Potwierdzenie, że yum-cron jest poprawnie skonfigurowany na serwerze CentOS 7

10

Czy jest jakiś sposób na sprawdzenie, czy yum-cronjest poprawnie skonfigurowany? Muszę potwierdzić, że automatycznie zainstaluje łatki bezpieczeństwa i że wyśle ​​mi e-mail, gdy to zrobi.

Mam yum-cronzainstalowany serwer sieciowy CentOS 7 . Działa od kilku miesięcy i nie otrzymałem żadnych e-maili, ani nie widzę żadnych aktualizacji /var/log/yum.log. Myślę, że dzieje się tak, ponieważ w rzeczywistości nie dotyczyły mnie żadne aktualizacje zabezpieczeń. Kiedy uruchamiam yum --security list updates, dostaję wiadomość No packages needed for securityi nie widzę żadnych ostatnich łat krytycznych, które miałyby na mnie wpływ w ogłoszeniu centos .

Mój /etc/yum/yum-cron.confwygląda mniej więcej tak, jak prawdziwy adres e-mail zamiast [email protected]:

[commands]
update_cmd = security
update_messages = yes
download_updates = yes
apply_updates = yes

[emitters]
emit_via = stdio,email

[email]
email_from = root@localhost
email_to = root,[email protected]
email_host = localhost
security yum centos7 użytkownik369066
źródło

Odpowiedzi:

5

Twój test wygląda dobrze, ale problem AFAICT polega na tym, że główne repozytoria CentOS niestety nie zawierają wymaganych informacji do obsługi aktualizacji związanych tylko z bezpieczeństwem, tak jak RHEL. Szczegółowe informacje znajdują się w tej dyskusji:

https://www.centos.org/forums/viewtopic.php?f=47&t=51300

Na CentOS wygląda na to, że naprawdę możesz używać yum-cron do automatycznych pełnych aktualizacji, jak w:

update_cmd = default

w przeciwnym razie otrzymujesz tylko aktualizacje bezpieczeństwa z zewnętrznych repozytoriów, z których korzystasz (np. EPEL).

Na naszych własnych serwerach CentOS 7 używamy tej wartości domyślnej w połączeniu z regułami pobierania i powiadamiania, na których następnie ręcznie działamy.

Aby obejść ten problem, prawdopodobnie możesz utrzymywać lokalne repozytorium mniam tylko z aktualizacjami zabezpieczeń i automatycznie stosować pełne aktualizacje. Nadal wymagałoby to ręcznej konserwacji tego repozytorium zabezpieczeń, ale przynajmniej wszystkie Twoje serwery mogłyby się z niego automatycznie zaktualizować.

Jonas Bardino
źródło
+1 Również CentOS / RHEL jest tak konserwatywny / stabilny z domyślnymi aktualizacjami, że wątpię, by każda opracowana przez siebie próba „ulepszenia” faktycznie poprawiła dostępność systemu operacyjnego. Jeśli wybierzesz niestandardowy, absolutnie musisz najpierw przetestować aktualizacje.
kubańczyk
1

Powinieneś być w stanie zobaczyć, czy zadanie jest uruchomione przez dziennik cron.

grep yum.cron /var/log/cron | tail -10

Jeśli zobaczysz tutaj dane wyjściowe, możesz je zweryfikować.

tail -10 /var/log/yum.log
xguru
źródło
0

Możesz to przetestować. Znajdź hosta opóźnionego w aktualizacjach w porównaniu do listy ogłoszeń. Lub, jeśli wszystkie są aktualne, zbuduj nowy i nie stosuj jeszcze wszystkich aktualizacji. Zastosuj konfigurację i poczekaj na wiadomość e-mail.

John Mahowald
źródło