Автоматическая установка обновлений безопасности в CentOS 7 и 8

В CentOS, RedHat, Fedora вы можете настроить автоматическую установку обновлений безопасности сразу после того, как они появляются в репозиториях . В этой статье мы покажем как с помощью yum-cron и dnf-automatic настроить регулярную проверку и автоматическую установку обновлений безопасности в CentOS 7 и CentOS 8.

Используем yum-cron для настройки автоматического обновления CentOS 7

В CentOS 7 для автоматического обновления можно использовать пакет yum-cron , который можно установить с помощью менеджера пакетов yum :

# yum install -y yum-cron

После установки пакета, нужно внести изменения в конфигурационный файл. Откройте его:

# nano /etc/yum/yum-cron.conf

И внесите следующие изменения:

update_cmd = security_x000D_update_messages = yes_x000D_download_updates = yes_x000D_apply_updates = yes

Данные паромеры указывают, что нужно автоматическую загружать и устанавливать обновления безопасности. Все остальные обновления пропускаются, их можно будет установить вручную.

Если у вас на сервере настроен почтовый сервис, вы можете включить отправку уведомлений на email адрес, который нужно задать в конфигурационном файле:

emit_via = email_x000D_email_from = server1@localhost_x000D_email_to = [email protected]_x000D_email_host = smtpserver.remontka.com

Можно исключить некоторые пакеты из процедуры автоматической установки обновлений. Внесите названия пакетов в поле “exclude” в секции [base], например:

exclude= mysql* kernel* php*

Сохраните изменения в конфигурационном файле, запустите сервис yum-cron и добавить его в автозагрузку :

# systemctl start yum-cron
# systemctl enable yum-cron

Всю информацию по установке пакетов безопасности на сервере вы получите по почте, либо можно в лог файле /var/log/yum.log . Для корректного отображения времени в логах нужно убедиться, что время на вашем CentOS сервере синхронизировано с надежным NTP сервером .

Настройка dnf-automatic для автоматической установки обновлений безопасности в CentOS

В CentOS 8 на смену пакетному установщику yum, пришел dnf и все работы по установке/обновлению/удалению пакетов, рекомендуется выполнять именно через него (хотя yum все еще работает как символическая ссылка к dnf). Чтобы настроить автоматическую установку обновлений пакетов в CentOS 8, нужно установить dnf-automatic :

# dnf install -y dnf-automatic

После запуска команды будут установлена dnf-automatic и обновлены ряд пакетов.

Файл конфигурации для dnf-automatic , находится по пути /etc/dnf/automatic.conf :

# nano /etc/dnf/automatic.conf

В конфигурационном файле нужноизменить некоторые строки:

upgrade_type = security_x000D_download_updates = yes_x000D_apply_updates = yes_x000D_emit_via = email_x000D_email_from = server2@localhost

Для отправки уведомлений, не забудьте указать ваш почтовый ящик. Запустите сервис dnf-automatic и добавьте его в автозагрузку системы:

# systemctl start dnf-automatic.timer
# systemctl enable dnf-automatic.timer

Задания для автоматического обновления, можно посмотреть командой:

# systemctl list-timers *dnf*

Журнал установки обновлений можно получать по почте или в лог файле /var/log/dnf.rpm.log .

Автоматическая установка обновлений позволяет повысить безопасность и защиту вашего сервера CentOS в Интернете, максимально быстро устанавливать исправления уязвимостей в используемом ПО . Но несет в себе другие риски: возможность получить сырую версию пакета, незапланированный даунтайм сервисов и ряд других проблем. В большинстве случаев автоматическая установка обновлений на продуктивных серверах без контроля администратора – плохое решение. Но есть случаи, когда автообновление критично или риски безопасности превышают риски временной недоступности сервиса.