Configurar actualizaciones automáticas con yum

La actualización periódica de su sistema CentOS es uno de los aspectos más importantes de la seguridad general del sistema. Si no actualiza los paquetes de su sistema operativo con los últimos parches de seguridad, está dejando su máquina vulnerable a los ataques.

En este tutorial, veremos el proceso de configuración de actualizaciones automáticas en CentOS 7. Las mismas instrucciones se aplican a CentOS 6.

Prerrequisitos

Antes de continuar con este tutorial, asegúrese de haber iniciado sesión como usuario con privilegios de sudo.

Instalar el paquete yum-cron

El paquete yum-cron permite ejecutar automáticamente el comando yum como un trabajo cron para buscar, descargar y aplicar actualizaciones. Lo más probable es que este paquete ya esté instalado en su sistema CentOS. Si no está instalado, puede instalar el paquete ejecutando el siguiente comando:

sudo yum install yum-cron

Una vez completada la instalación, habilite e inicie el servicio:

sudo systemctl enable yum-cron sudo systemctl start yum-cron

Para verificar que el servicio se está ejecutando, escriba el siguiente comando:

systemctl status yum-cron

La información sobre el estado del servicio yum-cron se mostrará en la pantalla:

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

Configurando yum-cron

yum-cron viene con dos archivos de configuración que se almacenan en el directorio /etc/yum , el archivo de configuración por hora yum-cron.conf y el archivo de configuración diario yum-cron-hourly.conf .

El servicio yum-cron solo controla si los trabajos cron se ejecutarán o no. La utilidad yum-cron es llamada por los archivos cron /etc/cron.hourly/0yum-hourly.cron y /etc/cron.daily/0yum-daily.cron .

Por defecto, el cron por hora está configurado para no hacer nada. Si hay actualizaciones disponibles, el cron diario está configurado para descargar pero no instalar las actualizaciones disponibles y enviar mensajes a stdout. La configuración predeterminada es suficiente para los sistemas de producción críticos donde desea recibir notificaciones y realizar la actualización manualmente después de probar las actualizaciones en los servidores de prueba.

El archivo de configuración está estructurado en secciones y cada sección contiene comentarios que describen lo que hace cada línea de configuración.

Para editar el archivo de configuración yum-cron, abra el archivo en su editor de texto:

sudo nano /etc/yum/yum-cron-hourly.conf

En la primera sección puede definir los tipos de paquetes que desea actualizar, habilitar mensajes y descargas y configurar la aplicación automática de actualizaciones cuando estén disponibles. De manera predeterminada, update_cmd se establece en predeterminado, lo que actualizará todos los paquetes. Si desea establecer actualizaciones automáticas desatendidas, se recomienda cambiar el valor a security que le indicará a yum que actualice los paquetes que solo solucionan un problema de seguridad.

En el siguiente ejemplo, cambiamos update_cmd a security y habilitamos actualizaciones desatendidas estableciendo apply_updates en yes :

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

La segunda sección define cómo enviar mensajes. Para enviar mensajes a stdout y correo electrónico, cambie el valor de emit_via a stdio, email .

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

En el sección puede configurar la dirección de correo electrónico del remitente y el destinatario. Asegúrese de tener una herramienta que pueda enviar correos electrónicos instalados en su sistema, como mailx o postfix.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

los La sección le permite anular la configuración definida en el archivo yum.conf . Si desea excluir paquetes específicos de la actualización, puede usar el parámetro de exclude . En el siguiente ejemplo, estamos excluyendo el paquete.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

No necesita reiniciar el servicio yum-cron para que los cambios surtan efecto.

Ver registros

Use grep para verificar si los trabajos cron asociados con yum se ejecutan:

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

El historial de las actualizaciones de yum se registra en el archivo /var/log/yum . Puede ver las últimas actualizaciones con el comando tail:

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

Conclusión

En este tutorial, ha aprendido cómo configurar actualizaciones automáticas y mantener su sistema CentOS actualizado.

centos yum seguridad