Una delle attività consigliate che possiamo eseguire sui nostri sistemi operativi, indipendentemente dal suo sviluppatore, è tenerlo aggiornato con le ultime patch sviluppate dal produttore poiché ciò ottimizza i migliori livelli di sicurezza, compatibilità e prestazioni.
Sebbene Linux sia uno dei sistemi operativi più sicuri, non possiamo lasciare da parte il problema degli aggiornamenti poiché con le continue minacce attuali sono stati sviluppati per colpire tutti i tipi di sistemi operativi.
In ambienti Linux è sempre consigliabile mantenere aggiornati i pacchetti installati, soprattutto quando si tratta di sicurezza. In generale, gli utenti dovrebbero applicare gli aggiornamenti di sicurezza a questi sistemi Linux entro 30 giorni dal loro rilascio ufficiale.
Nel caso di CentOS 7 questo è un punto critico poiché è una delle distro più utilizzate come piattaforma aziendale per molte organizzazioni in tutto il mondo a causa delle sue varie funzionalità e portata e se c'è una violazione della sicurezza potremmo trovarci in una situazione che sarà mettere a rischio l'intera struttura che gestiamo.
Solvetic analizzerà di seguito come configurare un server CentOS 7 per utilizzare gli aggiornamenti di sicurezza automatici e in questo modo garantisce che il sistema scarichi automaticamente i pacchetti e applichi tutti gli aggiornamenti di sicurezza senza intervento manuale da parte nostra come amministratori o come utenti.
Per questo, sarà necessario quanto segue:
- Avere permessi utente non funzionanti.
- Avere un server CentOS 7
NotaSe non hai ancora installato CentOS 7, puoi scaricarlo gratuitamente al seguente link:
Vi lasciamo anche il seguente video tutorial con il quale potrete vedere l'intero processo di installazione di Yum-cron e configurare così gli aggiornamenti automatici di un server con CentOS 7:
1. Installa yum-cron su CentOS 7
Yum-cron è uno strumento da riga di comando che ci consente di gestire gli aggiornamenti del sistema e dei pacchetti sui sistemi CentOS.
Questo demone è disponibile in CentOS e Fedora che fa uso di uno script cron con il quale controlla quotidianamente se ci sono aggiornamenti disponibili e, se ci sono aggiornamenti, ci dà la possibilità di installare, scaricare o inviarci una notifica via email della loro disponibilità .
Con yum-cron sarà possibile gestire l'aggiornamento specifico per il sistema, gestire l'aggiornamento e gli aggiornamenti di sicurezza, l'aggiornamento del sistema e del pacchetto o l'aggiornamento minimo per entrambi.
Passo 1
Questa utility è disponibile nel repository CentOS 7 e per la sua installazione eseguiremo quanto segue:
yum -y install yum-cron
Passo 2
Una volta completata l'installazione, procediamo all'avvio del servizio yum-cron e lo configuriamo per l'avvio automatico all'avvio del sistema, per questo possiamo eseguire i seguenti comandi. In questo modo abbiamo installato yum-cron in CentOS 7.
systemctl avvia yum-cron systemctl abilita yum-cron
2. Configura yum-cron per gli aggiornamenti automatici su CentOS 7
Dopo aver installato il pacchetto yum-cron su CentOS 7, sarà necessario configurarlo per gli aggiornamenti automatici. Per impostazione predefinita, yum-cron fornisce tre tipi di aggiornamenti:
- Aggiornamento predefinito tramite comando
yum aggiornamento
- Aggiornamento minimo.
- Aggiornamento di sicurezza.
Passo 1
Per configurare questi valori dobbiamo andare nella directory yum-cron.conf e accedervi con l'editor desiderato, in questo caso nano:
cd / etc / yum / nano yum-cron.conf
Passo 2
In questo file dobbiamo andare alla riga update_cmd per definire il tipo di aggiornamento che avrà CentOS 7.
Possiamo vedere che il suo valore corrente è predefinito e per scaricare e installare gli aggiornamenti di sicurezza definiremo la seguente riga:
update_cmd = sicurezza
Passaggio 3
Ora dobbiamo confermare che la riga update_messages ha il valore yes. Infine, sarà necessario convalidare che le seguenti righe siano in sì. In questo modo, ogni volta che è disponibile un aggiornamento di sicurezza, il sistema scaricherà automaticamente i pacchetti richiesti e poi applicherà tutti gli aggiornamenti.
download_updates = sì apply_updates = sìPassaggio 4
Ora vedremo come configurare la notifica del messaggio, ricorda che yum-cron ci permette di inviare la notifica ad un indirizzo email.
Se desideriamo ricevere la notifica via mail, stabiliremo il seguente valore nella riga emit_via:
emit_via = email
Passaggio 5
Ora possiamo definire l'indirizzo email:
email_from = root @ localhost email_to = [email protected] email_host = localhost
Passaggio 6
Salviamo le modifiche utilizzando la seguente combinazione di tasti:
Ctrl + O
Lasciamo l'editor utilizzando:
Ctrl + X
Passaggio 7
Una volta che le modifiche sono state elaborate, riavvieremo il servizio yum-cron eseguendo quanto segue. Con questo processo, gli aggiornamenti di sicurezza del sistema verranno scaricati e applicati automaticamente utilizzando yum-cron su base giornaliera.
systemctl riavvia yum-cron
3. Configura per escludere i pacchetti in CentOs 7
A questo punto potremmo non voler applicare gli aggiornamenti automatici ad alcuni pacchetti, incluso il kernel CentOS 7.
Passo 1
Per queste eccezioni accederemo nuovamente al file di configurazione:
cd / etc / yum / nano yum-cron.confPasso 2
Nella parte finale del file troveremo la sezione base e dovremo aggiungere la seguente riga, ad esempio, per escludere il kernel con MySQL:
escludere = mysql * kernel *
Passaggio 3
In questo esempio specifico, tutti i pacchetti con nome che iniziano con "mysql" o "kernel" verranno disabilitati per gli aggiornamenti automatici. Salviamo le modifiche e riavviamo il servizio eseguendo:
systemctl riavvia yum-cronPassaggio 4
All'interno di questo file di configurazione yum-cron possiamo citare quattro parametri fondamentali che sono:
CHECK_ONLY (sì | no)Questa opzione ci consente di indicare se verrà verificato solo se ci sono download ma non per eseguire ulteriori azioni (senza installarli o scaricarli).
DOWNLOAD_ONLY (sì | no)Si applica nel caso non solo di verificare se ci sono aggiornamenti (CHECK_ONLY = NO), ma questo parametro ci permette di scaricare e installare, o scaricare solo gli aggiornamenti disponibili per CentOS 7.
MAILTO (e-mail)Consente di inviare un'e-mail di notifica con il risultato delle azioni eseguite ogni volta che viene eseguito yum-cron.
DAYS_OF_WEEK ("0123456")Questo parametro viene utilizzato per indicare in quali giorni della settimana verrà eseguito il controllo di aggiornamento.
4. Controlla i log di yum-cron in CentOs 7
Il parametro yum-cron fa uso di un cronjob per gli aggiornamenti di sicurezza automatici e tutti i log di questo cron saranno disponibili nella directory /var/log.
Passo 1
Per vedere questi record eseguiremo quanto segue:
cd / var / log / cat cron | grep yum-quotidianoPasso 2
Se vogliamo vedere i pacchetti che sono stati installati, eseguiremo quanto segue:
gatto yum.log | grep Aggiornato
Con questa opzione yum-cron possiamo essere sicuri che gli aggiornamenti saranno pronti per essere scaricati e installati non appena uno sarà disponibile.