Поиск по сайту:

Как настроить автоматические обновления безопасности в CentOS 7

На этой странице

  1. Шаг 1. Установите yum-cron на CentOS 7
  2. Шаг 2. Настройте Yum-Cron для автоматического обновления
  3. Шаг 3. Настройте исключаемые пакеты
  4. Шаг 4. Проверьте журналы yum-cron

Обновления безопасности, как согласится большинство из вас, очень важны. В Linux всегда рекомендуется обновлять установленные пакеты, особенно когда речь идет о безопасности. Как правило, пользователи должны применять обновления безопасности к своим системам Linux в течение 30 дней после их выпуска.

В этом руководстве мы обсудим, как настроить сервер CentOS 7 для автоматических обновлений безопасности. Это гарантирует, что система автоматически загрузит пакеты и применит все обновления безопасности без какого-либо ручного вмешательства.

Что мы обсудим:

  1. Как установить yum-cron на CentOS 7
  2. Как настроить yum-cron для автоматических обновлений безопасности
  3. Как исключить определенные пакеты из автоматических обновлений
  4. Как проверить журналы yum-cron

Предпосылка

  • Сервер CentOS 7
  • Привилегии root

Шаг 1. Установите yum-cron на CentOS 7.

Yum-cron — это инструмент командной строки для управления обновлениями системы и пакетов в системах CentOS.

Утилита доступна в репозитории CentOS 7. Вы можете установить его с помощью команды ниже.

yum -y install yum-cron

После завершения установки запустите службу yum-cron, а затем убедитесь, что с этого момента она автоматически запускается при загрузке системы. Все это можно сделать с помощью следующих команд:

systemctl start yum-cron
systemctl enable yum-cron

Вот и все. Теперь Yum-cron правильно установлен на вашем сервере CentOS 7.

Шаг 2. Настройте Yum-Cron для автоматического обновления

После установки пакета yum-cron нам нужно настроить его для автоматического обновления. По умолчанию yum-cron предоставляет три вида обновлений: обновление по умолчанию с помощью команды yum upgrade, минимальное обновление и обновление безопасности.

Обратите внимание, что в этом руководстве мы настроим yum-cron для получения обновлений безопасности (относящихся как к системе, так и к пакетам). Итак, давайте начнем.

В качестве первого шага перейдите в каталог конфигурации yum и отредактируйте файл yum-cron.conf с помощью редактора Vim.

cd /etc/yum/
vim yum-cron.conf

Примечание. Конечно, вы можете использовать любой другой редактор по вашему выбору. А для тех, кто хочет изучить Vim, ознакомьтесь с нашим подробным учебным пособием здесь.

В файле перейдите к строке, начинающейся со строки update_cmd, и укажите тип обновления, которое вы хотите использовать. Например, в этом руководстве мы фокусируемся только на обновлениях безопасности, поэтому измените значение по умолчанию на безопасность.

update_cmd = security

Точно так же перейдите к строке, начинающейся со строки update_messages, и убедитесь, что ее значение равно yes.

update_messages = yes

Затем сделайте то же самое для строк download_updates и apply_updates.

download_updates = yes
apply_updates = yes

Поэтому всякий раз, когда доступно обновление безопасности, система теперь автоматически загружает необходимые пакеты, а затем применяет все обновления.

Далее идет настройка уведомлений о сообщениях. По сути, Yum-cron предоставляет два способа: либо вы можете отображать уведомления на STDIO, либо отправлять их на адрес электронной почты. В этом уроке мы будем использовать второй вариант — электронная почта.

Поэтому измените значение emit_via на адрес электронной почты, как показано ниже.

emit_via = email

Есть несколько других связанных изменений, которые вы должны сделать, в том числе указать адреса электронной почты и хоста электронной почты. Вот значения, которые мы установили:

email_from = 
email_host = hakase-labs

Вот и все. Теперь сохраните файл и выйдите из редактора.

Последний шаг — перезапустить службу yum-cron, что можно сделать с помощью следующей команды:

systemctl restart yum-cron

На этом этапе любые обновления безопасности в системе будут автоматически загружаться и ежедневно применяться с помощью yum-cron.

Шаг 3. Настройте исключаемые пакеты

Иногда по какой-либо причине мы не хотим применять автоматические обновления для некоторых пакетов, включая ядро. На этом шаге мы обсудим конфигурацию, которая позволит вам отключить обновления для выбранных пакетов.

Итак, первым шагом здесь является редактирование файла конфигурации yum-cron.conf, который находится в каталоге конфигурации yum.

cd /etc/yum/
vim yum-cron.conf

В нижней части файла вы увидите раздел [base]. Добавьте новую строку в этот раздел, содержащую имена пакетов, которые вы хотите исключить. Например, что-то похожее на следующее:

exclude = mysql* kernel*

Теперь просто сохраните изменения и выйдите.

Да, вы правильно догадались, теперь вам нужно перезапустить службу yum-cron.

systemctl restart yum-cron

Так что в нашем случае все пакеты с именами, начинающимися с mysql или kernel, будут отключены для автоматического обновления.

Шаг 4. Проверьте журналы yum-cron

Yum-cron использует задание cron для автоматических обновлений безопасности, и все журналы для этого cron доступны в каталоге /var/log.

Поэтому вам нужно перейти в каталог /var/log, чтобы получить доступ к файлу журнала cron.

cd /var/log/
cat cron | grep yum-daily

И если вы хотите увидеть обновленные пакеты, вы можете проверить файл yum.log.

cat yum.log | grep Updated

использованная литература

  • https://www.stephenrlang.com/
  • https://community.centminmod.com/