Настройка автоматических обновлений безопасности в CentOS 7

Одной из рекомендуемых задач, которые мы можем запускать в наших операционных системах, независимо от ее разработчика, является ее обновление с последними исправлениями, разработанными производителем, поскольку это оптимизирует лучшие уровни безопасности, совместимости и производительности.

Хотя Linux — одна из самых безопасных операционных систем, мы не можем оставить в стороне проблему обновлений, так как постоянные текущие угрозы были разработаны для воздействия на все типы операционных систем.

Чтобы следовать этому руководству, вам нужно быть root пользователем.

Установите Yum-cron в CentOS 7

Yum-cron — это инструмент командной строки, который позволяет нам управлять обновлениями системы и пакетов в CentOS-системах.

Этот демон доступен в CentOS и Fedora, который использует скрипт cron, которым он проверяет каждый день, если есть доступные обновления, и если они существуют, это дает нам возможность установить их, загрузить или отправить нам уведомление по электронной почте.

Эта утилита доступна в репозитории CentOS 7, и для ее установки мы выполним следующее:

yum -y install yum-cron

По завершении установки мы начнем работу службы yum-cron и настроим ее для автоматического запуска в начале системы, для этого мы можем выполнить следующие команды.

systemctl start yum-cron
systemctl enable yum-cron

Таким образом, мы установили yum-cron в CentOS 7.

Настройка Yum-cron для автоматического обновления

После установки пакета yum-cron в CentOS 7 необходимо будет настроить его для автоматического обновления.

По умолчанию yum-cron предоставляет три типа обновлений:

  • Обновление по умолчанию с помощью команды:
yum upgrade
  • Минимальное обновление
  • Обновление безопасности

Чтобы настроить эти значения, мы должны перейти в каталог с yum-cron.conf и получить к нему доступ на редактирование  нужным редактором, в этом случае nano:

cd /etc/yum/
nano yum-cron.conf

В этом файле мы должны перейти к строке update_cmd, чтобы определить тип обновления, которое будет исполнен вашей системой CentOS 7.

Мы видим, что его текущее значение по умолчанию и для загрузки и установки update  — Security  мы определим следующую строку:

update_cmd = security

Теперь мы должны подтвердить, что в строке update_messages это значение yes

Наконец, необходимо будет подтвердить, что следующие строчки выставлены на yes

Таким образом, всякий раз, когда доступно обновление для системы безопасности, система автоматически загружает необходимые пакеты и затем применяет все обновления.

download_updates = yes
apply_updates = yes

Теперь мы увидим, как настроить уведомление по сообщениям, помните, что yum-cron позволяет нам отправлять уведомление на адрес электронной почты.

Если мы хотим получать уведомление по почте, мы установим следующее значение в строке emit_via:

emit_via = email

Теперь мы можем определить адрес электронной почты:

email_from = root@localhost
email_to = solvetic@outlook.com
email_host = localhost

Сохраните изменения, используя следующую комбинацию клавиш Ctrl + O и выйдите из редактора, используя Ctrl + X.

После обработки изменений перезапустите службу yum-cron, выполняя следующее.

С помощью этого процесса обновления системы будут автоматически загружаться и обновления будут применяться с использованием yum-cron ежедневно.

systemctl restart yum-cron

Настройка исключений для пакетов в CentOS 7

На этом этапе мы можем не применять автоматические обновления на некоторых пакетах, включая ядро CentOS 7.

Для этих исключений мы снова правим файл конфигурации:

cd /etc/yum/
nano yum-cron.conf

В финальной части файла мы найдем базовый раздел, и мы должны добавить следующую строку, например, чтобы исключить ядро с MySQL:

exclude = mysql* kernel*

В этом конкретном примере все пакеты с именами, начинающимися с «mysql» или «kernel», будут отключены для автоматического обновления.

Мы сохраняем изменения и перезапускаем службу, выполняя:

systemctl restart yum-cron

 

Yum-cron описание параметров

В этом конфигурационном файле yum-cron можно указать четыре основных параметра:

  • CHECK_ONLY (yes | no): этот параметр позволяет нам указать, будет ли он проверяться только при загрузке, но не для выполнения дополнительных действий (без их установки или загрузки).
  • DOWNLOAD_ONLY (yes | no): Применяется в случае, если не проверять наличие обновлений (CHECK_ONLY = NO), но этот параметр позволяет нам загружать и устанавливать или загружать только обновления, доступные для CentOS 7.
  • MAILTO (электронная почта): позволяет отправлять почту уведомления с результатом действий, выполняемых каждый раз, когда выполняется yum-cron.
  • DAYS_OF_WEEK («0123456»): этот параметр используется для указания, в какие дни недели будет проводиться проверка обновлений.

Проверка журналов Yum-cron в CentOs 7

Параметр yum-cron использует cronjob для автоматических обновлений безопасности, и все записи этого cron будут доступны в каталоге /var/log.

Чтобы увидеть эти записи, мы выполним следующее:

cd /var/log/
cat cron | grep yum-daily

Если мы хотим посмотреть на установленные пакеты, мы запустим следующее:

cat yum.log | grep Updated

С помощью этой опции yum-cron мы можем быть уверены, что обновления будут готовы к загрузке и установке, как только будет доступны.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40