Trên CentOS, RedHat và Fedora, bạn có thể định cấu hình cài đặt tự động các bản cập nhật bảo mật ngay khi chúng xuất hiện trong kho. Trong bài viết này, chúng tôi sẽ cho biết cách sử dụng yum-cron hoặc dnf-tự động để thường xuyên kiểm tra và tự động cài đặt các bản cập nhật bảo mật trên CentOS và RHEL Linux.
Định cấu hình cập nhật tự động với Yum-cron trên CentOS 7 / RHEL 7
Để tự động cập nhật CentOS 7 hoặc RHEL 7, bạn có thể sử dụng yum-cron , có thể được cài đặt bằng trình quản lý gói yum:
# yum install -y yum-cron
Sau khi bạn đã cài đặt gói, hãy chỉnh sửa tệp cấu hình:
# nano /etc/yum/yum-cron.conf
Và thực hiện các thay đổi sau:
update_cmd = security update_messages = yes download_updates = yes apply_updates = yes
Các tham số này có nghĩa là các bản cập nhật bảo mật phải được tự động tải xuống và cài đặt. Tất cả các bản cập nhật khác đều bị bỏ qua và bạn có thể cài đặt chúng theo cách thủ công.
Bạn cũng có thể sử dụng các tùy chọn sau:mức độ nghiêm trọng về bảo mật:Nghiêm trọng - chỉ cài đặt các bản cập nhật bảo mật quan trọng;
bảo mật tối thiểu - cài đặt các bản sửa lỗi và cập nhật bảo mật;
mức độ bảo mật tối thiểu:Nghiêm trọng - chỉ cài đặt các bản sửa lỗi và các bản cập nhật quan trọng.
Nếu tác nhân chuyển thư (MTA) được định cấu hình trên máy chủ của bạn, bạn có thể bật thông báo email tự động đến địa chỉ email bạn chỉ định trong tệp cấu hình:
emit_via = email email_from = server32@localhost email_to = update_alerts@woshub.com email_host = smtpgw.woshub.com
Bạn có thể loại trừ một số gói khỏi tác vụ cài đặt cập nhật tự động. Thêm tên gói vào loại trừ trường của phần [cơ sở], ví dụ:
exclude= mysql* kernel* php*
Lưu các thay đổi trong tệp cấu hình, khởi động yum-cron dịch vụ thêm nó vào khởi động:
# systemctl start yum-cron
# systemctl enable yum-cron
Bạn sẽ nhận được thông tin về cài đặt các bản cập nhật bảo mật qua email hoặc bạn kiểm tra tệp nhật ký /var/log/yum.log . Để thời gian được hiển thị chính xác trong nhật ký, hãy đảm bảo rằng thời gian trên thiết bị Linux của bạn được đồng bộ hóa với máy chủ NTP đáng tin cậy.
yum-security công cụ có thể bị thiếu trong phiên bản Linux của bạn. Trong trường hợp này, bạn có thể gặp lỗi sau khi cố gắng chạy lệnh:# yum upgrade –security Command line error: no such option: —security
Vấn đề được giải quyết bằng cách cài đặt gói thích hợp:
# yum install -y yum-security
Cập nhật bảo mật tự động với Dnf-automatic trên CentOS 8 hoặc RHEL 8
Trên CentOS 8 và RHEL 8, trình quản lý gói yum đã được thay thế bằng dnf và bạn nên sử dụng dnf để cài đặt / cập nhật / gỡ bỏ các gói (tuy nhiên, yum vẫn đang hoạt động như một liên kết tượng trưng đến dnf). Để định cấu hình cài đặt tự động các bản cập nhật bảo mật, hãy cài đặt dnf-automatic :
# dnf install -y dnf-automatic
Sau khi chạy lệnh này, dnf-automatic sẽ được cài đặt và một số gói sẽ được cập nhật.
Tệp cấu hình dnf-automatic là /etc/dnf/automatic.conf :
# nano /etc/dnf/automatic.conf
Bạn cần thay đổi một số tùy chọn trong tệp cấu hình:
upgrade_type = security download_updates = yes apply_updates = yes emit_via = email email_from = server2@localhost
Để nhận thông báo qua e-mail, hãy nhập địa chỉ smtp của bạn.
Chạy dnf-automatic dịch vụ:
# systemctl start dnf-automatic.timer
# systemctl enable dnf-automatic.timer
Bạn có thể xem các tác vụ cập nhật tự động của mình bằng lệnh này:
# systemctl list-timers *dnf*
Bạn có thể nhận nhật ký cập nhật qua email hoặc kiểm tra tệp nhật ký cục bộ /var/log/dnf.rpm.log .
Cài đặt cập nhật tự động cho phép tăng cường bảo mật và bảo vệ máy chủ Linux của bạn trên Internet bằng cách cài đặt các bản cập nhật bảo mật và sửa lỗi cho phần mềm của bạn càng sớm càng tốt. Trong hầu hết các trường hợp, cài đặt cập nhật tự động trên máy chủ sản xuất mà không có sự kiểm soát của quản trị viên là một giải pháp kém. Nhưng trong một số trường hợp, cập nhật tự động là rất quan trọng hoặc rủi ro bảo mật lớn hơn rủi ro dịch vụ tạm thời không khả dụng.