Konfigurálja az automatikus frissítéseket a yum segítségével

A CentOS rendszer rendszeres frissítése az általános rendszerbiztonság egyik legfontosabb szempontja. Ha nem frissíti az operációs rendszer csomagjait a legújabb biztonsági javításokkal, akkor kiszolgáltatottá teheti gépeit a támadásokkal szemben.

Ebben az oktatóanyagban áttekintjük az automatikus frissítések konfigurálásának folyamatát a CentOS 7-en. Ugyanezek az utasítások vonatkoznak a CentOS 6-ra is.

Előfeltételek

Mielőtt folytatná ezt az oktatóprogramot, győződjön meg arról, hogy be van jelentkezve mint sudo jogosultságokkal rendelkező felhasználó.

Yum-cron csomag telepítése

A yum-cron csomag lehetővé teszi, hogy automatikusan futtassa a yum parancsot cron feladatként a frissítések kereséséhez, letöltéséhez és alkalmazásához. Valószínű, hogy ez a csomag már telepítve van a CentOS rendszerére. Ha nincs telepítve, akkor a csomagot a következő parancs futtatásával telepítheti:

sudo yum install yum-cron

A telepítés befejezése után engedélyezze és indítsa el a szolgáltatást:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

A szolgáltatás futtatásának ellenőrzéséhez írja be a következő parancsot:

systemctl status yum-cron

A képernyőn megjelennek a yum-cron szolgáltatás állapotával kapcsolatos információk:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

A yum-cron konfigurálása

Az yum-cron két konfigurációs fájlt tartalmaz, amelyeket az /etc/yum könyvtárban tárolnak, az óránkénti konfigurációs fájlt a yum-cron.conf és a napi konfigurációs fájlt a yum-cron-hourly.conf .

A yum-cron szolgáltatás csak azt szabályozza, hogy a cron feladatok futnak-e vagy sem. Az yum-cron segédprogramot az /etc/cron.hourly/0yum-hourly.cron és /etc/cron.daily/0yum-daily.cron cron fájlok hívják.

Alapértelmezés szerint az óránkénti cron úgy van konfigurálva, hogy semmit sem tegyen. Ha vannak frissítések, akkor a napi cron letöltésre kerül, de nem telepíti a rendelkezésre álló frissítéseket, és üzeneteket küld a stdout-ra. Az alapértelmezett konfiguráció elegendő azoknak a kritikus termelési rendszereknek, ahol értesítéseket szeretne kapni, és manuálisan kell frissíteni a frissítéseket a tesztszolgáltatók tesztelése után.

A konfigurációs fájl szakaszokra tagolódik, és az egyes szakaszok megjegyzéseket tartalmaznak, amelyek leírják, hogy az egyes konfigurációs sorok mit tesznek.

A yum-cron konfigurációs fájl szerkesztéséhez nyissa meg a fájlt a szövegszerkesztőben:

sudo nano /etc/yum/yum-cron-hourly.conf

Az első szakaszban meghatározhatja a frissíteni kívánt csomagok típusát, engedélyezni az üzeneteket és a letöltéseket, és beállíthatja, hogy automatikusan alkalmazza a frissítéseket, ha rendelkezésre állnak. Alapértelmezés szerint az update_cmd alapértelmezett update_cmd van állítva, amely az összes csomagot frissíti. Ha automatikus felügyelet nélküli frissítéseket szeretne beállítani, javasoljuk, hogy változtassa meg az értéket a security amely azt mondja, hogy yum frissítse azokat a csomagokat, amelyek csak a biztonsági problémát javítják.

A következő példában megváltoztattuk az update_cmd security és engedélyeztük a felügyelet nélküli frissítéseket az apply_updates :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

A második szakasz meghatározza az üzenetek küldésének módját. Ha üzeneteket szeretne küldeni mind az stdout, mind az e-mail címre, akkor módosítsa az emit_via értékét emit_via stdio, email értékre.

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

Ban, -ben szakaszban beállíthatja a feladó és a fogadó e-mail címét. Győződjön meg arról, hogy rendelkezik-e olyan eszközzel, amely a rendszerre telepített e-maileket küldhet, például mailx vagy postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

Az szakasz lehetővé teszi a yum.conf fájlban megadott beállítások felülbírálását. Ha ki akarja zárni az egyes csomagokat a frissítésből, használhatja az exclude paramétert. A következő példában kizárjuk a csomagot.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

A változások hatályba lépéséhez nem kell újraindítania a yum-cron szolgáltatást.

Naplók megtekintése

A grep segítségével ellenőrizze, hogy végrehajtódnak-e a yum-hoz társított cron jobok:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

A yum frissítéseinek előzményeit a /var/log/yum fájlba /var/log/yum . A legújabb frissítéseket a tail paranccsal tekintheti meg:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

Következtetés

Ebben az oktatóanyagban megtanulta az automatikus frissítések konfigurálásának és a CentOS rendszerének naprakészen tartásának módját.

centos yum biztonság