yum으로 자동 업데이트 구성

CentOS 시스템을 정기적으로 업데이트하는 것은 전체 시스템 보안의 가장 중요한 측면 중 하나입니다. 최신 보안 패치로 운영 체제 패키지를 업데이트하지 않으면 시스템이 공격에 취약 해집니다.

이 자습서에서는 CentOS 7에서 자동 업데이트를 구성하는 프로세스를 진행합니다. CentOS 6에도 동일한 지침이 적용됩니다.

전제 조건

이 학습서를 계속하기 전에 sudo 권한이있는 사용자로 로그인했는지 확인하십시오.

yum-cron 패키지 설치

yum-cron 패키지를 사용하면 자동으로 yum 명령을 cron 작업으로 실행하여 업데이트를 확인, 다운로드 및 적용 할 수 있습니다. 이 패키지가 CentOS 시스템에 이미 설치되어있을 수 있습니다. 설치되지 않은 경우 다음 명령을 실행하여 패키지를 설치할 수 있습니다.

sudo yum install yum-cron

설치가 완료되면 서비스를 활성화하고 시작하십시오.

sudo systemctl enable yum-cron sudo systemctl start yum-cron

서비스가 실행 중인지 확인하려면 다음 명령을 입력하십시오.

systemctl status yum-cron

yum-cron 서비스 상태에 대한 정보가 화면에 표시됩니다.

● yum-cron.service - Run automatic yum updates as a cron job Loaded: loaded (/usr/lib/systemd/system/yum-cron.service; enabled; vendor preset: disabled) Active: active (exited) since Sat 2019-05-04 21:49:45 UTC; 8min ago Process: 2713 ExecStart=/bin/touch /var/lock/subsys/yum-cron (code=exited, status=0/SUCCESS) Main PID: 2713 (code=exited, status=0/SUCCESS) CGroup: /system.slice/yum-cron.service

yum-cron 구성

yum-cron에는 /etc/yum 디렉토리에 저장되는 두 개의 구성 파일 (시간별 구성 파일 yum-cron.conf 및 일일 구성 파일 yum-cron-hourly.conf 됩니다.

yum-cron 서비스는 cron 작업의 실행 여부 만 제어합니다. yum-cron 유틸리티는 /etc/cron.hourly/0yum-hourly.cron 및 /etc/cron.daily/0yum-daily.cron cron 파일에 의해 호출됩니다.

기본적으로 시간별 크론은 아무것도하지 않도록 구성되어 있습니다. 사용 가능한 업데이트가있는 경우 일일 cron은 다운로드 가능하지만 사용 가능한 업데이트를 설치하지 않고 stdout으로 메시지를 보내도록 설정되어 있습니다. 기본 구성은 알림을 수신하고 테스트 서버에서 업데이트를 테스트 한 후 수동으로 업데이트를 수행하려는 중요한 프로덕션 시스템에 충분합니다.

구성 파일은 섹션으로 구성되며 각 섹션에는 각 구성 줄의 기능을 설명하는 주석이 포함되어 있습니다.

yum-cron 구성 파일을 편집하려면 텍스트 편집기에서 파일을여십시오.

sudo nano /etc/yum/yum-cron-hourly.conf

첫 번째 섹션에서 업데이트 할 패키지 유형을 정의하고, 메시지 및 다운로드를 활성화하고, 사용 가능한 업데이트가 자동으로 적용되도록 설정할 수 있습니다. 기본적으로 update_cmd 는 기본값으로 설정되어 모든 패키지를 업데이트합니다. 자동 무인 업데이트를 설정하려면 값을 security 로 변경하여 yum에게 보안 문제 만 해결하는 패키지를 업데이트하도록 지시하는 것이 좋습니다.

다음 예에서는 apply_updates 를 yes 로 설정하여 update_cmd 를 security 변경하고 무인 업데이트를 활성화했습니다.

/etc/yum/yum-cron-hourly.conf

update_cmd = security update_messages = yes download_updates = yes apply_updates = no random_sleep = 360

두 번째 섹션에서는 메시지를 보내는 방법을 정의합니다. stdout 및 email 모두에 메시지를 보내려면 emit_via 값을 stdio, email 로 변경하십시오.

/etc/yum/yum-cron-hourly.conf

system_name = None emit_via = stdio, email output_width = 80

에서 섹션에서 발신자와 수신자 이메일 주소를 설정할 수 있습니다. mailx 또는 postfix와 같이 시스템에 설치된 이메일을 보낼 수있는 도구가 있는지 확인하십시오.

/etc/yum/yum-cron-hourly.conf

email_from = [email protected] email_to = [email protected] email_host = localhost

그만큼 섹션에서는 yum.conf 파일에 정의 된 설정을 무시할 수 있습니다. 특정 패키지가 업데이트되지 않도록 exclude 하려면 exclude 매개 변수를 사용할 수 있습니다. 다음 예에서는 패키지를 제외합니다.

/etc/yum/yum-cron-hourly.conf

debuglevel = -2 mdpolicy = group:main exclude = mongodb*

변경 사항을 적용하기 위해 yum-cron 서비스를 다시 시작할 필요는 없습니다.

로그보기

grep을 사용하여 yum과 관련된 cron 작업이 실행되는지 확인하십시오.

sudo grep yum /var/log/cron

May 4 22:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 22:32:01 localhost run-parts(/etc/cron.daily): starting 0yum-daily.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): starting 0yum-hourly.cron May 4 23:01:01 localhost run-parts(/etc/cron.hourly): finished 0yum-hourly.cron

yum 업데이트 기록은 /var/log/yum 파일에 /var/log/yum 됩니다. tail 명령을 사용하여 최신 업데이트를 볼 수 있습니다.

sudo tail -f /var/log/yum.log

May 04 23:47:28 Updated: libgomp-4.8.5-36.el7_6.2.x86_64 May 04 23:47:31 Updated: bpftool-3.10.0-957.12.1.el7.x86_64 May 04 23:47:31 Updated: htop-2.2.0-3.el7.x86_64

결론

이 튜토리얼에서는 자동 업데이트를 구성하고 CentOS 시스템을 최신 상태로 유지하는 방법을 배웠습니다.

센 토스 m 보안