У CentOS, RedHat, Fedora ви можете налаштувати автоматичну установку оновлень безпеки відразу після того, як вони з’являються в репозиторіях. У цій статті ми покажемо як за допомогою ням-крон і dnf-автоматичний налаштувати регулярну перевірку і автоматичну установку оновлень безпеки в CentOS 7 і CentOS 8.

Використовуємо yum-cron для настройки автоматичного оновлення CentOS 7

У CentOS 7 для автоматичного оновлення можна використовувати пакет ням-крон, Який можна встановити за допомогою менеджера пакетів yum:

# yum install -y yum-cron

yum-cron в centos 7 автоматичне оновлення

Після установки пакета, потрібно внести зміни в конфігураційний файл. Відкрийте його:

# nano /etc/yum/yum-cron.conf

І внесіть наступні зміни:

update_cmd = security
update_messages = yes
download_updates = yes
apply_updates = yes

yum-cron автоустановка оновлень безопаности в centos 7

Дані паромери вказують, що потрібно автоматичну завантажувати та встановлювати оновлення безпеки. Всі інші оновлення пропускаються, їх можна буде встановити вручну.

Також можна ісопльзовать такі опції:

серйозність безпеки: критична – установка тільки критичні оновлення безпеки;

мінімальна безпека – мінімальне оновлення з виправленнями помилок і поновлення безпеки;

мінімальний рівень безпеки: Критичний – виправлення помилок і тільки критичні оновлення.

Якщо у вас на сервері налаштований поштовий сервіс, ви можете включити відправку повідомлень на email адреса, який потрібно задати в файлі конфігурації:

emit_via = email
email_from = server1@localhost
email_to = updateadmin@winitpro.ru
email_host = smtpserver.winitpro.ru

оповіщення про встановлення оновлень на emai

Можна виключити деякі пакети з процедури автоматичної установки оновлень. Внесіть назви пакетів в поле “Виключити” в секції [base], Наприклад:

exclude= mysql* kernel* php*

Збережіть зміни в файлі конфігурації, запустіть сервіс ням-крон і додати його в автозавантаження:

# systemctl start yum-cron
# systemctl enable yum-cron

запуск служби автоматичного оновлення yum-cron

Всю інформацію по установці пакетів безпеки на сервері ви отримаєте поштою, або можна в лог файлі /var/log/yum.log. Для коректного відображення часу в логах потрібно переконатися, що час на вашому CentOS сервері синхронізовано з надійним NTP сервером.

PS У деяких дистрибутивах CentOS, може бути відсутнім пакет безпеки ням-безпека, В такому випадку при запуску команди:

# yum upgrade --security

Ви отримаєте помилку “Помилка командного рядка: немає такої опції: —безпека”, Вирішується дана проблема, установкою потрібного пакету:

# yum install -y yum-security

Налаштування dnf-automatic для автоматичної установки оновлень безпеки в CentOS

У CentOS 8 на зміну пакетного установника yum, прийшов dnf і всі роботи по установці / оновленню / видалення пакетів, рекомендується виконувати саме через нього (хоча yum все ще працює як символічна посилання до dnf). Щоб налаштувати автоматичну установку оновлень пакетів в CentOS 8, потрібно встановити dnf-автоматичний:

# dnf install -y dnf-automatic

Після запуску команди будуть встановлена ​​dnf-automatic і оновлені ряд пакетів.

установка dnf-automatic в centos 8

Файл конфігурації для dnf-автоматичний, Знаходиться по шляху /etc/dnf/automatic.conf:

# nano /etc/dnf/automatic.conf

У файлі конфігурації нужноізменіть деякі рядки:

upgrade_type = security
download_updates = yes
apply_updates = yes
emit_via = email
email_from = server2@localhost

Для відправки повідомлень, не забудьте вказати вашу поштову скриньку. запустіть сервіс dnf-автоматичний і додайте його в автозавантаження системи:

# systemctl start dnf-automatic.timer
# systemctl enable dnf-automatic.timer

запуск служби dnf-automatic.timer - автообновление centos 8

Завдання для автоматичного оновлення, можна подивитися командою:

# systemctl list-timers *dnf*

просмотт завдань автоматичного поновлення dnf

Журнал установки оновлень можна отримувати поштою або в лог файлі /var/log/dnf.rpm.log.

Автоматична установка оновлень дозволяє підвищити безпеку і захист вашого сервера CentOS в Інтернеті, максимально швидко встановлювати виправлення вразливостей в використовуваному ПО. Але несе в собі інші ризики: можливість отримати сиру версію пакету, незапланований даунтайм сервісів і ряд інших проблем. У більшості випадків автоматична установка оновлень на продуктивних серверах без контролю адміністратора – погане рішення. Але є випадки, коли автообновление критично або ризики безпеки перевищують ризики тимчасової недоступності сервісу.

Leave a Reply

Your email address will not be published. Required fields are marked *