Konfigurera automatiska uppdateringar med yum

Att uppdatera ditt CentOS-system regelbundet är en av de viktigaste aspekterna av övergripande systemsäkerhet. Om du inte uppdaterar operativsystemets paket med de senaste säkerhetsuppdateringarna lämnar du din maskin sårbar för attacker.

I denna handledning kommer vi att gå igenom processen med att konfigurera automatiska uppdateringar på CentOS 7. Samma instruktioner gäller för CentOS 6.

förutsättningar

Innan du fortsätter med den här tutorialen, se till att du är inloggad som användare med sudo-privilegier.

Installera yum-cron-paketet

Med yum-cron paketet kan du automatiskt köra yum-kommandot som ett cron-jobb för att leta efter, ladda ner och tillämpa uppdateringar. Chansen är stor att paketet redan är installerat på ditt CentOS-system. Om inte installerat kan du installera paketet genom att köra följande kommando:

sudo yum install yum-cron

När installationen är klar, aktivera och starta tjänsten:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

För att verifiera att tjänsten körs skriver du följande kommando:

systemctl status yum-cron

Information om servicestatus yum-cron visas på skärmen:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

Konfigurera yum-cron

yum-cron kommer med två konfigurationsfiler som lagras i katalogen /etc/yum , konfigurationsfilen per timme yum-cron.conf och den dagliga konfigurationsfilen yum-cron-hourly.conf .

yum-cron tjänsten styr bara huruvida cron-jobb kommer att köras eller inte. yum-cron verktyget kallas av /etc/cron.hourly/0yum-hourly.cron och /etc/cron.daily/0yum-daily.cron cron-filerna.

Som standard är timkronen konfigurerad för att inte göra någonting. Om det finns uppdateringar tillgängliga är den dagliga cron inställd att ladda ner men inte installera tillgängliga uppdateringar och skicka meddelanden till stdout. Standardkonfigurationen är tillräcklig för kritiska produktionssystem där du vill ta emot aviseringar och göra uppdateringen manuellt efter testning av uppdateringarna på testservrar.

Konfigurationsfilen är strukturerad i sektioner och varje avsnitt innehåller kommentarer som beskriver vad varje konfigurationsrad gör.

Om du vill redigera konfigurationsfilen yum-cron öppnar du filen i din textredigerare:

sudo nano /etc/yum/yum-cron-hourly.conf

I det första avsnittet Du kan definiera vilka pakettyper du vill uppdatera, aktivera meddelanden och nedladdningar och ställa in att automatiskt tillämpa uppdateringar när de är tillgängliga. Som standard är update_cmd inställd på standard vilket kommer att uppdatera alla paket. Om du vill ställa in automatiska obevakade uppdateringar rekommenderas att du ändrar värdet till security som säger att du ska uppdatera paket som bara löser ett säkerhetsproblem.

I följande exempel ändrade vi update_cmd till security och aktiverade obevakade uppdateringar genom att ställa apply_updates till yes :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

De andra avsnitten definierar hur man ska skicka meddelanden. För att skicka meddelanden till både stdout och e-post, ändra värdet på emit_via till stdio, email .

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

I avsnittet kan du ställa avsändarens och mottagarens e-postadress. Se till att du har ett verktyg som kan skicka e-postmeddelanden installerat på ditt system, till exempel mailx eller postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

De avsnittet låter dig åsidosätta inställningarna som definieras i filen yum.conf . Om du vill utesluta att specifika paket uppdateras kan du använda exclude . I följande exempel utesluter vi paketet.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

Du behöver inte starta om yum-cron tjänsten för att ändringarna ska träda i kraft.

Visar loggar

Använd grep för att kontrollera om de cron-jobb som är associerade med yum körs:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

Historiken för yum-uppdateringarna loggas i filen /var/log/yum . Du kan se de senaste uppdateringarna genom att använda kommandot svans:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

Slutsats

I denna handledning har du lärt dig hur du konfigurerar automatiska uppdateringar och håller ditt CentOS-system uppdaterat.

centos yum säkerhet