles 簡介

當我們剛開始學習運用 playbook 時，可能會把 playbook 寫成一個很大的文件，到后來可能你會希望這些文件是可以方便去重用的，所以需要重新去組織這些文件。Roles 意為角色，主要用于封裝 playbook 實現復用性。在 ansible 中，roles 通過文件的組織結構來展現。

對于一個 role，它的文件組織結構如下圖所示。

[root@iZ88n11npysZ?ansible]#?ls?openssh/*
openssh/default:

openssh/files:
openssh8.zip??sshd

openssh/tasks:
main.yaml

openssh/templates:

openssh/vars:

首先需要有一個 roles 目錄。同時，在 roles 目錄所在目錄中，還要有一個 playbook 文件，此處為main.yaml，main.yaml 文件是 ansible-playbook 需要執行的文件，在此文件中定義了角色，當執行到角色時，將會到 roles中對應的角色目錄中尋找相關文件。

roles 目錄中的子目錄是即是各個 role。例如，此處只有一個名為 openssh 的 role，在 role 目錄中，有幾個固定名稱的目錄(如果沒有則忽略)。在這些目錄中，還要有一些固定名稱的文件，除了固定名稱的文件，其他的文件可以隨意命名。以下是各個目錄的含義：

• tasks 目錄：存放 task 列表。若 role 要生效，此目錄必須要有一個主 task 文件 main.yml，在 main.yml 中可以使用 include 包含同目錄(即 tasks )中的其他文件。
• handlers 目錄：存放 handlers 的目錄，若要生效，則文件必須名為 main.yml 文件。
• files 目錄：在 task 中執行 copy 或 script 模塊時，如果使用的是相對路徑，則會到此目錄中尋找對應的文件。
• templates 目錄：在 task 中執行 template 模塊時，如果使用的是相對路徑，則會到此目錄中尋找對應的模塊文件。
• vars 目錄：定義專屬于該 role 的變量，如果要有var文件，則必須為 main.ym l文件。
• defaults 目錄：定義角色默認變量，角色默認變量的優先級最低，會被任意其他層次的同名變量覆蓋。如果要有 var 文件，則必須為 main.yml文件。
• meta 目錄：用于定義角色依賴，如果要有角色依賴關系，則文件必須為 main.yml。

看到這些估計你是懵的，下面看例子就明白了。

使用 Ansible Roles 批量升級 OpenSSH

這里演示的是使用 Ansible Roles 對 100 臺 CentOS 7 批量升級 OpenSSH 到 8.3 版本。這是最初級的 Roles示例。

首先是文件結構。

[root@iZ88n11npysZ?ansible]#?ls?openssh/*
openssh/default:

openssh/files:
openssh8.zip??sshd

openssh/tasks:
main.yaml

openssh/templates:

openssh/vars:

入口文件為 tasks/main.yaml，看下內容

[root@iZ88n11npysZ?openssh]#?cat?tasks/main.yaml?
---



-?name:?Copy?ssh?to?agent.
??unarchive:
????src:?openssh8.zip
????dest:?/tmp

-?name:?Copy?ssh?file?to?agent.
??copy:
????src:?sshd
????dest:?/etc/pam.d/sshd
????backup:?yes



-?name:?Install?zabbix-agent
??shell:?|
????cd?/tmp?&&?rpm?-Uvh?/tmp/openssh*.rpm
????cd?/etc/ssh/?
????chmod?400?ssh_host_ecdsa_key?ssh_host_ed25519_key?ssh_host_rsa_key
????echo?"PermitRootLogin?no"?>>?/etc/ssh/sshd_config
-?name:?Restart?zabbix-agent
??systemd:
????state:?restarted
????name:?sshd

放在 files 目錄下 openssh8.zip 是打包出來OpenSSH 8.3 的 rpm 包，再壓縮為 zip 包。

sshd 是要修改的 /etc/pam.d/sshd ?文件

所以這個 main.yaml 的意思就是把 openssh8.zip 解壓到目標主機 /tmp 目錄下，要修改的文件復制到目標主機目錄下，然后執行升級，最后重啟 sshd 服務。

要升級所有機器的時候就在最外層的 main.yaml 寫上主機和 roles 執行即可，如圖

親測十幾秒即可升級好一臺。

總結

以上是生活随笔為你收集整理的openssh rpm包_100台CentOS7要升级OpenSSH怎么办？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。