Confermando che yum-cron è configurato correttamente su un server CentOS 7

10

Esiste un modo per verificare se yum-cronè configurato correttamente? Devo confermare che installerà automaticamente le patch di sicurezza e che mi invierà un'email quando lo farà.

Ho un server web CentOS 7 con yum-croninstallato. È in esecuzione da alcuni mesi e non ho ricevuto e-mail, né vedo alcun aggiornamento /var/log/yum.log. Penso che ciò sia dovuto al fatto che non ci sono stati aggiornamenti di sicurezza che mi riguardano. Quando corro yum --security list updatesricevo il messaggio No packages needed for securitye non vedo alcuna patch critica recente che mi riguarda in centos-annuncio .

Il mio /etc/yum/yum-cron.confaspetto è simile al seguente, con un vero indirizzo e-mail invece di administrator@example.com:

[commands]
update_cmd = security
update_messages = yes
download_updates = yes
apply_updates = yes

[emitters]
emit_via = stdio,email

[email]
email_from = root@localhost
email_to = root,administrator@example.com
email_host = localhost
security  yum  centos7 
user369066
fonte

Risposte:

5

Il test sembra corretto, ma AFAICT il problema è che i principali repository CentOS purtroppo non vengono forniti con le informazioni richieste per supportare gli aggiornamenti solo della sicurezza come RHEL. Si prega di fare riferimento a questa discussione per i dettagli:

https://www.centos.org/forums/viewtopic.php?f=47&t=51300

Su CentOS sembra che tu possa davvero usare yum-cron solo per gli aggiornamenti automatici completi come in:

update_cmd = default

in caso contrario si ottengono solo aggiornamenti di sicurezza da qualsiasi repository esterno che si utilizza (come ad esempio EPEL).

Sui nostri server CentOS 7 utilizziamo tale impostazione predefinita combinata con le regole di download e di sola notifica, sulle quali poi agiamo manualmente.

Per ovviare al problema, potresti probabilmente mantenere un repository yum locale con solo gli aggiornamenti di sicurezza e applicare automaticamente gli aggiornamenti completi da lì. Richiederebbe comunque la manutenzione manuale di quel repository di sicurezza, ma almeno tutti i server potrebbero aggiornarsi automaticamente da lì.

Jonas Bardino
fonte
+1 Anche CentOS / RHEL è così conservatore / stabile con gli aggiornamenti predefiniti che dubito che qualsiasi tentativo auto-sviluppato di "migliorare" migliorerà effettivamente la disponibilità del sistema operativo. Se non si utilizza lo standard, è necessario prima testare gli aggiornamenti.
Kubanczyk,
1

Dovresti essere in grado di vedere se il processo è in esecuzione dal registro cron.

grep yum.cron /var/log/cron | tail -10

Se vedi l'output qui puoi verificare.

tail -10 /var/log/yum.log
xguru
fonte
0

Puoi provarlo. Trova un host in ritardo sugli aggiornamenti rispetto all'elenco degli annunci. Oppure, se sono tutti aggiornati, creane uno nuovo e non applicare ancora tutti gli aggiornamenti. Applica la tua configurazione e attendi l'e-mail.

John Mahowald
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.