centos7配置自动更新安装安全补丁

定期升级你的 CentOS 系统，是所有系统安全中最重要的措施之一。如果你不使用最新的安全补丁升级你的操作系统软件包，你将会让你的机器很容易被攻击。

如果你管理者多个 CentOS 机器，手动升级系统软件包会很花时间。及时你管理一个简单的 CentOS，有时候安装时你也可能忽视一个重要的更新。这时候，自动更新就派上用场了。

一、前提条件

确保你以 sudo 用户身份登录系统。

二、安装 yum-cron 软件包

yum-cron软件包允许你把自动运行 yum 命令作为一个定时任务来检测，下载和应用更新。很可能这个软包已经被安装在你的 CentOS 系统上。如果没有被安装，你可以同运行下面的命令安装这个软件包：

sudo yum install yum-cron

一旦安装完成，启用并且启动服务：

sudo systemctl enable yum-cron 

sudo systemctl start yum-cron

想要验证服务器正在运行，输入下面的命令：

systemctl status yum-cron

关于 yum-cron 服务状态的信息将会被展示在屏幕上.

三、配置 yum-cron

yum install yum-cron -y
sed -i  "s/update_cmd = default/update_cmd = security/" /etc/yum/yum-cron.conf
sed -i  "s/update_messages = no/update_messages = yes/" /etc/yum/yum-cron.conf
sed -i  "s/download_updates = no/download_updates = yes/" /etc/yum/yum-cron.conf
sed -i  "s/apply_updates = no/apply_updates = yes/" /etc/yum/yum-cron.conf
echo "exclude = mysql* php* kernel*" >> /etc/yum/yum-cron.conf
systemctl enable yum-cron
systemctl start yum-cron

在下面的例子中，我们将update_cmd修改成security，并且通过设置apply_updates成yes来启用无人自动更新。 

update_cmd = security 

update_messages = yes 

download_updates = yes 

apply_updates = yes

exclude = mysql* php* kernel*

不升级数据库内核

四、查看日志

使用grep来检查 关联 yum 的 cron 定时任务是否被执行了：

grep yum /var/log/cron

May  4 22:01:01 localhost run-parts(/etc/cron.hourly)[5588]: starting 0yum-hourly.cron May  4 22:32:01 localhost run-parts(/etc/cron.daily)[5960]: starting 0yum-daily.cron May  4 23:01:01 localhost run-parts(/etc/cron.hourly)[2121]: starting 0yum-hourly.cron May  4 23:01:01 localhost run-parts(/etc/cron.hourly)[2139]: finished 0yum-hourly.cron

yum 升级历史被记录在/var/log/yum文件。你可以使用 tail 命令查看最近的更新。

tail -f  /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

在  yum-cron日志存储在  /var/log/yum.log 文件中。要查看已更新的软件包，请运行cat命令。

# cat /var/log/yum.log  | grep -i updated

自动系统更新由每天运行的cron作业控制，并存储在  /var/log/cron 文件中。查看每日cron作业运行的日志。

# cat /var/log/cron | grep -i yum-daily

现在，您的  CentOS 7系统已完全配置为可以进行自动安全更新，而您不必为手动更新系统而烦恼。

五、总结

在这个指南中，你已经学习了如何配置自动更新，保持你的 CentOS 系统最新。