Автоматически проверьте на Обновления системы защиты на CentOS или Научном Linux?
Вы устанавливали Ролевой Сервис ASP.NET для IIS 7?
Scientific Linux can now list security updates from the commandline. Furthermore I can update a system to only apply security updates, which is better then the default ("Just update everything! Including bugfixes which you don't care about and which introduce regressions."
I have tested this on both Scientific Linux 6.1 and a 6.4. I'm not sure when this was officially announced, but I'll post more when I find out.
Here are some examples.
List a summary of security updates:
[root@node1 ~]# yum updateinfo
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
Updates Information Summary: available
4 Security notice(s)
1 important Security notice(s)
3 moderate Security notice(s)
2 Bugfix notice(s)
updateinfo summary done
root@node1 ~]# yum list-sec
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
SLSA-2013:1459-1 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
SLSA-2013:1436-1 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec. kernel-devel-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1436-1 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
SLSA-2013:1436-1 moderate/Sec. kernel-headers-2.6.32-358.23.2.el6.x86_64
SLSA-2013:1457-1 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
SLSA-2013:1270-1 important/Sec. polkit-0.96-5.el6_4.x86_64
SLBA-2013:1486-1 bugfix selinux-policy-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix selinux-policy-3.7.19-195.el6_4.18.noarch
SLBA-2013:1486-1 bugfix selinux-policy-targeted-3.7.19-195.el6_4.13.noarch
SLBA-2013:1491-1 bugfix selinux-policy-targeted-3.7.19-195.el6_4.18.noarch
updateinfo list done
List by CVE:
[root@node2 ~]# yum list-sec cves
Loaded plugins: changelog, downloadonly, fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
* epel: mirrors.kernel.org
* sl6x: ftp.scientificlinux.org
* sl6x-security: ftp.scientificlinux.org
7404 packages excluded due to repository priority protections
CVE-2012-6085 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
CVE-2013-4351 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
CVE-2013-4402 moderate/Sec. gnupg2-2.0.14-6.el6_4.x86_64
CVE-2013-4162 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
CVE-2013-4299 moderate/Sec. kernel-2.6.32-358.23.2.el6.x86_64
CVE-2013-4162 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
CVE-2013-4299 moderate/Sec. kernel-firmware-2.6.32-358.23.2.el6.noarch
CVE-2013-4242 moderate/Sec. libgcrypt-1.4.5-11.el6_4.x86_64
updateinfo list done
And then I can apply the minimal set of changes required to
[root@node1 ~]# yum update-minimal --security
Or, just patch everything:
[root@node1 ~]# yum --quiet --security check-update
gnutls.x86_64 2.8.5-14.el6_5 sl-security
libtasn1.x86_64 2.3-6.el6_5 sl-security
[root@node1 ~]# yum --quiet --security update
=================================================================================================================
Package Arch Version Repository Size
=================================================================================================================
Updating:
gnutls x86_64 2.8.5-14.el6_5 sl-security 345 k
libtasn1 x86_64 2.3-6.el6_5 sl-security 237 k
Transaction Summary
=================================================================================================================
Upgrade 2 Package(s)
Is this ok [y/N]: Y
[root@node1 ~]#
If I try this same command on a CentOS6 box, I don't get any results. I know for a fact that some of the '137 packages available' contain security fixes, because I received the errata notices yesterday via the CentOS mailinglists.
[root@node1 ~]# yum --security check-update
Loaded plugins: downloadonly, fastestmirror, security
Loading mirror speeds from cached hostfile
* base: mirrors.usc.edu
* epel: mirrors.kernel.org
* extras: mirror.web-ster.com
* updates: mirrors.kernel.org
Limiting package lists to security relevant ones
No packages needed for security; 137 packages available
[root@node1 ~]#
Если вы абсолютно хотите использовать плагин безопасности yum , есть способ сделать это, хотя и немного сложный. Но после настройки все происходит автоматически.
Единственное требование - у вас должна быть хотя бы одна подписка на RHN. Это хорошее вложение, IMO, но давайте придерживаться сути.
- После того, как у вас есть подписка, вы можете использовать mrepo или reposync , чтобы настроить репозиторий Yum, который является зеркалом репозиториев CentOS. (или вы можете просто использовать rsync).
- Затем используйте скрипт, прикрепленный к этому сообщению списка рассылки , чтобы периодически подключаться к вашей подписке RHN и загружать информацию о пакетах безопасности. Теперь у вас есть два варианта.
- Извлеките только имена пакетов из сгенерированного файла «updateinfo.xml». И используйте эту информацию для «поиска» на ваших серверах Rpms, требующих безопасности или других обновлений, с помощью puppet, cfengine или ssh-in-a-for-loop. Это проще, дает вам все , что вы хотите, но вы не можете использовать
yum security. - Другой вариант - использовать команду
modifyrepoкак показано здесь , чтобы вставитьupdateinfo.xmlвrepomd.xml. Перед тем, как это сделает, вам нужно будет изменить сценарий perl, чтобы изменить суммы Rpm MD5 внутри xml, с RHN на суммы Centos. И вам нужно будет убедиться, что в репозиториях CentOS действительно есть все Rpms, упомянутые вupdateinfo.xml, поскольку они иногда находятся за RHN. Но это' Хорошо, вы можете игнорировать обновления, которые CentOS не успела догнать, так как вы мало что можете с этим поделать, кроме создания их из SRPM.
- Извлеките только имена пакетов из сгенерированного файла «updateinfo.xml». И используйте эту информацию для «поиска» на ваших серверах Rpms, требующих безопасности или других обновлений, с помощью puppet, cfengine или ssh-in-a-for-loop. Это проще, дает вам все , что вы хотите, но вы не можете использовать
С вариантом 2 вы можете установить yum security на всех клиентах, и он будет работать.
Изменить: это также работает для машин Redhat RHEL 5 и 6. И это проще, чем использовать тяжелые решения, такие как Spacewalk или Pulp.
Поскольку у вас есть CFEngine, вы можете применять изменения к группам систем во время на основе обновлений безопасности, размещенных по адресу: http://twitter.com/#!/CentOS_Announce
Я не самый крупный инженер по безопасности серверов ... но мне кажется, что когда дело касается безопасности, меня интересуют только несколько пакетов. Все, что открыто (ssl, ssh, apache) или имеет серьезный эксплойт, получает приоритет. Все остальное оценивается ежеквартально. Я не хочу, чтобы эти вещи обновлялись автоматически, потому что обновленные пакеты потенциально могут нарушить работу других элементов производственной системы.
Scientific Linux (как минимум 6.2 и 6.3; у меня не осталось систем 6.1) не только поддерживает yum-plugin-security , но и файл конфигурации для yum-autoupdate , / etc / sysconfig / yum-autoupdate , позволяет включить только установку обновлений безопасности.
# USE_YUMSEC
# This switches from using yum update to using yum-plugin-security
# true - run 'yum --security' update rather than 'yum update'
# false - defaults to traditional behavior running 'yum update' (default)
# + anything other than true defaults to false
#USE_YUMSEC="false"
USE_YUMSEC="true"
На CentOS6 можно использовать плагин yum-security:
yum install yum-security
Проверьте:
yum --security check-update
Эта команда возвращает код 0, если обновления системы безопасности недоступны.
В сочетании с yum-cron, вы можете получить письмо только о доступных обновлениях безопасности, изменив файл /etc/sysconfig/yum-cron:
YUM_PARAMETER="--security"
У меня была такая же проблема. Я попытался создать код Python для объединения обновлений Yum и рекомендаций с упомянутого выше сайта Steve-Meier Errata (я фильтрую его по установленным пакетам).
Если это помогает, вот источник: https://github.com/wied03/centos-package-cron
Также можно попробовать проект generated_updateinfo. Это питоновый скрипт, который обрабатывает файл errata.last.xml, скомпилированный проектом CEFS и генерирует файл updateinfo.xml с метаданными обновления безопасности. Затем вы можете внедрить его в локальный репозиторий обновлений CentOS 6 (7). Довольно просто интегрировать его с пользовательскими/локальными репозиториями, созданными командой createrepo:
- зеркальное хранилище с помощью
reposynccommand - create local repository с помощью
createrepocommand - download и генерирует файл
updateinfo.xmlс помощьюgenerated_updateinfo. pyскрипт - внедряет сгенерированные метаданные обновлений безопасности в ваше локальное хранилище с помощью
modifyrepoкоманды
Для Centos 6, Centos 7 и Centos 8 проще всего использовать Updateinfo Стива Мейера: репозиторий yum с информацией об ошибках CentOS. .
Это готовый репозиторий yum, обслуживаемый и обновляемый автором проекта CEFS.
Это платная услуга, но на данный момент она стоит всего лишь 3 доллара в месяц за неограниченное количество серверов (но рекомендуется использовать зеркало для большого парка).
Обратите внимание, что это то же самое, что вы можете сделать самостоятельно согласно ответу dsmsk80. Но разве вы не предпочитаете вместо этого поддержать энтузиаста, который сделал это решение возможным? :)