Määritä automaattiset päivitykset yum-ohjelmalla

CentOS-järjestelmän säännöllinen päivittäminen on yksi tärkeimmistä näkökohdista järjestelmän yleiseen turvallisuuteen. Jos et päivitä käyttöjärjestelmän paketteja uusimmilla tietoturvakorjauksilla, jätät koneesi alttiiksi hyökkäyksille.

Tässä opetusohjelmassa käydään läpi automaattisen päivityksen määrittäminen CentOS 7: ssä. Samat ohjeet koskevat myös CentOS 6: ta.

edellytykset

Ennen kuin jatkat tätä opetusohjelmaa, varmista, että olet kirjautunut sisään käyttäjänä, jolla on sudo-oikeudet.

Yum-cron-paketin asentaminen

yum-cron paketin avulla voit suorittaa yum-komennon automaattisesti cron-työtä tarkistaaksesi, ladataksesi ja soveltaaksesi päivityksiä. On mahdollista, että tämä paketti on jo asennettu CentOS-järjestelmään. Jos sitä ei ole asennettu, voit asentaa paketin suorittamalla seuraavan komennon:

sudo yum install yum-cron

Kun asennus on valmis, ota palvelu käyttöön ja käynnistä se:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

Voit tarkistaa palvelun olevan käynnissä kirjoittamalla seuraava komento:

systemctl status yum-cron

Tiedot yum-cron-palvelutilasta näytetään näytöllä:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

Yum-cronin määrittäminen

yum-cron sisältää kaksi asetustiedostoa, jotka on tallennettu hakemistoon /etc/yum , yum-cron.conf ja päivittäinen asetustiedosto yum-cron-hourly.conf .

yum-cron palvelu hallitsee vain sitä, suoritetaanko cron-työt vai ei. yum-cron apuohjelmaa kutsutaan /etc/cron.hourly/0yum-hourly.cron ja /etc/cron.daily/0yum-daily.cron cron-tiedostoilla.

Oletusarvon mukaan tuntijoukko on määritetty tekemättä mitään. Jos päivityksiä on saatavana, päivittäinen cron asetetaan lataamaan, mutta et asenna saatavilla olevia päivityksiä ja lähetä viestejä stdoutiin. Oletuskokoonpano riittää kriittisiin tuotantojärjestelmiin, joissa haluat vastaanottaa ilmoituksia ja päivittää manuaalisesti päivitysten testaamisen jälkeen testipalvelimilla.

Konfiguraatiotiedosto on rakennettu osiin ja jokainen osa sisältää kommentteja, jotka kuvaavat mitä kumpikin määritysrivi tekee.

Jos haluat muokata yum-cron-asetustiedostoa, avaa tiedosto tekstieditorissa:

sudo nano /etc/yum/yum-cron-hourly.conf

Ensimmäisessä osassa Voit määrittää päivitettävät pakettityypit, ottaa viestit ja lataukset käyttöön ja asettaa päivitysten automaattisen käyttöönoton, kun ne ovat saatavilla. Oletusarvon mukaan update_cmd on asetettu oletukseksi, joka päivittää kaikki paketit. Jos haluat asettaa automaattiset valvomattomat päivitykset, on suositeltavaa muuttaa arvo arvoksi, joka kehottaa yumia päivittämään paketit, jotka korjaavat vain tietoturvaongelman.

Seuraavassa esimerkissä muutimme update_cmd arvoksi security ja update_cmd käyttöön päivittämättömät päivitykset asettamalla apply_updates arvoon yes :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

Toisessa osassa määritellään, kuinka viestejä lähetetään. Jos haluat lähettää viestejä sekä emit_via että sähköpostiin, muuta emit_via arvo arvoksi emit_via stdio, email .

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

vuonna osiossa voit asettaa lähettäjän ja vastaanottajan sähköpostiosoitteen. Varmista, että sinulla on työkalu, joka voi lähettää järjestelmään asennettuja sähköposteja, kuten mailx tai postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

-osiossa voit ohittaa yum.conf tiedostossa määritetyt asetukset. Jos haluat jättää tietyt paketit päivittämättä, voit käyttää exclude . Seuraavassa esimerkissä suljetaan pois paketti.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

Sinun ei tarvitse käynnistää yum-cron palvelua, jotta muutokset tulevat voimaan.

Lokien tarkastelu

Tarkasta grep: llä, suoritetaanko yum: een liittyvät cron-työt:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

Yum-päivitysten historia kirjataan tiedostoon /var/log/yum . Voit tarkastella uusimpia päivityksiä tail-komennolla:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

johtopäätös

Tässä opetusohjelmassa olet oppinut määrittämään automaattiset päivitykset ja pitämään CentOS-järjestelmäsi ajan tasalla.

sentin yum turvallisuus