Mengkonfirmasi bahwa yum-cron dikonfigurasi dengan benar pada server CentOS 7

10

Apakah ada cara untuk menguji apakah yum-crondikonfigurasi dengan benar? Saya perlu mengkonfirmasi bahwa itu akan secara otomatis menginstal patch keamanan dan bahwa itu akan mengirim email kepada saya ketika melakukannya.

Saya memiliki server web CentOS 7 dengan yum-crondiinstal. Sudah berjalan selama beberapa bulan dan saya belum menerima email, saya juga tidak melihat pembaruan di /var/log/yum.log. Saya pikir ini karena sebenarnya tidak ada pembaruan keamanan yang memengaruhi saya. Ketika saya menjalankan yum --security list updatessaya mendapatkan pesan No packages needed for security, dan saya tidak melihat ada patch penting yang mempengaruhi saya dalam centos-announce .

/etc/yum/yum-cron.confPenampilan saya mirip seperti berikut, dengan alamat email asli alih-alih [email protected]:

[commands]
update_cmd = security
update_messages = yes
download_updates = yes
apply_updates = yes

[emitters]
emit_via = stdio,email

[email]
email_from = root@localhost
email_to = root,[email protected]
email_host = localhost
security yum centos7 pengguna369066
sumber

Jawaban:

5

Tes Anda kelihatannya benar, tetapi AFAICT masalahnya adalah bahwa repositori CentOS utama sayangnya tidak disertai dengan informasi yang diperlukan untuk mendukung pembaruan keamanan saja seperti cara RHEL. Silakan merujuk diskusi ini untuk detailnya:

https://www.centos.org/forums/viewtopic.php?f=47&t=51300

Pada CentOS sepertinya Anda hanya dapat menggunakan yum-cron untuk peningkatan penuh otomatis seperti pada:

update_cmd = default

jika tidak, Anda hanya akan mendapatkan peningkatan keamanan dari repositori eksternal yang kebetulan Anda gunakan (seperti misalnya EPEL).

Di server CentOS 7 kami sendiri, kami menggunakan standar itu yang dikombinasikan dengan aturan unduhan dan hanya pemberitahuan, yang kemudian kami tindak lanjuti secara manual.

Sebagai solusinya Anda mungkin dapat mempertahankan repositori yum lokal dengan hanya pembaruan keamanan dan secara otomatis menerapkan pemutakhiran penuh dari sana. Itu masih membutuhkan pemeliharaan manual dari repositori keamanan itu, tetapi paling tidak semua server Anda dapat memutakhirkan secara otomatis dari sana.

Jonas Bardino
sumber
+1 Juga CentOS / RHEL sangat konservatif / stabil dengan pembaruan default sehingga saya ragu upaya yang dikembangkan sendiri untuk "meningkatkan" sebenarnya akan meningkatkan ketersediaan OS. Jika Anda menggunakan standar, Anda harus menguji pembaruan terlebih dahulu.
kubanczyk
1

Anda harus dapat melihat apakah pekerjaan dijalankan oleh cron log.

grep yum.cron /var/log/cron | tail -10

Jika Anda melihat keluaran di sini, Anda dapat memverifikasi.

tail -10 /var/log/yum.log
xguru
sumber
0

Anda dapat menguji ini. Temukan host yang ketinggalan pada pembaruan dibandingkan dengan daftar yang diumumkan. Atau, jika semuanya terbaru, buat yang baru dan belum menerapkan semua pembaruan. Terapkan konfigurasi Anda dan tunggu emailnya.

John Mahowald
sumber