Yum-cron - CentOS 7 にセキュリティ更新プログラムを自動的にインストールする
新たに発生し、進化し続けるサイバー脅威や侵害が発生する世界では、セキュリティ アップデートを適用することは、潜在的な脅威からシステムを保護するのに非常に役立ちます。これらのアップデートの適用がユーザーの介入なしで自動的に行われたら、どんなに素晴らしいことでしょう。
これは、システムを手動で更新することを心配する必要がなくなり、他のシステム管理タスクに集中できることを意味します。
推奨読書: dnf-automatic – CentOS 8 にセキュリティ更新プログラムを自動的にインストールする
このチュートリアルでは、yum-cron を使用して、CentOS 7 システムにセキュリティ更新プログラムを自動的にインストールして構成する方法を学習します。
では、ヤムクロンとは何でしょうか?
Yum-cron はyum モジュールであり、ユーザーが Yum パッケージ マネージャーの cron ジョブを設定できるようにするコマンドライン ツールです。
ステップ 1: CentOS 7 に Yum-cron ユーティリティをインストールする
CentOS 7 には Yum-cron がプレインストールされていますが、何らかの理由で存在しない場合は、コマンドを実行してインストールできます。
yum install yum-cron
インストールが完了したら、grep コマンドで rpm コマンドを実行して、yum-cron ユーティリティの存在を確認します。
rpm -qa | grep yum-cron
ステップ 2: CentOS 7 での自動セキュリティ更新の構成
yum-cron ユーティリティが正常にインストールされたら、セキュリティ更新を自動的に取得してシステムを更新するように設定する必要があります。更新には 2 種類あります。yum update
コマンドを使用して初期化されるデフォルトの更新、最小限の更新、最後にセキュリティ更新です。
このガイドでは、セキュリティ更新プログラムを自動的に受信するようにシステムを構成します。したがって、示されているパスにある yum-cron.conf
ファイルを開いて編集します。
vi /etc/yum/yum-cron.conf
文字列 update_cmd
を見つけます。デフォルトでは、これがデフォルトに設定されています。次に、値を編集して ‘security’
に設定します。
update_cmd = security
次に、update_messages
パラメータを見つけて、その値が ‘yes’
に設定されていることを確認します。
update_messages = yes
同様に、download_updates
と apply_updates
に対しても同じことを行います。
download_updates = yes
apply_updates = yes
構成は以下のようになります。
設定ファイルを保存して終了します。
変更を有効にするには、図に示すように、 起動時にyum-cron デーモンまたはサービスを開始して有効にします。
systemctl start yum-cron
systemctl enable yum-cron
systemctl status yum-cron
ステップ 3: Yum でパッケージを更新から除外する方法
場合によっては、パッケージに依存する他のアプリケーションで発生する可能性のある互換性の問題により、パッケージのバージョンを更新せずに維持する必要がある場合があります。場合によっては、これにはカーネル自体が含まれることもあります。
これを実現するには、yum-cron.conf
設定ファイルに戻ります。下部の [base]
セクションで、‘exclude’
パラメーターを含む行を追加し、更新から除外するパッケージを定義します。
exclude = mysql* php* kernel*
mysql と php で始まるパッケージ名はすべて自動更新から除外されます。
変更を有効にするには、yum-cron を再起動します。
systemctl restart yum-cron
ステップ 4: yum-cron ログを確認する
yum-cron ログは、/var/log/yum.log
ファイルに保存されます。更新されたパッケージを表示するには、cat コマンドを実行します。
cat /var/log/yum.log | grep -i updated
自動システム更新は、毎日実行され、/var/log/cron
ファイルに保存される cron ジョブによって制御されます。毎日実行される cron ジョブのログを確認するには。
cat /var/log/cron | grep -i yum-daily
CentOS 7 システムは自動セキュリティ アップデート用に完全に構成されており、システムを手動でアップデートすることにストレスを感じる必要はありません。