Configura gli aggiornamenti di sicurezza automatici CentOS 7

Una delle attività consigliate che possiamo eseguire sui nostri sistemi operativi, indipendentemente dal suo sviluppatore, è tenerlo aggiornato con le ultime patch sviluppate dal produttore poiché ciò ottimizza i migliori livelli di sicurezza, compatibilità e prestazioni.

Sebbene Linux sia uno dei sistemi operativi più sicuri, non possiamo lasciare da parte il problema degli aggiornamenti poiché con le continue minacce attuali sono stati sviluppati per colpire tutti i tipi di sistemi operativi.

In ambienti Linux è sempre consigliabile mantenere aggiornati i pacchetti installati, soprattutto quando si tratta di sicurezza. In generale, gli utenti dovrebbero applicare gli aggiornamenti di sicurezza a questi sistemi Linux entro 30 giorni dal loro rilascio ufficiale.

Nel caso di CentOS 7 questo è un punto critico poiché è una delle distro più utilizzate come piattaforma aziendale per molte organizzazioni in tutto il mondo a causa delle sue varie funzionalità e portata e se c'è una violazione della sicurezza potremmo trovarci in una situazione che sarà mettere a rischio l'intera struttura che gestiamo.

Solvetic analizzerà di seguito come configurare un server CentOS 7 per utilizzare gli aggiornamenti di sicurezza automatici e in questo modo garantisce che il sistema scarichi automaticamente i pacchetti e applichi tutti gli aggiornamenti di sicurezza senza intervento manuale da parte nostra come amministratori o come utenti.

Per questo, sarà necessario quanto segue:

  • Avere permessi utente non funzionanti.
  • Avere un server CentOS 7

NotaSe non hai ancora installato CentOS 7, puoi scaricarlo gratuitamente al seguente link:

Vi lasciamo anche il seguente video tutorial con il quale potrete vedere l'intero processo di installazione di Yum-cron e configurare così gli aggiornamenti automatici di un server con CentOS 7:

1. Installa yum-cron su CentOS 7


Yum-cron è uno strumento da riga di comando che ci consente di gestire gli aggiornamenti del sistema e dei pacchetti sui sistemi CentOS.

Questo demone è disponibile in CentOS e Fedora che fa uso di uno script cron con il quale controlla quotidianamente se ci sono aggiornamenti disponibili e, se ci sono aggiornamenti, ci dà la possibilità di installare, scaricare o inviarci una notifica via email della loro disponibilità .

Con yum-cron sarà possibile gestire l'aggiornamento specifico per il sistema, gestire l'aggiornamento e gli aggiornamenti di sicurezza, l'aggiornamento del sistema e del pacchetto o l'aggiornamento minimo per entrambi.

Passo 1
Questa utility è disponibile nel repository CentOS 7 e per la sua installazione eseguiremo quanto segue:

 yum -y install yum-cron

Passo 2
Una volta completata l'installazione, procediamo all'avvio del servizio yum-cron e lo configuriamo per l'avvio automatico all'avvio del sistema, per questo possiamo eseguire i seguenti comandi. In questo modo abbiamo installato yum-cron in CentOS 7.

 systemctl avvia yum-cron systemctl abilita yum-cron

2. Configura yum-cron per gli aggiornamenti automatici su CentOS 7

Dopo aver installato il pacchetto yum-cron su CentOS 7, sarà necessario configurarlo per gli aggiornamenti automatici. Per impostazione predefinita, yum-cron fornisce tre tipi di aggiornamenti:

  • Aggiornamento predefinito tramite comando
     yum aggiornamento
  • Aggiornamento minimo.
  • Aggiornamento di sicurezza.

Passo 1
Per configurare questi valori dobbiamo andare nella directory yum-cron.conf e accedervi con l'editor desiderato, in questo caso nano:

 cd / etc / yum / nano yum-cron.conf

Passo 2
In questo file dobbiamo andare alla riga update_cmd per definire il tipo di aggiornamento che avrà CentOS 7.
Possiamo vedere che il suo valore corrente è predefinito e per scaricare e installare gli aggiornamenti di sicurezza definiremo la seguente riga:

 update_cmd = sicurezza

Passaggio 3
Ora dobbiamo confermare che la riga update_messages ha il valore yes. Infine, sarà necessario convalidare che le seguenti righe siano in sì. In questo modo, ogni volta che è disponibile un aggiornamento di sicurezza, il sistema scaricherà automaticamente i pacchetti richiesti e poi applicherà tutti gli aggiornamenti.

 download_updates = sì apply_updates = sì
Passaggio 4
Ora vedremo come configurare la notifica del messaggio, ricorda che yum-cron ci permette di inviare la notifica ad un indirizzo email.

Se desideriamo ricevere la notifica via mail, stabiliremo il seguente valore nella riga emit_via:

 emit_via = email

Passaggio 5
Ora possiamo definire l'indirizzo email:

 email_from = root @ localhost email_to = [email protected] email_host = localhost

Passaggio 6
Salviamo le modifiche utilizzando la seguente combinazione di tasti:

Ctrl + O

Lasciamo l'editor utilizzando:

Ctrl + X

Passaggio 7
Una volta che le modifiche sono state elaborate, riavvieremo il servizio yum-cron eseguendo quanto segue. Con questo processo, gli aggiornamenti di sicurezza del sistema verranno scaricati e applicati automaticamente utilizzando yum-cron su base giornaliera.

 systemctl riavvia yum-cron

3. Configura per escludere i pacchetti in CentOs 7


A questo punto potremmo non voler applicare gli aggiornamenti automatici ad alcuni pacchetti, incluso il kernel CentOS 7.

Passo 1
Per queste eccezioni accederemo nuovamente al file di configurazione:

 cd / etc / yum / nano yum-cron.conf 
Passo 2
Nella parte finale del file troveremo la sezione base e dovremo aggiungere la seguente riga, ad esempio, per escludere il kernel con MySQL:
 escludere = mysql * kernel *

Passaggio 3
In questo esempio specifico, tutti i pacchetti con nome che iniziano con "mysql" o "kernel" verranno disabilitati per gli aggiornamenti automatici. Salviamo le modifiche e riavviamo il servizio eseguendo:

 systemctl riavvia yum-cron
Passaggio 4
All'interno di questo file di configurazione yum-cron possiamo citare quattro parametri fondamentali che sono:

CHECK_ONLY (sì | no)Questa opzione ci consente di indicare se verrà verificato solo se ci sono download ma non per eseguire ulteriori azioni (senza installarli o scaricarli).

DOWNLOAD_ONLY (sì | no)Si applica nel caso non solo di verificare se ci sono aggiornamenti (CHECK_ONLY = NO), ma questo parametro ci permette di scaricare e installare, o scaricare solo gli aggiornamenti disponibili per CentOS 7.

MAILTO (e-mail)Consente di inviare un'e-mail di notifica con il risultato delle azioni eseguite ogni volta che viene eseguito yum-cron.

DAYS_OF_WEEK ("0123456")Questo parametro viene utilizzato per indicare in quali giorni della settimana verrà eseguito il controllo di aggiornamento.

4. Controlla i log di yum-cron in CentOs 7


Il parametro yum-cron fa uso di un cronjob per gli aggiornamenti di sicurezza automatici e tutti i log di questo cron saranno disponibili nella directory /var/log.

Passo 1
Per vedere questi record eseguiremo quanto segue:

 cd / var / log / cat cron | grep yum-quotidiano
Passo 2
Se vogliamo vedere i pacchetti che sono stati installati, eseguiremo quanto segue:
 gatto yum.log | grep Aggiornato

Con questa opzione yum-cron possiamo essere sicuri che gli aggiornamenti saranno pronti per essere scaricati e installati non appena uno sarà disponibile.

wave wave wave wave wave