L'une des tâches recommandées que nous pouvons exécuter sur nos systèmes d'exploitation, quel que soit leur développeur, est de le maintenir à jour avec les derniers correctifs développés par le fabricant, car cela optimise les meilleurs niveaux de sécurité, de compatibilité et de performances.
Bien que Linux soit l'un des systèmes d'exploitation les plus sécurisés, nous ne pouvons pas laisser de côté la question des mises à jour car avec les menaces actuelles constantes, elles ont été développées pour affecter tous les types de systèmes d'exploitation.
Dans les environnements Linux, il est toujours recommandé de maintenir les packages installés à jour, notamment en matière de sécurité. En général, les utilisateurs doivent appliquer les mises à jour de sécurité à ces systèmes Linux dans les 30 jours suivant leur sortie officielle.
Dans le cas de CentOS 7, c'est un point critique car il s'agit de l'une des distributions les plus utilisées en tant que plate-forme d'entreprise pour de nombreuses organisations dans le monde en raison de ses diverses fonctionnalités et de sa portée et s'il y a une faille de sécurité, nous pouvons être dans une situation qui va mettre en danger toute la structure que nous gérons.
Solvetic analysera ci-dessous comment configurer un serveur CentOS 7 pour utiliser les mises à jour de sécurité automatiques et ainsi garantir que le système télécharge automatiquement les packages et applique toutes les mises à jour de sécurité sans intervention manuelle de notre part en tant qu'administrateurs ou utilisateurs.
Pour cela, les éléments suivants seront nécessaires :
- Avoir des autorisations d'utilisateur brisées.
- Avoir un serveur CentOS 7
NoterSi vous n'avez pas encore installé CentOS 7, vous pouvez le télécharger gratuitement sur le lien suivant :
Nous vous laissons également le tutoriel vidéo suivant avec lequel vous pouvez voir l'ensemble du processus d'installation de Yum-cron et ainsi configurer les mises à jour automatiques d'un serveur avec CentOS 7 :
1. Installer yum-cron sur CentOS 7
Yum-cron est un outil en ligne de commande qui nous permet de gérer les mises à jour du système et des packages sur les systèmes CentOS.
Ce démon est disponible dans CentOS et Fedora qui utilise un script cron avec lequel il vérifie quotidiennement s'il y a des mises à jour disponibles, et s'il y a des mises à jour, il nous donne la possibilité d'installer, de télécharger ou de nous envoyer une notification par e-mail de leur disponibilité .
Avec yum-cron, il sera possible de gérer la mise à jour spécifique du système, de gérer la mise à jour et les mises à jour de sécurité, la mise à jour du système et du package ou la mise à jour minimale pour les deux.
Étape 1
Cet utilitaire est disponible dans le référentiel CentOS 7 et pour son installation, nous exécuterons ce qui suit :
miam -y installer miam-cron
Étape 2
Une fois l'installation terminée, nous procédons au démarrage du service yum-cron et le configurons pour qu'il démarre automatiquement au démarrage du système, pour cela nous pouvons exécuter les commandes suivantes. De cette façon, nous avons installé yum-cron dans CentOS 7.
systemctl démarrer yum-cron systemctl activer yum-cron
2. Configurer yum-cron pour les mises à jour automatiques sur CentOS 7
Après avoir installé le package yum-cron sur CentOS 7, il devra être configuré pour les mises à jour automatiques. Par défaut, yum-cron propose trois types de mises à jour :
- Mise à jour par défaut par commande
miam surclassement
- Mise à jour minimale.
- Mise à jour de sécurité.
Étape 1
Pour configurer ces valeurs il faut aller dans le répertoire yum-cron.conf et y accéder avec l'éditeur souhaité, en l'occurrence nano :
cd / etc / yum / nano yum-cron.conf
Étape 2
Dans ce fichier, nous devons aller à la ligne update_cmd pour définir le type de mise à jour que CentOS 7 aura.
Nous pouvons voir que sa valeur actuelle est par défaut et pour télécharger et installer les mises à jour de sécurité, nous définirons la ligne suivante :
update_cmd = sécurité
Étape 3
Nous devons maintenant confirmer que la ligne update_messages a la valeur yes. Enfin, il faudra valider que les lignes suivantes sont en oui. De cette façon, chaque fois qu'une mise à jour de sécurité est disponible, le système télécharge automatiquement les packages requis, puis applique toutes les mises à jour.
download_updates = oui apply_updates = ouiÉtape 4
Maintenant, nous allons voir comment configurer la notification de message, rappelez-vous que yum-cron nous permet d'envoyer la notification à une adresse e-mail.
Si nous souhaitons recevoir la notification par mail, nous établirons la valeur suivante dans la ligne émet_via :
émet_via = e-mail
Étape 5
Nous pouvons maintenant définir l'adresse e-mail :
email_from = root @ localhost email_to = [email protected] email_host = localhost
Étape 6
Nous enregistrons les modifications à l'aide de la combinaison de touches suivante :
Ctrl + O
Nous quittons l'éditeur en utilisant :
Ctrl + X
Étape 7
Une fois les modifications traitées, nous redémarrerons le service yum-cron en exécutant ce qui suit. Avec ce processus, les mises à jour de sécurité du système seront automatiquement téléchargées et appliquées quotidiennement à l'aide de yum-cron.
systemctl redémarrer yum-cron
3. Configurer pour exclure les packages dans CentOs 7
À ce stade, nous ne souhaitons peut-être pas appliquer les mises à jour automatiques à certains packages, y compris le noyau CentOS 7.
Étape 1
Pour ces exceptions, nous accéderons à nouveau au fichier de configuration :
cd / etc / yum / nano yum-cron.confÉtape 2
Dans la dernière partie du fichier, nous trouverons la section de base et nous devons ajouter la ligne suivante, par exemple, pour exclure le noyau avec MySQL :
exclure = mysql * noyau *
Étape 3
Dans cet exemple spécifique, tous les packages nommés commençant par 'mysql' ou 'kernel' seront désactivés pour les mises à jour automatiques. Nous enregistrons les modifications et redémarrons le service en exécutant :
systemctl redémarrer yum-cronÉtape 4
Dans ce fichier de configuration yum-cron, nous pouvons mentionner quatre paramètres fondamentaux qui sont :
CHECK_ONLY (oui | non)Cette option nous permet d'indiquer si elle ne sera cochée que s'il y a des téléchargements mais de ne pas effectuer d'autres actions (sans les installer ni les télécharger).
DOWNLOAD_ONLY (oui | non)Il s'applique non seulement dans le cas de vérifier s'il existe des mises à jour (CHECK_ONLY = NO), mais ce paramètre nous permet de télécharger et d'installer, ou de télécharger uniquement les mises à jour disponibles pour CentOS 7.
MAILTO (courriel)Vous permet d'envoyer un e-mail de notification avec le résultat des actions effectuées à chaque exécution de yum-cron.
DAYS_OF_WEEK ("0123456")Ce paramètre est utilisé pour indiquer quels jours de la semaine le contrôle de mise à jour sera effectué.
4. Vérifiez les journaux yum-cron dans CentOs 7
Le paramètre yum-cron utilise une tâche cron pour les mises à jour de sécurité automatiques et tous les journaux de ce cron seront disponibles dans le répertoire / var / log.
Étape 1
Pour voir ces enregistrements, nous exécuterons les opérations suivantes :
cd/var/log/cat cron | grep miam-quotidienÉtape 2
Si nous voulons voir les packages qui ont été installés, nous exécuterons ce qui suit :
chat miam.log | grep Mise à jour
Avec cette option yum-cron, nous pouvons être sûrs que les mises à jour seront prêtes à être téléchargées et installées dès qu'elles seront disponibles.