Las actualizaciones de seguridad, como la mayoría de ustedes estaría de acuerdo, son muy importantes. En Linux, siempre es recomendable mantener actualizados los paquetes instalados, especialmente cuando se trata de seguridad. En general, los usuarios deben aplicar las actualizaciones de seguridad a sus sistemas Linux dentro de los 30 días posteriores al lanzamiento.
En este tutorial, discutiremos cómo puede configurar un servidor CentOS 7 para actualizaciones de seguridad automáticas. Esto asegurará que el sistema descargue automáticamente los paquetes y aplique todas las actualizaciones de seguridad sin ninguna intervención manual.
De qué hablaremos:
- Cómo instalar yum-cron en CentOS 7
- Cómo configurar yum-cron para actualizaciones de seguridad automáticas
- Cómo excluir paquetes específicos de las actualizaciones automáticas
- Cómo comprobar los registros de yum-cron
Requisito previo
- Servidor CentOS 7
- Privilegios de raíz
Paso 1:instale yum-cron en CentOS 7
Yum-cron es una herramienta de línea de comandos para administrar actualizaciones de paquetes y sistemas en sistemas CentOS.
La utilidad está disponible en el repositorio de CentOS 7. Puede instalarlo usando el siguiente comando.
yum -y install yum-cron
Una vez completada la instalación, inicie el servicio yum-cron y luego asegúrese de que se inicie automáticamente al iniciar el sistema a partir de ahora. Todo esto se puede hacer usando los siguientes comandos:
systemctl start yum-cron
systemctl enable yum-cron
Eso es todo. Yum-cron ahora está correctamente instalado en su servidor CentOS 7.
Paso 2:configurar Yum-Cron para actualizaciones automáticas
Después de instalar el paquete yum-cron, debemos configurarlo para actualizaciones automáticas. De forma predeterminada, yum-cron proporciona tres tipos de actualizaciones:actualización predeterminada mediante el comando de actualización de yum, actualización mínima y actualización de seguridad.
Tenga en cuenta que en este tutorial configuraremos yum-cron para actualizaciones de seguridad (relacionadas con el sistema y los paquetes). Así que comencemos.
Como primer paso, vaya a 'yum' directorio de configuración y edite el archivo 'yum-cron.conf ' usando el editor Vim.
cd /etc/yum/
vim yum-cron.conf
Nota :Por supuesto, puede utilizar cualquier otro editor de su elección. Y para aquellos que quieran aprender Vim, consulten nuestro completo tutorial aquí.
En el archivo, diríjase a la línea que comienza con la cadena 'update_cmd' y defina el tipo de actualización que desea usar. Por ejemplo, en este tutorial, nos estamos enfocando solo en las actualizaciones de seguridad, así que cambie el valor de 'predeterminado' a 'seguridad'.
update_cmd = security
Del mismo modo, diríjase a la línea que comienza con la cadena 'update_messages' y asegúrese de que su valor sea 'yes'.
update_messages = yes
Luego haga lo mismo para las líneas 'download_updates' y 'apply_updates'.
download_updates = yes
apply_updates = yes
Entonces, siempre que haya una actualización de seguridad disponible, el sistema descargará automáticamente los paquetes necesarios y luego aplicará todas las actualizaciones.
El siguiente paso es la configuración de notificaciones de mensajes. Básicamente, Yum-cron ofrece dos formas:puede mostrar notificaciones en STDIO o enviarlas a una dirección de correo electrónico. Para este tutorial, usaremos la segunda opción, que es el correo electrónico.
Así que cambie el valor de 'emit_via' a 'email' como se muestra a continuación.
emit_via = email
Hay un puñado de otros cambios relacionados que debe hacer, incluida la especificación de direcciones de correo electrónico y host de correo electrónico. Estos son los valores que hemos establecido:
email_from = [email protected]
email_to = [email protected]
email_host = hakase-labs
Eso es todo. Ahora guarde el archivo y salga del editor.
El paso final es reiniciar el servicio yum-cron, lo que puede hacer con el siguiente comando:
systemctl restart yum-cron
En esta etapa, cualquier actualización de seguridad en el sistema se descargará y aplicará automáticamente usando yum-cron diariamente.
Paso 3:configurar paquetes excluidos
A veces, por la razón que sea, no queremos aplicar actualizaciones automáticas en algunos paquetes, incluido el kernel. En este paso, analizaremos la configuración que le permitirá deshabilitar las actualizaciones para paquetes seleccionados.
Así que el primer paso aquí es editar el archivo de configuración yum-cron.conf, que reside en el directorio de configuración de yum.
cd /etc/yum/
vim yum-cron.conf
Hacia la parte inferior del archivo, verá la sección '[base]'. Agregue una nueva línea debajo de esta sección que contenga los nombres de los paquetes que desea excluir. Por ejemplo, algo similar a lo siguiente:
exclude = mysql* kernel*
Ahora simplemente guarde los cambios y salga.
Sí, lo has adivinado bien, ahora tendrás que reiniciar el servicio yum-cron.
systemctl restart yum-cron
Entonces, en nuestro caso, todos los paquetes con nombres que comienzan con 'mysql' o 'kernel' se desactivarán para las actualizaciones automáticas.
Paso 4:comprobar los registros de yum-cron
Yum-cron utiliza un cronjob para actualizaciones de seguridad automáticas y todos los registros de este cron están disponibles en el directorio '/var/log'.
Por lo tanto, debe dirigirse al directorio '/var/log' para acceder al archivo de registro 'cron'.
cd /var/log/
cat cron | grep yum-daily
Y en caso de que quieras ver los paquetes que se han actualizado, puedes consultar el archivo yum.log.
cat yum.log | grep Updated
Referencias
- https://www.stephenrlang.com/
- https://community.centminmod.com/