蓝鲸作业平台升级openssh执行方案分享

本文来自腾讯蓝鲸智云社区用户:AK47

蓝鲸的运维系统在我们单位使用已经快四个年头了,从刚开始的5到现在最新的7.1都有部署、测试、验证和使用。在实际的使用过程中,给我们运维提供了非常大的帮助。其中有一个场景分享给大家。这个场景是关于openssh版本升级的一个过程。

安全部门每个月都要进行安全漏洞的扫描,在扫描过程中发现了部分业务系统存在OpenSSH的安全漏洞(CVE-2023-28531)涉及到所有的linux操作系统。分属不同的业务系统,像这种漏洞,如果修复失败,很有可能无法登录。这种升级还是需要慎重。

--b4cd0a54dcf2f05ea6281feb099fdbd3.png

拿到那几份漏扫结果,自然而然想到了蓝鲸的作业平台,批量进行升级。蓝鲸系统在我们这边使用已经快四年了,一直致力于所有的操作系统标准化,从环境配置到应用部署,还有日志路径,通过执行规范进行标准化。操作系统统一都是centos7,安装蓝鲸的agent,为作业平台的执行,铺平了道路。

升级的方案,大概分为四步:1、分发升级的安装包。2、执行升级。3、关闭telnet。4、发送升级成功通知。执行过程时间为19分3秒。

执行方案

--604cfe3e6de165374e751aa6cde340c9.png

分发升级安装包,如果大家的服务器可以访问外网的话,可以直接通过脚本把升级包下载回来,这步就可以省略

--962468135ec4ea0cd3ee1476573c7cd4.png

执行升级的脚本

--9d718876474c3baaabd477e2ad363603.png

代码分享给大家,大家可以根据自己的需求进行修改。

#!/bin/bash
##SSH升级
#执行之前请开放公网HOST="www.baidu.com"
ping -c 1 $HOST > /dev/null
if [ "$?" -eq "0" ]
thenecho "公网访问已开通,程序继续执行。"
elseecho "公网访问未开通,请联系网络管理员开通!"exit 1
fi## 安装启动并配置telnet服务 | 防止ssh升级失败无法访问服务器
yum install -y telnet-server* telnet xinetd
systemctl enable xinetd.service
systemctl enable telnet.socket
systemctl start telnet.socket
systemctl start xinetd.service
echo 'pts/0' >>/etc/securetty
echo 'pts/1' >>/etc/securetty
echo 'pts/2' >>/etc/securettyecho "************************************备份开始************************************"
cp /usr/bin/ssh /usr/bin/ssh.bak || echo "已备份"
cp /usr/sbin/sshd /usr/sbin/sshd.bak || echo "已备份"
mv /usr/bin/openssl /usr/bin/openssl.bak || echo "已备份"
mv /etc/ssh /etc/ssh.bak || echo "已备份"
echo "************************************备份结束****************************************"yum install -y gcc gcc-c++ glibc make autoconf openssl openssl-devel pcre-devel  pam-devel
yum install -y pam* zlib*
#ls /root | grep openssh-8.5p1 || wget -c https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.5p1.tar.gz
#ls /root | grep openssl-1.1.1g || wget -c https://ftp.openssl.org/source/openssl-1.1.1g.tar.gz
cd /root
tar -zxvf openssl-1.1.1g.tar.gz
cd openssl-1.1.1g
./config shared && make && make install
\cp -rvf include/openssl /usr/include/
ln -s /usr/local/bin/openssl /usr/bin/openssl
ln -snf /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so
ln -snf /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -snf /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so
ln -snf /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
ldconfig
openssl version
echo $?cd /root
tar -zxvf openssh-9.3p1.tar.gz
cd openssh-9.3p1
./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl --with-zlib --with-md5-passwords  --without-openssl-header-check
make && make install# 修改启动文件和pam
cp ./contrib/redhat/sshd.init /etc/init.d/sshd || echo "已执行"
cp -a contrib/redhat/sshd.pam /etc/pam.d/sshd.pam || echo "已执行"
mv /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.service_bak || echo "已执行"cat >> /etc/ssh/sshd_config <<EOF
#启用允许root远程登录
PermitRootLogin yes
#启用公钥身份验证
PubkeyAuthentication yes
#启用隧道明文密码
PasswordAuthentication yes
EOFsystemctl daemon-reload
systemctl restart sshd
systemctl status sshdssh -Vrm -rf /root/.ssh/known_hostsecho -e "\033[33m升级成功 测试如果没有问题 记得关闭telnet服务\033[0m"

关闭telnet服务。这步是防止升级失败,无法登录到服务器。

--10ee4530fe7c4a5d66b4c123a0bd3367.png

升级完后,发送邮件通知相关负责人。

--110faf16d37964d52f6904215173de66.png

以下是执行历史,方便大家查看。

--6330ae13561faed3eebf299fe9a315f7.png

执行过的每台服务器的执行日志都很清晰明白,方便相关人员查看。

--469df1f1890ef13c22cd5ac36051be13.png

这种操作在实际的工作中,使用场景还是比较多,比如MySQL数据库的升级,root的密码更新,还有一些系统配置的修改。这些操作完全可以通过作业平台去完成,从而大大提升工作效率,也可以由于机器过多执行中出现的纰漏。这个作业平台我还是很喜欢的。感谢蓝鲸!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/740374.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

从SQL质量管理体系来看SQL审核(1)

经常看到一些SQL审核产品宣称自己有多少条审核规则&#xff0c;似乎规则数目多少是衡量SQL审核工具能力的标准。事实真的如此吗&#xff1f;肯定不是&#xff0c;那我们该如何评价一个SQL审核工具呢&#xff1f; SQL脚本和Java/C等编程脚本一样&#xff0c;都是程序代码&#…

接口测试工具【Postman】相关的面试题

Postman是一种接口调试与http接口测试的工具&#xff0c;可以非常方便的模拟get、post或其他请求来调试和测试接口 文章目录 Postman优点Postman使用流程Postman参数化有哪几种方式Postman如何设置关联 Postman优点 1.支持各种请求类型&#xff1a;get、post、put、patch、del…

Linux——磁盘文件

磁盘文件 通过前一篇文章Linux——系统文件I/O&#xff0c;我们知道了如何对加载在内存中的文件进行读写等操作&#xff0c;并了解了其内在的原理。同时我们也应该清楚&#xff0c;并不是所有的文件都会被加载入内存&#xff0c;而没有被加载入内存的文件&#xff0c;就被存放…

酷开科技智慧AI助力酷开系统千屏千面

每台智能电视都有一个专属的操作系统&#xff0c;而酷开系统作为一款基于人工智能技术的智能电视操作系统&#xff0c;深受大众喜爱&#xff0c;其最大的特点就是“千屏千面”。这意味着每一位消费者在使用酷开系统时&#xff0c;通过酷开科技的智慧AI&#xff0c;都能根据自己…

常用网络命令的使用

1.Ping 命令 Ping 命令用于测试网络连接的程序。Ping 是工作在 TCP/IP 网络体系结构中应用层的一个服务命令&#xff0c;主要是向特定目的主机发送 ICMP (Internet Control Message Protocol&#xff0c;因特网报文控制协议 )Echo 请求报文&#xff0c;测试目的站是否可达及了…

用户管理测试用例

1. 功能测试&#xff1a; 用户管理页面测试 1、左侧为组织机构树 2、列表上方为功能按钮&#xff0c;分别有&#xff1a;添加、删除、启用、禁用、导入导出、移动、批量修改属性 3、列表组成有&#xff1a;复选框、用户、状态、真实姓名、组织机构、手机、邮箱 4、页面右上方…

Prometheus监控Mysql数据库在Grafana展示

未安装prometheus和Grafana可以参考这个博客操作 Docker安装Prometheus监控-CSDN博客 Windows版本数据库 一、在数据库服务器安装mysqld-exporter 下载mysqld-exporter文件 Releases prometheus/mysqld_exporter GitHub 二、配置mysqld-exporter文件 1、解压进入mysqld…

docker+elasticsearch

一&#xff0c;环境准备&#xff1a;安装docker&#xff08;往期文章&#xff09; 二&#xff0c;elasticsearch简介&#xff1a; 用于储存数据 三&#xff0c;部署&#xff1a; 1&#xff09;&#xff0c;拉取镜像 使用本作者提供的java17镜像 2&#xff09;&#xff0c;…

ARM64汇编05 - MOV系列指令

MOV(wide immediate) MOV 可以将一个立即数移动到寄存器中。 .text:0000000000000834 80 46 82 D2 MOV X0, #0x1234 ; Keypatch modified this from:MOV X0, #0x1234 对应的汇编代码为&#xff1a;80 46 82 D2 看手册可知&#xf…

Unity制作马赛克效果

大家好&#xff0c;我是阿赵。   之前在玩怒之铁拳4里面&#xff0c;看到了马赛克场景转换的效果&#xff0c;觉得很有趣&#xff0c;于是也来做一下。 一、2D版本的马赛克转场效果 先看看视频效果&#xff1a; 马赛克转场 这里我是直接写shader实现的&#xff0c;我这里是把…

spring boot使用mybatisplus访问mysql的配置流程

网上教程大多教人新建一个带对应组件的项目&#xff0c;本文记录如何在一个已有springboot2.x项目中&#xff0c;配置使用mybatisplus来访问mysql。包括使用wrapper和自己写mapper.xml的自定义函数两种和数据库交互的方式。 关于项目的创建&#xff0c;参考创建springboot 2.x…

Shell正则表达式

目录 正则表达式的分类 基本组成部分 POSIX字符类 元字符 正则表达式的分类 基本的正则表达式&#xff08;Basic Regular Expression 又叫Basic RegEx 简称BREs&#xff09;扩展的正则表达式&#xff08;Extended Regular Expression 又叫Extended RegEx 简称EREs&#xf…

【QT+QGIS跨平台编译】之七十二:【QGIS_Analysis跨平台编译】—【qgis_analysis.h生成】

文章目录 一、qgis_analysis.h介绍二、信息分析三、qgis_analysis.h生成一、qgis_analysis.h介绍 qgis_analysis.h 是 QGIS(Quantum GIS)软件中的一个头文件,主要用于服务于QGIS_Analysis库的编译,包含导入、导出宏信息的定义。 二、信息分析 在qgis\src\analysis目录,CM…

pytest生成allure的报告

首先要下载安装配置allure allure serve ./outputs/allure_report 可以生成html的文件自动在默认浏览器中打开

Oceanbase使用BenchmarkSQL 进行tpcc测试及执行计划查询

Oceanbase使用BenchmarkSQL 进行tpcc测试及执行计划查询 文章目录 Oceanbase使用BenchmarkSQL 进行tpcc测试及执行计划查询环境介绍配置BenchmarkSQL开始BenchmarkSQL测试查看执行计划查询top sql查看执行计划 总结参考文档 环境介绍 操作系统&#xff1a;redhat7.9 内核版本…

unity3d Animal Controller的动物组件使用明天继续

控制器介绍 动物脚本负责控制动物的所有运动逻辑.它管理所有的动画师和刚体参数,以及所有的状态和模式,动物可以做。 动物控制器 是一个动画框架控制器,根动或到位,为任何生物或人形。它利用刚体与物理世界的互动和动画师的玩动画。 States States 是不互相重叠的动画。例如…

牛角表情生成器微信小程序版

1.纯前端输出&#xff0c;无需后台&#xff0c;无需域名&#xff0c;速度杠杠快&#xff01; 2.完美支持微信端和抖音端&#xff1b; 3.双端均支持配置开启流量主广告&#xff0c;包括&#xff1a;激励视频广告、插屏广告、banner广告、原生广告、封面广告等&#xff1b; 4.…

Codeforces Round 933 (Div. 3) A~D

比赛链接 : codeforces.com/contest/1941 A . Rudolf and the Ticket 直接暴力即可 ; #include<bits/stdc.h> #define IOS ios::sync_with_stdio(0);cin.tie(0);cout.tie(0); #define endl \n #define lowbit(x) (x&(-x)) #define sz(a) (int)a.size() #define p…

最好用的流程编辑器bpmn-js系列之基本使用

BPMN&#xff08;Business Process Modeling Notation&#xff09;是由业务流程管理倡议组织BPMI&#xff08;The Business Process Management Initiative&#xff09;开发的一套标准的业务流程建模符号规范。其目的是为用户提供一套容易理解的标准符号&#xff0c;这些符号作…

数学建模理论与实践国防科大版

目录 1.数学建模概论 2.生活中的数学建模 2.1.行走步长问题 2.2.雨中行走问题 2.3.抽奖策略 2.4.《非诚勿扰》女生的“最优选择” 3.集体决策模型 3.1.简单多数规则 3.2.Borda数规则 3.3.群体决策模型公理和阿罗定理 1.数学建模概论 1.数学模型的概念 2.数学建模的概…