A day with Scandale - Harmonie Collection - Spring / Summer 2013
สารบัญ:
การอัพเดทระบบ CentOS ของคุณอย่างสม่ำเสมอเป็นหนึ่งในส่วนที่สำคัญที่สุดของความปลอดภัยของระบบโดยรวม หากคุณไม่อัปเดตแพ็คเกจของระบบปฏิบัติการด้วยแพตช์รักษาความปลอดภัยล่าสุดแสดงว่าคุณปล่อยให้เครื่องของคุณเสี่ยงต่อการถูกโจมตี
ในบทช่วยสอนนี้เราจะดำเนินการตามขั้นตอนการกำหนดค่าการอัพเดทอัตโนมัติบน CentOS 7 คำแนะนำเดียวกันนี้สำหรับ CentOS 6
ข้อกำหนดเบื้องต้น
ก่อนดำเนินการกับบทช่วยสอนนี้ต่อให้แน่ใจว่าคุณได้เข้าสู่ระบบในฐานะผู้ใช้ที่มีสิทธิ์ sudo
การติดตั้งแพคเกจ yum-cron
แพ็คเกจ
yum-cron
ช่วยให้คุณสามารถรันคำสั่ง yum โดยอัตโนมัติเป็นงาน cron เพื่อตรวจสอบดาวน์โหลดและใช้การอัปเดต โอกาสที่แพคเกจนี้ได้รับการติดตั้งบนระบบ CentOS ของคุณแล้ว หากไม่ได้ติดตั้งคุณสามารถติดตั้งแพ็กเกจได้โดยการรันคำสั่งต่อไปนี้:
sudo yum install yum-cron
เมื่อการติดตั้งเสร็จสมบูรณ์ให้เปิดใช้งานและเริ่มบริการ:
sudo systemctl enable yum-cron
sudo systemctl start yum-cron
เมื่อต้องการตรวจสอบว่าบริการกำลังทำงานอยู่ให้พิมพ์คำสั่งต่อไปนี้:
systemctl status yum-cron
ข้อมูลเกี่ยวกับสถานะบริการ yum-cron จะปรากฏบนหน้าจอ:
● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service
การกำหนดค่า yum-cron
yum-cron มาพร้อมกับไฟล์กำหนดค่าสองไฟล์ที่เก็บไว้ในไดเร็กทอรี
/etc/yum
, ไฟล์กำหนดค่ารายชั่วโมง
yum-cron.conf
และไฟล์กำหนดค่ารายวัน
yum-cron-hourly.conf
บริการ
yum-cron
จะควบคุมว่าจะให้งาน cron รันหรือไม่ ยูทิลิตี
yum-cron
ถูกเรียกใช้โดยไฟล์
/etc/cron.hourly/0yum-hourly.cron
และ
/etc/cron.daily/0yum-daily.cron
ไฟล์ cron
โดยค่าเริ่มต้น cron รายชั่วโมงจะถูกกำหนดค่าให้ไม่ทำอะไรเลย หากมีการอัพเดต cron รายวันจะถูกตั้งค่าให้ดาวน์โหลด แต่ไม่ได้ติดตั้งการอัปเดตที่มีอยู่และส่งข้อความไปยัง stdout การกำหนดค่าเริ่มต้นนั้นเพียงพอสำหรับระบบการผลิตที่สำคัญซึ่งคุณต้องการรับการแจ้งเตือนและทำการอัปเดตด้วยตนเองหลังจากทดสอบการอัปเดตบนเซิร์ฟเวอร์ทดสอบ
ไฟล์การกำหนดค่ามีโครงสร้างในส่วนและแต่ละส่วนมีความคิดเห็นที่อธิบายถึงสิ่งที่แต่ละสายการกำหนดค่า
หากต้องการแก้ไขไฟล์คอนฟิกูเรชัน yum-cron ให้เปิดไฟล์ในเท็กซ์เอดิเตอร์ของคุณ:
sudo nano /etc/yum/yum-cron-hourly.conf
ในส่วนแรก
คุณสามารถกำหนดประเภทของแพ็คเกจที่คุณต้องการอัพเดทเปิดใช้งานข้อความและดาวน์โหลดและตั้งค่าให้ใช้การอัปเดตโดยอัตโนมัติเมื่อมีให้ใช้งาน โดยค่าเริ่มต้น
update_cmd
ถูกตั้งค่าเป็นค่าเริ่มต้นซึ่งจะปรับปรุงแพคเกจทั้งหมด หากคุณต้องการตั้งค่าการอัพเดตอัตโนมัติแบบอัตโนมัติขอแนะนำให้เปลี่ยนค่าเป็น
security
ซึ่งจะบอกให้ yum อัปเดตแพ็คเกจที่แก้ไขปัญหาความปลอดภัยเท่านั้น
ในตัวอย่างต่อไปนี้เราเปลี่ยน
update_cmd
เป็น
security
และเปิดใช้งานการปรับปรุงแบบอัตโนมัติโดยการตั้งค่า
apply_updates
เป็น
yes
:
update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360
ส่วนที่สองกำหนดวิธีส่งข้อความ ในการส่งข้อความไปยัง stdout และอีเมลให้เปลี่ยนค่าของ
emit_via
เป็น
stdio, email
system_name = None emit_via = stdio, email output_width = 80
ใน
ส่วนคุณสามารถตั้งค่าที่อยู่อีเมลของผู้ส่งและผู้รับ ตรวจสอบให้แน่ใจว่าคุณมีเครื่องมือที่สามารถส่งอีเมลที่ติดตั้งในระบบของคุณเช่น mailx หรือ postfix
email_from = [email protected] email_to = [email protected] email_host = localhost
ส่วนช่วยให้คุณสามารถแทนที่การตั้งค่าที่กำหนดในไฟล์
yum.conf
หากคุณต้องการแยกแพ็กเกจเฉพาะออกจากการอัพเดตคุณสามารถใช้พารามิเตอร์
exclude
ในตัวอย่างต่อไปนี้เราไม่รวมแพ็คเกจ
debuglevel = -2 mdpolicy = group:main exclude = mongodb*
คุณไม่จำเป็นต้องรีสตาร์ทบริการ
yum-cron
เพื่อให้การเปลี่ยนแปลงมีผล
ดูบันทึก
ใช้ grep เพื่อตรวจสอบว่างาน cron ที่เกี่ยวข้องกับ yum นั้นถูกดำเนินการหรือไม่:
sudo grep yum /var/log/cron
May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron
ประวัติของการอัพเดต yum นั้นถูกบันทึกไว้ในไฟล์
/var/log/yum
คุณสามารถดูการอัพเดตล่าสุดโดยใช้คำสั่ง tail:
sudo tail -f /var/log/yum.log
May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64
ข้อสรุป
ในบทช่วยสอนนี้คุณได้เรียนรู้วิธีกำหนดค่าการอัปเดตอัตโนมัติและทำให้ระบบ CentOS ของคุณทันสมัยอยู่เสมอ
ความปลอดภัยของ centos yum