Automatic Security Updates in CentOS
Innholdsfortegnelse:
Regelmessig oppdatering av CentOS-systemet er en av de viktigste aspektene ved den generelle systemsikkerheten. Hvis du ikke oppdaterer operativsystemets pakker med de siste sikkerhetsoppdateringene, lar du maskinen bli utsatt for angrep.
I denne opplæringen vil vi gå gjennom prosessen med å konfigurere automatiske oppdateringer på CentOS 7. De samme instruksjonene gjelder for CentOS 6.
Forutsetninger
Før du fortsetter med denne opplæringen, må du sørge for at du er logget inn som en bruker med sudo-rettigheter.
Installere yum-cron-pakken
yum-cron
pakken lar deg automatisk kjøre yum-kommandoen som en cron-jobb for å se etter, laste ned og bruke oppdateringer. Sjansen er stor for at denne pakken allerede er installert på CentOS-systemet. Hvis ikke installert, kan du installere pakken ved å kjøre følgende kommando:
sudo yum install yum-cron
Når installasjonen er fullført, aktiver og start tjenesten:
sudo systemctl enable yum-cron
sudo systemctl start yum-cron
For å bekrefte at tjenesten kjører, skriver du inn følgende kommando:
systemctl status yum-cron
Informasjon om yum-cron-tjenestestatusen vises på skjermen:
● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service
Konfigurerer yum-cron
yum-cron kommer med to konfigurasjonsfiler som er lagret i katalogen
/etc/yum
, konfigurasjonsfilen per time
yum-cron.conf
og den daglige konfigurasjonsfilen
yum-cron-hourly.conf
.
yum-cron
tjenesten kontrollerer bare om cron-jobbene vil løpe eller ikke.
yum-cron
verktøyet kalles av
/etc/cron.hourly/0yum-hourly.cron
og
/etc/cron.daily/0yum-daily.cron
cron-filene.
Som standard er timekronen konfigurert til å ikke gjøre noe. Hvis det er oppdateringer tilgjengelig, er den daglige cron satt til å laste ned, men ikke installere tilgjengelige oppdateringer og sende meldinger til stdout. Standardkonfigurasjonen er tilstrekkelig for kritiske produksjonssystemer der du vil motta varsler og gjøre oppdateringen manuelt etter å ha testet oppdateringene på testservere.
Konfigurasjonsfilen er strukturert i seksjoner, og hver seksjon inneholder kommentarer som beskriver hva hver konfigurasjonslinje gjør.
Hvis du vil redigere konfigurasjonsfilen yum-cron, åpner du filen i tekstredigeringsprogrammet:
sudo nano /etc/yum/yum-cron-hourly.conf
I den første delen
Du kan definere hvilke typer pakker du vil oppdateres, aktivere meldinger og nedlastinger og stille inn automatisk oppdateringer når de er tilgjengelige. Som standard er
update_cmd
satt til standard som vil oppdatere alle pakker. Hvis du vil angi automatiske uovervåkte oppdateringer, anbefales det å endre verdien til
security
som vil gi deg beskjed om å oppdatere pakker som bare løser et sikkerhetsproblem.
I det følgende eksemplet endret vi
update_cmd
til
security
og aktiverte uovervåkte oppdateringer ved å sette
apply_updates
til
yes
:
update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360
De andre seksjonene definerer hvordan du skal sende meldinger. For å sende meldinger til både stdout og e-post, endre verdien på
emit_via
til
stdio, email
.
system_name = None emit_via = stdio, email output_width = 80
I
kan du angi avsender og mottaker e-postadresse. Forsikre deg om at du har et verktøy som kan sende e-post installert på systemet ditt, for eksempel mailx eller postfix.
email_from = [email protected] email_to = [email protected] email_host = localhost
De
delen lar deg overstyre innstillingene som er definert i
yum.conf
filen. Hvis du vil ekskludere at spesifikke pakker blir oppdatert, kan du bruke
exclude
parameteren. I det følgende eksemplet ekskluderer vi pakken.
debuglevel = -2 mdpolicy = group:main exclude = mongodb*
Du trenger ikke starte
yum-cron
tjenesten på nytt for at endringene skal tre i kraft.
Viser logger
Bruk grep for å sjekke om cron-jobbene tilknyttet yum utføres:
sudo grep yum /var/log/cron
May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron
Historien til yum-oppdateringene logges i
/var/log/yum
filen. Du kan se de siste oppdateringene ved hjelp av halekommandoen:
sudo tail -f /var/log/yum.log
May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64
Konklusjon
I denne opplæringen har du lært hvordan du konfigurerer automatiske oppdateringer og holder CentOS-systemet ditt oppdatert.
centos yum sikkerhetUtnyttelse avslører den mørkere siden av automatiske oppdateringer
En ny verktøykasse utnytter de automatiske sikkerhetsoppdateringsmekanismer i en rekke programvarepakker og bruker dem til å installere skadelig kode.
Stopp Windows fra Reboot Etter Automatiske oppdateringer
Automatiske systemoppdateringer: God. Automatisert omstart for å bruke disse oppdateringene: dårlig. Veldig veldig dårlig. Slik stopper du det.
Nylig har ulike Bing-programmer i Windows 8, nemlig Reise, Kart, Nyheter, Finans, Sport, mottatt en oppdatering. Disse appene mottok flere oppdateringer. Selv om detaljene om Weather app-oppdateringer ble annonsert, ble det ikke inkludert i dette settet av oppdateringer. Med denne oppdateringen blir det nå mulig å legge til egendefinerte RSS-feeder i Bing News-appen.
Legg til RSS-feeder til Bing News App i Windows 8