100台CentOS7要升级OpenSSH怎么办？

背景

​ 现在有 100 台 Centos7 需要升级 OpenSSH 到 8.3，怎么办呢？一台台的操作显然不符合我摸鱼的风格，既然每台操作都一样，Ansible Roles 就有用武之地了。

正常升级流程

首先 rpmbuild 打出 OpenSSH 8.3 的 RPM 包，rpm -Uvh 升级，修改 /etc/pam.d/sshd 文件，重启 sshd 服务，升级完成。

yum install rpm-build zlib-devel openssl-devel gcc perl-devel pam-devel unzip -y
mkdir -p /root/rpmbuild/{SOURCES,SPECS}
cd /root/rpmbuild/SOURCES
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.3p1.tar.gz
wget https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz/8f2e41f3f7eaa8543a2440454637f3c3/x11-ssh-askpass-1.2.4.1.tar.gz
tar zxvf openssh-8.3p1.tar.gz openssh-8.3p1/contrib/redhat/openssh.spec
mv openssh-8.3p1/contrib/redhat/openssh.spec ../SPECS/
chown sshd:sshd /root/rpmbuild/SPECS/openssh.spec
cp /root/rpmbuild/SPECS/openssh.spec /root/rpmbuild/SPECS/openssh.spec_def
sed -i -e "s/%global no_gnome_askpass 0/%global no_gnome_askpass 1/g" /root/rpmbuild/SPECS/openssh.spec
sed -i -e "s/%global no_x11_askpass 0/%global no_x11_askpass 1/g" /root/rpmbuild/SPECS/openssh.spec
cd /root/rpmbuild/SPECS/
rpmbuild -ba openssh.spec

第一个报错: openssl-devel < 1.1 被 openssh-8.3p1-1.el7.x86_64 需要

构建依赖失败：openssl-devel < 1.1 被 openssh-8.3p1-1.el7.x86_64 需要 解决方法：

[root@localhost SPECS]# vim openssh.spec 注释掉 BuildRequires: openssl-devel < 1.1 这一行

第二个报错：RPM build errors:

Installed (but unpackaged) file(s) found:

RPM build errors:
	Installed (but unpackaged) file(s) found:
	/usr/libexec/openssh/ssh-sk-helper
	/usr/share/man/man8/ssh-sk-helper.8.gz

解决方法：

vi /usr/lib/rpm/macros

#%__check_files %{_rpmconfigdir}/check-files %{buildroot}
注释改行

打包成功

升级

# 升级
rpm -Uvh *.rpm
# 修改权限
cd /etc/ssh/
chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
# 允许 root登录
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
# 不修改这个文件，会出现密码是对的，却无法登陆。
cat <<EOF>/etc/pam.d/sshd
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
## pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
## pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth
EOF
# 重启服务
systemctl restart sshd

Ansible Roles 简介

当我们刚开始学习运用 playbook 时，可能会把 playbook 写成一个很大的文件，到后来可能你会希望这些文件是可以方便去重用的，所以需要重新去组织这些文件。Roles 意为角色，主要用于封装 playbook 实现复用性。在 ansible 中，roles 通过文件的组织结构来展现。

对于一个 role，它的文件组织结构如下图所示。

[root@iZ88n11npysZ ansible]# ls openssh/*
openssh/default:

openssh/files:
openssh8.zip  sshd

openssh/tasks:
main.yaml

openssh/templates:

openssh/vars:

首先需要有一个 roles 目录。同时，在 roles 目录所在目录中，还要有一个 playbook 文件，此处为main.yaml，main.yaml 文件是 ansible-playbook 需要执行的文件，在此文件中定义了角色，当执行到角色时，将会到 roles中对应的角色目录中寻找相关文件。

roles 目录中的子目录是即是各个 role。例如，此处只有一个名为 openssh 的 role，在 role 目录中，有几个固定名称的目录(如果没有则忽略)。在这些目录中，还要有一些固定名称的文件，除了固定名称的文件，其他的文件可以随意命名。以下是各个目录的含义：

• tasks 目录：存放 task 列表。若 role 要生效，此目录必须要有一个主 task 文件 main.yml，在 main.yml 中可以使用 include 包含同目录(即 tasks )中的其他文件。
• handlers 目录：存放 handlers 的目录，若要生效，则文件必须名为 main.yml 文件。
• files 目录：在 task 中执行 copy 或 script 模块时，如果使用的是相对路径，则会到此目录中寻找对应的文件。
• templates 目录：在 task 中执行 template 模块时，如果使用的是相对路径，则会到此目录中寻找对应的模块文件。
• vars 目录：定义专属于该 role 的变量，如果要有var文件，则必须为 main.ym l文件。
• defaults 目录：定义角色默认变量，角色默认变量的优先级最低，会被任意其他层次的同名变量覆盖。如果要有 var 文件，则必须为 main.yml文件。
• meta 目录：用于定义角色依赖，如果要有角色依赖关系，则文件必须为 main.yml。

看到这些估计你是懵的，下面看例子就明白了。

使用 Ansible Roles 批量升级 OpenSSH

这里演示的是使用 Ansible Roles 对 100 台 CentOS 7 批量升级 OpenSSH 到 8.3 版本。这是最初级的 Roles示例。

首先是文件结构。

[root@iZ88n11npysZ ansible]# ls openssh/*
openssh/default:

openssh/files:
openssh8.zip  sshd

openssh/tasks:
main.yaml

openssh/templates:

openssh/vars:

入口文件为 tasks/main.yaml，看下内容

[root@iZ88n11npysZ openssh]# cat tasks/main.yaml 
---



- name: Copy ssh to agent.
  unarchive:
    src: openssh8.zip
    dest: /tmp

- name: Copy ssh file to agent.
  copy:
    src: sshd
    dest: /etc/pam.d/sshd
    backup: yes



- name: Install zabbix-agent
  shell: |
    cd /tmp && rpm -Uvh /tmp/openssh*.rpm
    cd /etc/ssh/ 
    chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
    echo "PermitRootLogin no" >> /etc/ssh/sshd_config

- name: Restart zabbix-agent
  systemd:
    state: restarted
    name: sshd

放在 files 目录下 openssh8.zip 是打包出来OpenSSH 8.3 的 rpm 包，再压缩为 zip 包。

sshd 是要修改的 /etc/pam.d/sshd 文件

所以这个 main.yaml 的意思就是把 openssh8.zip 解压到目标主机 /tmp 目录下，要修改的文件复制到目标主机目录下，然后执行升级，最后重启 sshd 服务。

要升级所有机器的时候就在最外层的 main.yaml 写上主机和 roles 执行即可，如图

亲测十几秒即可升级好一台。