Ρυθμίστε τις αυτόματες ενημερώσεις με yum

Η τακτική ενημέρωση του συστήματος CentOS είναι μία από τις πιο σημαντικές πτυχές της συνολικής ασφάλειας του συστήματος. Εάν δεν ενημερώσετε τα πακέτα του λειτουργικού σας συστήματος με τις πιο πρόσφατες ενημερωμένες εκδόσεις ασφαλείας, αφήνετε το μηχάνημά σας ευάλωτο στις επιθέσεις.

Σε αυτό το σεμινάριο, θα περάσουμε από τη διαδικασία ρύθμισης των αυτόματων ενημερώσεων στο CentOS 7. Οι ίδιες οδηγίες ισχύουν για το CentOS 6.

Προϋποθέσεις

Πριν συνεχίσετε με αυτό το σεμινάριο, βεβαιωθείτε ότι έχετε συνδεθεί ως χρήστης με δικαιώματα sudo.

Εγκατάσταση του πακέτου yum-cron

Το πακέτο yum-cron σας επιτρέπει να εκτελέσετε αυτόματα την εντολή yum ως εργασία cron για να ελέγξετε, να κατεβάσετε και να εφαρμόσετε ενημερώσεις. Είναι πιθανό ότι αυτό το πακέτο είναι ήδη εγκατεστημένο στο σύστημα CentOS. Αν δεν εγκατασταθεί, μπορείτε να εγκαταστήσετε το πακέτο εκτελώντας την ακόλουθη εντολή:

sudo yum install yum-cron

Μόλις ολοκληρωθεί η εγκατάσταση, ενεργοποιήστε και ξεκινήστε την υπηρεσία:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

Για να επαληθεύσετε ότι η υπηρεσία εκτελείται, πληκτρολογήστε την ακόλουθη εντολή:

systemctl status yum-cron

Θα εμφανιστούν στην οθόνη πληροφορίες σχετικά με την κατάσταση υπηρεσίας yum-cron:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

Ρύθμιση yum-cron

Το yum-cron συνοδεύεται από δύο αρχεία ρυθμίσεων που είναι αποθηκευμένα στον κατάλογο /etc/yum , το ωριαίο αρχείο ρυθμίσεων yum-cron.conf και το ημερήσιο αρχείο ρυθμίσεων yum-cron-hourly.conf .

Η υπηρεσία yum-cron ελέγχει μόνο εάν θα λειτουργούν οι εργασίες cron. Το βοηθητικό πρόγραμμα yum-cron ονομάζεται από τα αρχεία cron /etc/cron.hourly/0yum-hourly.cron και /etc/cron.daily/0yum-daily.cron .

Από προεπιλογή, το ωριαίο cron έχει ρυθμιστεί να μην κάνει τίποτα. Εάν υπάρχουν διαθέσιμες ενημερώσεις, το ημερήσιο cron έχει οριστεί για λήψη αλλά όχι για εγκατάσταση των διαθέσιμων ενημερώσεων και για αποστολή μηνυμάτων σε stdout. Η προεπιλεγμένη ρύθμιση είναι επαρκής για κρίσιμα συστήματα παραγωγής όπου θέλετε να λαμβάνετε ειδοποιήσεις και να κάνετε την ενημέρωση με μη αυτόματο τρόπο αφού δοκιμάσετε τις ενημερώσεις σε διακομιστές δοκιμών.

Το αρχείο διαμόρφωσης είναι δομημένο σε τμήματα και κάθε ενότητα περιέχει σχόλια που περιγράφουν τι κάνει κάθε γραμμή διαμόρφωσης.

Για να επεξεργαστείτε το αρχείο ρυθμίσεων yum-cron, ανοίξτε το αρχείο στον επεξεργαστή κειμένου:

sudo nano /etc/yum/yum-cron-hourly.conf

Στην πρώτη ενότητα, μπορείτε να ορίσετε τους τύπους πακέτων που θέλετε να ενημερώσετε, να ενεργοποιήσετε μηνύματα και λήψεις και να ρυθμίσετε την αυτόματη εφαρμογή ενημερώσεων όταν είναι διαθέσιμες. Από προεπιλογή, το update_cmd έχει οριστεί στην προεπιλογή και θα ενημερώνει όλα τα πακέτα. Αν θέλετε να ορίσετε αυτόματες ενημερώσεις χωρίς παρακολούθηση, συνιστάται να αλλάξετε την τιμή στην security οποία θα σας ενημερώσει για να ενημερώσετε τα πακέτα που επιδιορθώνουν μόνο ένα ζήτημα ασφαλείας.

Στο ακόλουθο παράδειγμα, αλλάξαμε το update_cmd σε security και ενεργοποιήσαμε μη ενημερωμένες ενημερώσεις ρυθμίζοντας το apply_updates σε yes :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

Η δεύτερη ενότητα καθορίζει τον τρόπο αποστολής μηνυμάτων. Για να στείλετε μηνύματα τόσο στο stdout όσο και στο ηλεκτρονικό ταχυδρομείο, αλλάξτε την τιμή του emit_via στο stdio, email .

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

Στο μπορείτε να ορίσετε τη διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα και του παραλήπτη. Βεβαιωθείτε ότι έχετε ένα εργαλείο που μπορεί να στείλει μηνύματα ηλεκτρονικού ταχυδρομείου εγκατεστημένα στο σύστημά σας, όπως mailx ή postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

ο μπορείτε να παρακάμψετε τις ρυθμίσεις που ορίζονται στο αρχείο yum.conf . Εάν θέλετε να αποκλείσετε συγκεκριμένα πακέτα από την ενημέρωση, μπορείτε να χρησιμοποιήσετε την παράμετρο exclude . Στο παρακάτω παράδειγμα, αποκλείουμε τη συσκευασία.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

Δεν χρειάζεται να κάνετε επανεκκίνηση της υπηρεσίας yum-cron για να εφαρμοστούν οι αλλαγές.

Προβολή αρχείων καταγραφής

Χρησιμοποιήστε το grep για να ελέγξετε αν εκτελούνται οι εργασίες cron που σχετίζονται με yum:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

Το ιστορικό των ενημερώσεων yum καταγράφεται στο /var/log/yum . Μπορείτε να δείτε τις τελευταίες ενημερώσεις χρησιμοποιώντας την εντολή tail:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

συμπέρασμα

Σε αυτό το σεμινάριο, έχετε μάθει πώς να ρυθμίσετε τις αυτόματες ενημερώσεις και να διατηρείτε το σύστημα CentOS ενημερωμένο.

centos yum security