Konfigurieren Sie automatische Updates mit yum

Die regelmäßige Aktualisierung Ihres CentOS-Systems ist einer der wichtigsten Aspekte der Gesamtsystemsicherheit. Wenn Sie die Pakete Ihres Betriebssystems nicht mit den neuesten Sicherheitspatches aktualisieren, ist Ihr Computer anfällig für Angriffe.

In diesem Tutorial werden wir die Konfiguration der automatischen Updates unter CentOS 7 durchführen. Dieselben Anweisungen gelten für CentOS 6.

Voraussetzungen

Stellen Sie vor dem Fortfahren mit diesem Lernprogramm sicher, dass Sie als Benutzer mit sudo-Berechtigungen angemeldet sind.

Yum-cron-Paket installieren

Mit dem yum-cron Paket können Sie den Befehl yum automatisch als Cron-Job ausführen, um nach Updates zu suchen, diese herunterzuladen und diese anzuwenden. Möglicherweise ist dieses Paket bereits auf Ihrem CentOS-System installiert. Falls nicht installiert, können Sie das Paket mit folgendem Befehl installieren:

sudo yum install yum-cron

Sobald die Installation abgeschlossen ist, aktivieren und starten Sie den Dienst:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

Geben Sie den folgenden Befehl ein, um zu überprüfen, ob der Dienst ausgeführt wird:

systemctl status yum-cron

Informationen zum yum-cron-Dienststatus werden auf dem Bildschirm angezeigt:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

Yum-cron konfigurieren

yum-cron wird mit zwei Konfigurationsdateien yum-cron.conf , die im Verzeichnis /etc/yum gespeichert sind, der stündlichen Konfigurationsdatei yum-cron.conf und der täglichen Konfigurationsdatei yum-cron-hourly.conf .

Der yum-cron Dienst steuert nur, ob die cron-Jobs ausgeführt werden. Das Dienstprogramm yum-cron wird von den cron-Dateien /etc/cron.hourly/0yum-hourly.cron und /etc/cron.daily/0yum-daily.cron .

Standardmäßig ist der Stunden-Cron so konfiguriert, dass er nichts tut. Wenn Updates verfügbar sind, lädt der tägliche Cron die verfügbaren Updates herunter, installiert sie jedoch nicht und sendet Nachrichten an stdout. Die Standardkonfiguration ist ausreichend für kritische Produktionssysteme, auf denen Sie Benachrichtigungen erhalten und das Update manuell ausführen möchten, nachdem Sie die Updates auf Testservern getestet haben.

Die Konfigurationsdatei ist in Abschnitte unterteilt, und jeder Abschnitt enthält Kommentare, die beschreiben, was die einzelnen Konfigurationszeilen tun.

Öffnen Sie die Datei in Ihrem Texteditor, um die yum-cron-Konfigurationsdatei zu bearbeiten:

sudo nano /etc/yum/yum-cron-hourly.conf

Im ersten Abschnitt Sie können die Pakettypen definieren, die aktualisiert werden sollen, Nachrichten und Downloads aktivieren und festlegen, dass Updates automatisch angewendet werden, wenn sie verfügbar sind. Standardmäßig ist update_cmd auf default gesetzt, wodurch alle Pakete aktualisiert werden. Wenn Sie automatische unbeaufsichtigte Aktualisierungen festlegen möchten, wird empfohlen, den Wert auf " security zu ändern, wodurch Sie aufgefordert werden, Pakete zu aktualisieren, die nur ein Sicherheitsproblem beheben.

Im folgenden Beispiel haben wir update_cmd in security geändert und unbeaufsichtigte Updates apply_updates , indem apply_updates auf yes :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

Der zweite Abschnitt definiert, wie Nachrichten gesendet werden. Um Nachrichten sowohl an stdout als auch an email zu senden, ändern Sie den Wert von emit_via in stdio, email .

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

In dem In diesem Bereich können Sie die E-Mail-Adresse des Absenders und Empfängers festlegen. Stellen Sie sicher, dass Sie über ein Tool verfügen, das auf Ihrem System installierte E-Mails senden kann, z. B. mailx oder postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

Das In diesem Abschnitt können Sie die in der Datei yum.conf definierten Einstellungen yum.conf . Wenn Sie bestimmte Pakete von der Aktualisierung ausschließen möchten, können Sie den Parameter exclude . Im folgenden Beispiel schließen wir das Paket aus.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

Sie müssen den yum-cron Dienst nicht neu starten, damit die Änderungen wirksam werden.

Anzeigen von Protokollen

Verwenden Sie grep, um zu überprüfen, ob die mit yum verknüpften Cron-Jobs ausgeführt werden:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

Der Verlauf der yum-Updates wird in der Datei /var/log/yum protokolliert. Sie können die neuesten Updates mit dem Befehl tail anzeigen:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

Fazit

In diesem Tutorial haben Sie gelernt, wie Sie automatische Updates konfigurieren und Ihr CentOS-System auf dem neuesten Stand halten.

Centos yum Sicherheit