运维自动化之ansible playbook一键化解决大量主机bash更新问题-阿里云开发者社区

运维自动化之ansible playbook一键化解决大量主机bash更新问题

2017-11-01 1698

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

今天发现有bash漏洞，但我这里近1000台服务器，为了方便、省时间，觉得使用ansible安装bash更新包，下面分享一下我的安装方法。

1、安装的playbook的内容

 
        19:00:03 
        # cd /etc/ansible 
       
        root@ip-10-10-10-10:
        /etc/ansible 
       
        19:00:06 
        # cat update_bash.yml  
       
        --- 
       
        - hosts: 
        "{{ host }}" 
       
        remote_user: 
        "{{ user }}" 
       
        gather_facts: True 
       
        tasks: 
       
        - name: update 
        bash 
        in 
        redhat 6 version 
       
        yum: name=http:
        //mirrors
        .hustunique.com
        /centos/6/updates/x86_64/Packages/bash-4
        .1.2-15.el6_5.2.x86_64.rpm state=present 
       
        when: ansible_os_family == 
        "RedHat" 
        and ansible_distribution_version|int >=6 
       
        - name: update 
        bash 
        in 
        redhat 5 version 
       
        yum: name=http:
        //mirrors
        .hustunique.com
        /centos/5/updates/x86_64/RPMS/bash-3
        .2-33.el5.2.x86_64.rpm state=present 
       
        when: ansible_os_family == 
        "RedHat" 
        and ansible_distribution_version|int <=5

会自动判断系统版本，然后安装不同的包，本来想弄好yum的update源，但发现还在更新，觉得麻烦就还自己安装文件了。

2、安装前测试系统（centos 6系统）

为了测试需要，使用docker虚拟个容器

 
        16:32:46 
        # ssh 172.17.0.9 
       
        The authenticity of host 
        '172.17.0.9 (172.17.0.9)' 
        can't be established. 
       
        RSA key fingerprint is 39:7c:13:9f:d4:b0:d7:63:fc:ff:ae:e3:46:a4:bf:6b. 
       
        Are you sure you want to 
        continue 
        connecting (
        yes
        /no
        )? 
        yes 
       
        Warning: Permanently added 
        '172.17.0.9' 
        (RSA) to the list of known hosts. 
       
        root@172.17.0.9's password:  
       
        Last login: Thu Sep 25 16:31:32 2014 from 172.17.42.1 
       
        root@86fb0b4bbb0b:~ 
       
        16:35:04 
        #  env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 
       
        vulnerable 
       
        this is a 
        test

可以看到是有bash漏洞的

3、使用ansible playbook升级bash

 
        16:35:08 
        # time ansible-playbook update_bash.yml  --extra-vars "host=172.17.0.9 user=root" -k 
       
        SSH password:  
       
        PLAY [172.17.0.9] *************************************************************  
       
        GATHERING FACTS ***************************************************************  
       
        ok: [172.17.0.9] 
       
        TASK: [update 
        bash 
        in 
        redhat 6 version] ***************************************  
       
        changed: [172.17.0.9] 
       
        TASK: [update 
        bash 
        in 
        redhat 5 version] ***************************************  
       
        skipping: [172.17.0.9] 
       
        PLAY RECAP ********************************************************************  
       
        172.17.0.9                 : ok=2    changed=1    unreachable=0    failed=0    
       
        real    0m35.901s 
       
        user    0m0.952s 
       
        sys 0m0.216s

4、查看是否有漏洞

 
        root@ip-10-10-10-10:
        /etc/ansible 
       
        16:36:01 
        # ssh 172.17.0.9 
       
        root@172.17.0.9's password:  
       
        Last login: Thu Sep 25 16:35:57 2014 from 172.17.42.1 
       
        root@86fb0b4bbb0b:~ 
       
        16:36:11 
        #  env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 
       
        bash
        : warning: x: ignoring 
        function 
        definition attempt 
       
        bash
        : error importing 
        function 
        definition 
        for 
        `x' 
       
        this is a 
        test 
       
        root@86fb0b4bbb0b:~

可以看到漏洞已经解决了。

完成的截图为

如果有大量主机，就在运行的时候加上-f然后选择一个合适的并发主机数量即可，我这里使用了这个，很快的就升级完成bash了。

希望对大家批量更新bash有益。

本文转自 reinxu 51CTO博客，原文链接：http://blog.51cto.com/dl528888/1558227，如需转载请自行联系原作者

运维自动化之ansible playbook一键化解决大量主机bash更新问题

热门文章

最新文章

相关课程

相关电子书

相关实验场景

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

运维自动化之ansible playbook一键化解决大量主机bash更新问题

热门文章

最新文章

相关课程

相关电子书

相关实验场景