运维自动化之ansible playbook一键化解决大量主机bash更新问题

今天发现有bash漏洞，但我这里近1000台服务器，为了方便、省时间，觉得使用ansible安装bash更新包，下面分享一下我的安装方法。

1、安装的playbook的内容

19:00:03 # cd /etc/ansible
[email protected]:/etc/ansible
19:00:06 # cat update_bash.yml 
---
- hosts: "{{ host }}"
  remote_user: "{{ user }}"
  gather_facts: True
  tasks:
  - name: update bash in redhat 6 version
    yum: name=http://mirrors.hustunique.com/centos/6/updates/x86_64/Packages/bash-4.1.2-15.el6_5.1.x86_64.rpm state=present
    when: ansible_os_family == "RedHat" and ansible_distribution_version|int >=6
  - name: update bash in redhat 5 version
    yum: name=http://mirrors.hustunique.com/centos/5/updates/x86_64/RPMS/bash-3.2-33.el5.1.x86_64.rpm state=present
    when: ansible_os_family == "RedHat" and ansible_distribution_version|int <=5

会自动判断系统版本，然后安装不同的包，本来想弄好yum的update源，但发现还在更新，觉得麻烦就还自己安装文件了。

2、安装前测试系统（centos 6系统）

为了测试需要，使用docker虚拟个容器

16:32:46 # ssh 172.17.0.9
The authenticity of host ‘172.17.0.9 (172.17.0.9)‘ can‘t be established.
RSA key fingerprint is 39:7c:13:9f:d4:b0:d7:63:fc:ff:ae:e3:46:a4:bf:6b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘172.17.0.9‘ (RSA) to the list of known hosts.
[email protected]‘s password: 
Last login: Thu Sep 25 16:31:32 2014 from 172.17.42.1
[email protected]:~
16:35:04 #  env x=‘() { :;}; echo vulnerable‘ bash -c "echo this is a test"
vulnerable
this is a test

可以看到是有bash漏洞的

3、使用ansible playbook升级bash

16:35:08 # time ansible-playbook update_bash.yml  --extra-vars "host=172.17.0.9 user=root" -k
SSH password: 

PLAY [172.17.0.9] ************************************************************* 

GATHERING FACTS *************************************************************** 
ok: [172.17.0.9]

TASK: [update bash in redhat 6 version] *************************************** 
changed: [172.17.0.9]

TASK: [update bash in redhat 5 version] *************************************** 
skipping: [172.17.0.9]

PLAY RECAP ******************************************************************** 
172.17.0.9                 : ok=2    changed=1    unreachable=0    failed=0   

real	0m35.901s
user	0m0.952s
sys	0m0.216s

4、查看是否有漏洞

[email protected]:/etc/ansible
16:36:01 # ssh 172.17.0.9
[email protected]‘s password: 
Last login: Thu Sep 25 16:35:57 2014 from 172.17.42.1
[email protected]:~
16:36:11 #  env x=‘() { :;}; echo vulnerable‘ bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x‘
this is a test
[email protected]:~

可以看到漏洞已经解决了。

完成的截图为

如果有大量主机，就在运行的时候加上-f然后选择一个合适的并发主机数量即可，我这里使用了这个，很快的就升级完成bash了。

希望对大家批量更新bash有益。

时间： 2024-10-07 12:33:10

运维自动化之ansible playbook一键化解决大量主机bash更新问题的相关文章

运维自动化之ansible playbook一键化安装mysql主从

今天qq群里有朋友讨论使用ansible创建mysql主从的问题,正好我公司之前有需求,我就写了这个模块,现在分享给大家. 一.各软件版本 1.docker版本 Client version: 1.3.2 Client API version: 1.15 Go version (client): go1.3.3 Git commit (client): 39fa2fa/1.3.2 OS/Arch (client): linux/amd64 Server version: 1.3.2 Server

运维自动化之ansible playbook安装mysql

上次介绍了如何使用ansible playbook安装zabbix客户端(http://dl528888.blog.51cto.com/2382721/1436745),这次介绍一下如何使用playbook安装mysql. 下面是安装mysql的信息: mysql_basedir: /data/mysql/basedir 源码目录 mysql_datadir: /data/mysql/datadir 数据目录 mysql

运维自动化之ansible playbook安装ruby环境

本来不想打算写安装ruby的,但看几个puppet的群里有人对安装ruby比较茫然,所以这里简单介绍一下如何安装ruby. ps:话说现在也就gitlab.capistrano.puppet等软件使用ruby,最新2010年的软件好的都是python了,比如ansible.salt等. 下面是安装ruby的信息: ruby_version: 1.9.3 ruby_dir: /usr/local gem_version: 1.8.23 bundle_version: 1.6.3 可以看到ruby的

运维自动化之ansible playbook安装node环境

现在介绍如何使用ansible安装node. 下面是安装node的信息: node_dir: /data node_version: 0.10.21 node_port: 3301 可以看到node的版本是0.10.21,测试的node应用服务监听3301端口备注:此playbook仅能对centos或者redhat的6.x版本进行安装. 下面是安装node的playbook结构 09:33:16 # tree node_* node_delete ├── files ├── handlers

运维自动化之ansible playbook结合docker安装smokeping

本次介绍ansible的paly book结合docker进行虚拟机里安装2.6.8版本smokeping(apache版本是2.4.7). docker版本 09:26:53 # docker version Client version: 0.11.1 Client API version: 1.11 Go version (client): go1.2.1 Git commit (client): fb99f99/0.11.1 Server version: 0.11.1 Server A

运维自动化之ansible playbook安装lamp环境

下面介绍使用ansible playbook安装lamp环境下面是apache的安装信息: apr_version: 1.5.0 apr_util_version: 1.5.3 libiconv_version: 1.14 apache_version: 2.4.7 apache_web_dir: /data/webroot/apache apache_log: /data/webroot/apache/logs apache_vhost: /data/webroot/apache/vhost

运维自动化之ansible playbook安装mysql tpcc测试OLTP能力

上周介绍了zabbix监控cdn带宽,这次在介绍一下ansible结合docker来一键化安装与测试mysql tpcc,然后通过tpcc测试OLTP系统性能. 写这个的原因就是重复性的安装太麻烦,浪费时间,而且我这里新业务不断上线,上线前使用tpcc进行OLTP测试对整体系统性能上也有了解. 一.Myql Tpcc介绍(网上找的内容) Tpcc-mysql是percona基于tpcc衍生出来的产品,用来测试OLTP(在线事务处理)系统性能的软件, TPCC-MYSQL是开源的TPC-C测试软件

运维自动化之ansible playbook安装lnmp环境

之前介绍了使用ansible playbok安装zabbix客户端.mysql服务端.nginx,现在介绍一下安装lnmp环境. 下面是安装nginx的信息: nginx_user: www nginx用户 nginx_port: 80 nginx监听端口 nginx_web_dir: /data/webroot/nginx nginx的目录 nginx_version: 1.4.3

运维自动化神器ansible之user模块

运维自动化神器ansible之user模块一.概述 ?user模块可管理远程主机上的用户,比如创建用户.修改用户.删除用户.为用户创建密钥对等操作. 二.参数介绍 ? name: 用于指定操作的 user,必须项. uid: 用于指定 user 的 UID,默认为空. _non_unique:_ 与uid参数一起使用,允许改变UID为非唯一值. group: 参数用于指定用户主组.默认值为空,为空时创建的用户组名跟用户名一致. groups: 参数用于指定用户属组,可以在创建用户时指定用