Configura gli aggiornamenti automatici con yum

L'aggiornamento regolare del sistema CentOS è uno degli aspetti più importanti della sicurezza generale del sistema. Se non aggiorni i pacchetti del tuo sistema operativo con le ultime patch di sicurezza, stai lasciando la tua macchina vulnerabile agli attacchi.

In questa esercitazione verrà illustrato il processo di configurazione degli aggiornamenti automatici su CentOS 7. Le stesse istruzioni si applicano a CentOS 6.

Prerequisiti

Prima di continuare con questo tutorial, assicurati di aver effettuato l'accesso come utente con privilegi sudo.

Installazione del pacchetto yum-cron

Il pacchetto yum-cron consente di eseguire automaticamente il comando yum come processo cron per verificare, scaricare e applicare gli aggiornamenti. È probabile che questo pacchetto sia già installato sul tuo sistema CentOS. Se non installato, è possibile installare il pacchetto eseguendo il comando seguente:

sudo yum install yum-cron

Una volta completata l'installazione, abilitare e avviare il servizio:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

Per verificare che il servizio sia in esecuzione, digitare il comando seguente:

systemctl status yum-cron

Le informazioni sullo stato del servizio yum-cron verranno visualizzate sullo schermo:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

Configurazione di yum-cron

yum-cron viene fornito con due file di configurazione che sono memorizzati nella directory /etc/yum , il file di configurazione oraria yum-cron.conf e il file di configurazione giornaliero yum-cron-hourly.conf .

Il servizio yum-cron controlla solo se i processi cron verranno eseguiti o meno. L'utilità yum-cron è chiamata dai file cron /etc/cron.hourly/0yum-hourly.cron e /etc/cron.daily/0yum-daily.cron .

Per impostazione predefinita, il cron orario è configurato per non fare nulla. Se ci sono aggiornamenti disponibili, il cron giornaliero è impostato per il download ma non installa gli aggiornamenti disponibili e invia messaggi a stdout. La configurazione predefinita è sufficiente per i sistemi di produzione critici in cui si desidera ricevere notifiche ed eseguire manualmente l'aggiornamento dopo aver verificato gli aggiornamenti sui server di prova.

Il file di configurazione è strutturato in sezioni e ogni sezione contiene commenti che descrivono cosa fa ogni riga di configurazione.

Per modificare il file di configurazione yum-cron, apri il file nel tuo editor di testo:

sudo nano /etc/yum/yum-cron-hourly.conf

Nella prima sezione, è possibile definire i tipi di pacchetti che si desidera aggiornare, abilitare i messaggi e i download e impostare l'applicazione automatica degli aggiornamenti quando sono disponibili. Per impostazione predefinita, update_cmd è impostato sul valore predefinito che aggiornerà tutti i pacchetti. Se si desidera impostare aggiornamenti automatici non presidiati, si consiglia di modificare il valore in security che indicherà a yum di aggiornare i pacchetti che risolvono solo un problema di sicurezza.

Nel seguente esempio abbiamo modificato update_cmd in security e abilitato gli aggiornamenti automatici impostando apply_updates su yes :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

La seconda sezione definisce come inviare messaggi. Per inviare messaggi sia a stdout che a e-mail, modifica il valore di emit_via in stdio, email .

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

Nel sezione è possibile impostare l'indirizzo e-mail del mittente e del destinatario. Assicurati di avere uno strumento in grado di inviare e-mail installate sul tuo sistema, come mailx o postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

Il sezione consente di sovrascrivere le impostazioni definite nel file yum.conf . Se si desidera escludere pacchetti specifici dall'aggiornamento, è possibile utilizzare il parametro exclude . Nel seguente esempio, stiamo escludendo il pacchetto.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

Non è necessario riavviare il servizio yum-cron per rendere effettive le modifiche.

Visualizzazione dei registri

Usa grep per verificare se i lavori cron associati a yum sono eseguiti:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

La cronologia degli aggiornamenti di yum è registrata nel file /var/log/yum . Puoi visualizzare gli ultimi aggiornamenti usando il comando tail:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

Conclusione

In questo tutorial, hai imparato come configurare gli aggiornamenti automatici e mantenere aggiornato il tuo sistema CentOS.

centos yum di sicurezza