CentOSおよびRHELにセキュリティパッチまたはアップデートを自動的にインストールする


Linuxシステムの深刻なニーズの1つは、対応するディストリビューションで利用可能な最新のセキュリティパッチまたはアップデートで定期的に最新の状態に保つことです。

前回の記事では、Debian/Ubuntuで自動セキュリティ更新を構成する方法について説明しました。この記事では、必要に応じて重要なセキュリティパッケージを自動更新するようにCentOS/RHEL7/6ディストリビューションを設定する方法について説明します。

同じファミリの他のLinuxディストリビューション(FedoraまたはScientific Linux)も同様に構成できます。

CentOS / RHELシステムでの自動セキュリティ更新の構成

CentOS/RHEL 7/6では、次のパッケージをインストールする必要があります。

# yum update -y && yum install yum-cron -y

インストールが完了したら、/ etc/yum/yum-cron.confを開き、次の行を見つけます。値がここにリストされている値と一致することを確認する必要があります。

update_cmd = security
update_messages = yes
download_updates = yes
apply_updates = yes

最初の行は、無人更新コマンドが次のようになることを示しています。

# yum --security upgrade

一方、他の行では、通知とセキュリティアップグレードの自動ダウンロードおよびインストールが可能です。

次の行は、通知が[メールで保護された]から同じアカウントにメールで送信されることを示すためにも必要です(ここでも、必要に応じて別のアカウントを選択できます)。

emit_via = email
email_from = [email protected]
email_to = root

デフォルトでは、cronはすべての更新をすぐにダウンロードしてインストールするように構成されていますが、これら2つのパラメーターを yes に変更することで、/ etc/sysconfig/yum-cron構成ファイルでこの動作を変更できます。

# Don't install, just check (valid: yes|no)
CHECK_ONLY=yes

# Don't install, just check and download (valid: yes|no)
# Implies CHECK_ONLY=yes (gotta check first to see what to download)
DOWNLOAD_ONLY=yes

セキュリティパッケージの更新に関する電子メール通知を有効にするには、MAILTOパラメータを有効なメールアドレスに設定します。

# by default MAILTO is unset, so crond mails the output by itself
# example:  MAILTO=root
[email protected]

最後に、yum-cronサービスを開始して有効にします。

------------- On CentOS/RHEL 7 ------------- 
systemctl start yum-cron
systemctl enable yum-cron

------------- On CentOS/RHEL 6 -------------  
# service yum-cron start
# chkconfig --level 35 yum-cron on

おめでとうございます! CentOS/RHEL7/6で無人アップグレードを正常にセットアップしました。

この記事では、最新のセキュリティパッチまたはアップデートでサーバーを定期的に更新する方法について説明しました。さらに、新しいパッチが適用されたときに最新の状態に保つために、電子メール通知を構成する方法を学びました。

この記事について何か懸念がありますか?以下のコメントフォームを使用して、お気軽にご連絡ください。我々はあなたからの連絡を楽しみにしています。