Configurați actualizările automate cu yum

Actualizarea periodică a sistemului CentOS este unul dintre cele mai importante aspecte ale securității generale a sistemului. Dacă nu actualizați pachetele sistemului de operare cu cele mai recente corecții de securitate, vă lăsați mașina vulnerabilă la atacuri.

În acest tutorial, vom parcurge procesul de configurare a actualizărilor automate pe CentOS 7. Aceleași instrucțiuni se aplică pentru CentOS 6.

Cerințe preliminare

Înainte de a continua cu acest tutorial, asigurați-vă că sunteți autentificat ca utilizator cu privilegii sudo.

Instalarea pachetului yum-cron

Pachetul yum-cron vă permite să rulați automat comanda yum ca un job cron pentru a verifica, descărca și aplica actualizări. Este posibil ca acest pachet să fie deja instalat pe sistemul dvs. CentOS. Dacă nu este instalat, puteți instala pachetul rulând următoarea comandă:

sudo yum install yum-cron

După terminarea instalării, activați și porniți serviciul:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

Pentru a verifica dacă serviciul este în funcțiune, tastați următoarea comandă:

systemctl status yum-cron

Informații despre starea serviciului yum-cron vor fi afișate pe ecran:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

Configurarea yum-cron

yum-cron vine cu două fișiere de configurare care sunt stocate în directorul /etc/yum , fișierul de configurare oră yum-cron.conf și fișierul de configurare zilnic yum-cron-hourly.conf .

Serviciul yum-cron controlează doar dacă vor fi executate sau nu joburi cron. Utilitatea yum-cron este numită de fișierele cron /etc/cron.daily/0yum-daily.cron și /etc/cron.daily/0yum-daily.cron .

În mod implicit, cronul orar este configurat să nu facă nimic. Dacă există actualizări disponibile, cronul zilnic este setat să descarce, dar să nu instaleze actualizările disponibile și să trimită mesaje la stdout. Configurația implicită este suficientă pentru sistemele de producție critice unde doriți să primiți notificări și faceți actualizarea manual după testarea actualizărilor pe serverele de testare.

Fișierul de configurare este structurat în secțiuni și fiecare secțiune conține comentarii care descriu ceea ce face fiecare linie de configurare.

Pentru a edita fișierul de configurare yum-cron, deschideți fișierul în editorul de text:

sudo nano /etc/yum/yum-cron-hourly.conf

În prima secțiune, puteți defini tipurile de pachete pe care doriți să le actualizați, puteți activa mesaje și descărcări și puteți aplica automat actualizări atunci când acestea sunt disponibile. În mod implicit, update_cmd este setat la default care va actualiza toate pachetele. Dacă doriți să setați actualizări automate nesupravegheate, este recomandat să schimbați valoarea la security ceea ce vă va spune pentru a actualiza pachetele care rezolvă doar o problemă de securitate.

În următorul exemplu, am modificat update_cmd la security și am activat actualizările nesupravegheate, setând apply_updates la yes :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

A doua secțiune definește modul de a trimite mesaje. Pentru a trimite mesaje atât pe stdout, cât și pe e-mail, modificați valoarea emit_via la stdio, email .

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

În secțiune puteți seta adresa de e-mail a expeditorului și a receptorului. Asigurați-vă că aveți un instrument care poate trimite e-mailuri instalate pe sistemul dvs., cum ar fi mailx sau postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

secțiunea vă permite să treceți peste setările definite în yum.conf . Dacă doriți să excludeți actualizarea anumitor pachete, puteți utiliza parametrul exclude . În exemplul următor, excludem pachetul.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

Nu trebuie să reporniți serviciul yum-cron pentru ca modificările să intre în vigoare.

Vizualizarea jurnalelor

Utilizați grep pentru a verifica dacă lucrările cron asociate cu yum sunt executate:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

Istoricul actualizărilor yum este înregistrat în fișierul /var/log/yum . Puteți vedea cele mai recente actualizări folosind comanda tail:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

Concluzie

În acest tutorial, ați învățat cum să configurați actualizări automate și să vă păstrați sistemul CentOS la zi.

centos yum securitate