Bestätigen, dass yum-cron auf einem CentOS 7-Server ordnungsgemäß konfiguriert ist

9

Gibt es eine Möglichkeit zu testen, ob yum-crondie Konfiguration richtig ist? Ich muss bestätigen, dass Sicherheitspatches automatisch installiert werden und dass ich dabei eine E-Mail erhalten werde.

Ich habe einen CentOS 7-Webserver yum-croninstalliert. Es läuft seit ein paar Monaten und ich habe keine E-Mails erhalten und sehe auch keine Updates in /var/log/yum.log. Ich denke, das liegt daran, dass mich keine Sicherheitsupdates betroffen haben. Wenn ich starte, erhalteyum --security list updates ich die Nachricht No packages needed for securityund sehe in Centos-Announce keine aktuellen kritischen Patches, die mich betreffen .

Mein /etc/yum/yum-cron.confsieht ungefähr so ​​aus, mit einer echten E-Mail-Adresse anstelle von [email protected]:

[commands]
update_cmd = security
update_messages = yes
download_updates = yes
apply_updates = yes

[emitters]
emit_via = stdio,email

[email]
email_from = root@localhost
email_to = root,[email protected]
email_host = localhost
security yum centos7 user369066
quelle

Antworten:

5

Ihr Test sieht richtig aus, aber AFAICT das Problem ist, dass die Haupt-CentOS-Repositorys leider nicht die erforderlichen Informationen enthalten, um nur Sicherheitsupdates zu unterstützen, wie dies RHEL tut. Weitere Informationen finden Sie in dieser Diskussion:

https://www.centos.org/forums/viewtopic.php?f=47&t=51300

Unter CentOS können Sie yum-cron anscheinend nur für automatische vollständige Upgrades verwenden, wie in:

update_cmd = default

Andernfalls erhalten Sie Sicherheitsupgrades nur von externen Repositorys, die Sie gerade verwenden (z. B. EPEL).

Auf unseren eigenen CentOS 7-Servern verwenden wir diesen Standard in Kombination mit Download- und Nur-Benachrichtigungsregeln, auf die wir dann manuell reagieren.

Als Problemumgehung könnten Sie wahrscheinlich ein lokales Yum-Repository nur mit den Sicherheitsupdates verwalten und von dort aus automatisch vollständige Upgrades anwenden. Es würde immer noch eine manuelle Wartung dieses Sicherheitsrepositorys erfordern, aber dann könnten zumindest alle Ihre Server von dort aus automatisch aktualisiert werden.

Jonas Bardino
quelle
+1 Auch CentOS / RHEL ist mit Standardupdates so konservativ / stabil, dass ich bezweifle, dass ein selbst entwickelter Versuch, "zu verbessern", die Verfügbarkeit des Betriebssystems tatsächlich verbessert. Wenn Sie nicht dem Standard entsprechen, müssen Sie zuerst die Updates testen.
Kubanczyk
1

Sie sollten im Cron-Protokoll sehen können, ob der Job ausgeführt wird.

grep yum.cron /var/log/cron | tail -10

Wenn Sie hier eine Ausgabe sehen, können Sie dies überprüfen.

tail -10 /var/log/yum.log
xguru
quelle
0

Sie können dies testen. Finden Sie einen Host, der bei Updates im Vergleich zur Ankündigungsliste im Rückstand ist. Wenn alle auf dem neuesten Stand sind, erstellen Sie eine neue und wenden Sie noch nicht alle Updates an. Wenden Sie Ihre Konfiguration an und warten Sie auf die E-Mail.

John Mahowald
quelle