Configureer automatische updates met jammie

Regelmatig bijwerken van uw CentOS-systeem is een van de belangrijkste aspecten van de algehele systeembeveiliging. Als u de pakketten van uw besturingssysteem niet bijwerkt met de nieuwste beveiligingspatches, blijft uw machine kwetsbaar voor aanvallen.

In deze zelfstudie doorlopen we het proces van het configureren van automatische updates op CentOS 7. Dezelfde instructies zijn van toepassing op CentOS 6.

voorwaarden

Zorg ervoor dat u bent aangemeld als een gebruiker met sudo-rechten voordat u doorgaat met deze zelfstudie.

Yum-cron-pakket installeren

Met het yum-cron pakket kunt u de yum-opdracht automatisch uitvoeren als cron-taak om te controleren op updates, deze te downloaden en toe te passen. De kans is groot dat dit pakket al op uw CentOS-systeem is geïnstalleerd. Als het niet is geïnstalleerd, kunt u het pakket installeren door de volgende opdracht uit te voeren:

sudo yum install yum-cron

Nadat de installatie is voltooid, schakelt u de service in en start u deze:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

Typ de volgende opdracht om te controleren of de service actief is:

systemctl status yum-cron

Informatie over de yum-cron-servicestatus wordt op het scherm weergegeven:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

Yum-cron configureren

yum-cron wordt geleverd met twee configuratiebestanden die zijn opgeslagen in de map /etc/yum , het configuratiebestand per uur yum-cron.conf en het dagelijkse configuratiebestand yum-cron-hourly.conf .

De yum-cron service bepaalt alleen of de cron-taken worden uitgevoerd. Het hulpprogramma yum-cron wordt aangeroepen door de /etc/cron.hourly/0yum-hourly.cron en /etc/cron.daily/0yum-daily.cron cron-bestanden.

Standaard is de cron per uur geconfigureerd om niets te doen. Als er updates beschikbaar zijn, wordt de dagelijkse cron ingesteld om te downloaden, maar niet om de beschikbare updates te installeren en berichten naar stdout te verzenden. De standaardconfiguratie is voldoende voor kritieke productiesystemen waar u meldingen wilt ontvangen en de update handmatig uitvoert na het testen van de updates op testservers.

Het configuratiebestand is gestructureerd in secties en elke sectie bevat opmerkingen die beschrijven wat elke configuratieregel doet.

Om het yum-cron configuratiebestand te bewerken, opent u het bestand in uw teksteditor:

sudo nano /etc/yum/yum-cron-hourly.conf

In het eerste gedeelte u kunt de soorten pakketten definiëren die u wilt bijwerken, berichten en downloads inschakelen en instellen dat updates automatisch worden toegepast wanneer deze beschikbaar zijn. Standaard is update_cmd ingesteld op standaard waardoor alle pakketten worden bijgewerkt. Als u automatische onbeheerde updates wilt instellen, wordt het aanbevolen om de waarde te wijzigen in security die u zal vertellen dat u pakketten moet bijwerken die alleen een beveiligingsprobleem oplossen.

In het volgende voorbeeld hebben we update_cmd gewijzigd in security en updates zonder toezicht ingeschakeld door apply_updates te stellen op yes :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

In de tweede secties wordt bepaald hoe berichten worden verzonden. Om berichten naar zowel stdout als e-mail te verzenden, wijzigt u de waarde van emit_via in stdio, email .

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

In de sectie kunt u het e-mailadres van de afzender en de ontvanger instellen. Zorg ervoor dat u een tool hebt die e-mails op uw systeem kan installeren, zoals mailx of postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

De sectie kunt u de instellingen overschrijven die zijn gedefinieerd in het bestand yum.conf . Als u wilt uitsluiten dat specifieke pakketten worden bijgewerkt, kunt u de parameter exclude . In het volgende voorbeeld sluiten we het pakket uit.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

U hoeft de yum-cron service niet opnieuw te starten om de wijzigingen door te voeren.

Logboeken bekijken

Gebruik grep om te controleren of de cron-taken die zijn gekoppeld aan yum worden uitgevoerd:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

De geschiedenis van de yum-updates wordt vastgelegd in het bestand /var/log/yum . U kunt de laatste updates bekijken met behulp van de opdracht tail:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

Conclusie

In deze zelfstudie hebt u geleerd hoe u automatische updates configureert en uw CentOS-systeem up-to-date houdt.

centos yum beveiliging