Configurar atualizações automáticas com yum

A atualização regular do seu sistema CentOS é um dos aspectos mais importantes da segurança geral do sistema. Se você não atualizar os pacotes do sistema operacional com os patches de segurança mais recentes, estará deixando sua máquina vulnerável a ataques.

Neste tutorial, passaremos pelo processo de configuração de atualizações automáticas no CentOS 7. As mesmas instruções se aplicam ao CentOS 6.

Pré-requisitos

Antes de continuar com este tutorial, verifique se você está conectado como um usuário com privilégios sudo.

Instalando o pacote yum-cron

O pacote yum-cron permite executar automaticamente o comando yum como um trabalho cron para verificar, baixar e aplicar atualizações. As chances são de que este pacote já esteja instalado no seu sistema CentOS. Se não estiver instalado, você pode instalar o pacote executando o seguinte comando:

sudo yum install yum-cron

Quando a instalação estiver concluída, ative e inicie o serviço:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

Para verificar se o serviço está sendo executado, digite o seguinte comando:

systemctl status yum-cron

Informações sobre o status do serviço yum-cron serão exibidas na tela:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

Configurando yum-cron

O yum-cron vem com dois arquivos de configuração armazenados no diretório /etc/yum , o arquivo de configuração por hora yum-cron.conf e o arquivo de configuração diário yum-cron-hourly.conf .

O serviço yum-cron controla apenas se os trabalhos cron serão ou não executados. O utilitário yum-cron é chamado pelos arquivos /etc/cron.hourly/0yum-hourly.cron e /etc/cron.daily/0yum-daily.cron cron.

Por padrão, o cron horário está configurado para não fazer nada. Se houver atualizações disponíveis, o cron diário é configurado para fazer o download, mas não instalar as atualizações disponíveis e enviar mensagens para o stdout. A configuração padrão é suficiente para sistemas críticos de produção nos quais você deseja receber notificações e fazer a atualização manualmente após testar as atualizações nos servidores de teste.

O arquivo de configuração está estruturado em seções e cada seção contém comentários que descrevem o que cada linha de configuração faz.

Para editar o arquivo de configuração yum-cron, abra o arquivo no seu editor de texto:

sudo nano /etc/yum/yum-cron-hourly.conf

Na primeira seção, você pode definir os tipos de pacotes que deseja atualizar, habilitar mensagens e downloads e configurar para aplicar atualizações automaticamente quando estiverem disponíveis. Por padrão, o update_cmd é definido como padrão, o que atualizará todos os pacotes. Se você deseja definir atualizações automáticas automáticas, é recomendável alterar o valor para security que instruirá o yum a atualizar pacotes que apenas corrigem um problema de segurança.

No exemplo a seguir, alteramos o update_cmd para security e habilitamos atualizações autônomas configurando apply_updates como yes :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

A segunda seção define como enviar mensagens. Para enviar mensagens para stdout e email, altere o valor de emit_via para stdio, email .

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

No seção, você pode definir o endereço de e-mail do remetente e do destinatário. Verifique se você possui uma ferramenta capaz de enviar e-mails instalados no seu sistema, como mailx ou postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

o A seção permite substituir as configurações definidas no arquivo yum.conf . Se você deseja excluir pacotes específicos da atualização, você pode usar o parâmetro exclude . No exemplo a seguir, estamos excluindo o pacote.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

Você não precisa reiniciar o serviço yum-cron para que as alterações entrem em vigor.

Visualizando logs

Use grep para verificar se os trabalhos cron associados ao yum são executados:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

O histórico das atualizações do yum é registrado no arquivo /var/log/yum . Você pode visualizar as atualizações mais recentes usando o comando tail:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

Conclusão

Neste tutorial, você aprendeu como configurar atualizações automáticas e manter seu sistema CentOS atualizado.

centos yum security