Gli aggiornamenti di sicurezza, come molti di voi sarebbero d'accordo, sono molto importanti. Su Linux, è sempre consigliabile mantenere aggiornati i pacchetti installati, soprattutto per quanto riguarda la sicurezza. In generale, gli utenti devono applicare gli aggiornamenti di sicurezza ai propri sistemi Linux entro 30 giorni dal rilascio.
In questo tutorial, discuteremo di come configurare un server CentOS 7 per gli aggiornamenti di sicurezza automatici. Ciò assicurerà che il sistema scarichi automaticamente i pacchetti e applichi tutti gli aggiornamenti di sicurezza senza alcun intervento manuale.
Di cosa parleremo:
- Come installare yum-cron su CentOS 7
- Come configurare yum-cron per gli aggiornamenti di sicurezza automatici
- Come escludere pacchetti specifici dagli aggiornamenti automatici
- Come controllare i log di yum-cron
Prerequisito
- Server CentOS 7
- Privilegi di root
Passaggio 1:installa yum-cron su CentOS 7
Yum-cron è uno strumento da riga di comando per gestire gli aggiornamenti di sistema e di pacchetto sui sistemi CentOS.
L'utilità è disponibile nel repository CentOS 7. Puoi installarlo usando il comando qui sotto.
yum -y install yum-cron
Al termine dell'installazione, avvia il servizio yum-cron, quindi assicurati che si avvii automaticamente all'avvio del sistema d'ora in poi. Tutto questo può essere fatto utilizzando i seguenti comandi:
systemctl start yum-cron
systemctl enable yum-cron
Ecco fatto. Yum-cron ora è installato correttamente sul tuo server CentOS 7.
Passaggio 2:configura Yum-Cron per gli aggiornamenti automatici
Dopo aver installato il pacchetto yum-cron, dobbiamo configurarlo per gli aggiornamenti automatici. Per impostazione predefinita, yum-cron fornisce tre tipi di aggiornamenti:aggiornamento predefinito utilizzando il comando yum upgrade, aggiornamento minimo e aggiornamento della sicurezza.
Nota che in questo tutorial configureremo yum-cron per gli aggiornamenti di sicurezza (relativi sia al sistema che ai pacchetti). Allora cominciamo.
Come primo passo, vai su 'yum' directory di configurazione e modificare il file 'yum-cron.conf ' utilizzando l'editor Vim.
cd /etc/yum/
vim yum-cron.conf
Nota :Ovviamente puoi usare qualsiasi altro editor di tua scelta. E per coloro che vogliono imparare Vim, dai un'occhiata al nostro tutorial completo qui.
Nel file, vai alla riga che inizia con la stringa 'update_cmd' e definisci il tipo di aggiornamento che desideri utilizzare. Ad esempio, in questo tutorial ci concentreremo solo sugli aggiornamenti di sicurezza, quindi cambia il valore da "predefinito" a "sicurezza".
update_cmd = security
Allo stesso modo, vai alla riga che inizia con la stringa 'update_messages' e assicurati che il suo valore sia 'yes'.
update_messages = yes
Quindi fai lo stesso per le righe "download_updates" e "apply_updates".
download_updates = yes
apply_updates = yes
Pertanto, ogni volta che è disponibile un aggiornamento di sicurezza, il sistema scaricherà automaticamente i pacchetti richiesti e quindi applicherà tutti gli aggiornamenti.
Il prossimo passo è la configurazione della notifica dei messaggi. Fondamentalmente, Yum-cron offre due modi:puoi visualizzare le notifiche su STDIO o inviarle a un indirizzo e-mail. Per questo tutorial, utilizzeremo la seconda opzione, che è l'e-mail.
Quindi cambia il valore di 'emit_via' in 'email' come mostrato di seguito.
emit_via = email
Ci sono una manciata di altre modifiche correlate che devi fare, inclusa la specifica da e verso indirizzi e-mail e host e-mail. Ecco i valori che abbiamo impostato:
email_from = [email protected]
email_to = [email protected]
email_host = hakase-labs
Questo è tutto. Ora salva il file ed esci dall'editor.
Il passaggio finale è riavviare il servizio yum-cron, cosa che puoi fare usando il seguente comando:
systemctl restart yum-cron
In questa fase, tutti gli aggiornamenti di sicurezza sul sistema verranno automaticamente scaricati e applicati utilizzando yum-cron su base giornaliera.
Passaggio 3:configura i pacchetti di esclusione
A volte, per qualsiasi motivo, non vogliamo applicare aggiornamenti automatici su alcuni pacchetti, incluso il kernel. In questo passaggio, discuteremo della configurazione che ti consentirà di disabilitare gli aggiornamenti per i pacchetti selezionati.
Quindi il primo passo qui è modificare il file di configurazione yum-cron.conf, che risiede nella directory di configurazione di yum.
cd /etc/yum/
vim yum-cron.conf
Verso la fine del file, vedrai la sezione '[base]'. Aggiungi una nuova riga in questa sezione contenente i nomi dei pacchetti che desideri escludere. Ad esempio, qualcosa di simile al seguente:
exclude = mysql* kernel*
Ora salva le modifiche ed esci.
Sì, hai indovinato, ora dovrai riavviare il servizio yum-cron.
systemctl restart yum-cron
Quindi nel nostro caso, tutti i pacchetti con nomi che iniziano con 'mysql' o 'kernel' verranno disabilitati per gli aggiornamenti automatici.
Fase 4:controlla i log di yum-cron
Yum-cron utilizza un cronjob per gli aggiornamenti di sicurezza automatici e tutti i registri per questo cron sono disponibili nella directory '/var/log'.
Quindi devi andare alla directory '/var/log' per accedere al file di registro 'cron'.
cd /var/log/
cat cron | grep yum-daily
E se vuoi vedere i pacchetti che sono stati aggiornati, puoi controllare il file yum.log.
cat yum.log | grep Updated
Riferimenti
- https://www.stephenrlang.com/
- https://community.centminmod.com/