Yum-cron-CentOS7にセキュリティアップデートを自動的にインストールする


新たに進化し続けるサイバー脅威と侵害の世界では、セキュリティ更新プログラムを適用することは、潜在的な脅威からシステムを保護するのに大いに役立ちます。そして、これらの更新の適用があなたの介入なしに自動的に行われるとしたら、なんて嬉しいことでしょう。

これは、システムを手動で更新する心配が少なく、他のシステム管理タスクに集中できることを意味します。

推奨読書:dnf-automatic – CentOS8にセキュリティアップデートを自動的にインストールする

このチュートリアルでは、yum-cronを使用してCentOS7システムにセキュリティ更新プログラムを自動的にインストールおよび構成する方法を学習します。

Yum-cronは、ユーザーがYumパッケージマネージャーのcronジョブを構成できるようにするyumモジュールおよびコマンドラインツールです。

ステップ1:CentOS7にYum-cronユーティリティをインストールする

Yum-cronはCentOS7にプリインストールされていますが、何らかの理由で存在しない場合は、コマンドを実行してインストールできます。

# yum install yum-cron

インストールが完了したら、grepコマンドを指定してrpmコマンドを実行し、yum-cronユーティリティの存在を確認します。

# rpm -qa | grep yum-cron

ステップ2:CentOS7で自動セキュリティ更新を構成する

yum-cronユーティリティが正常にインストールされたら、セキュリティ更新プログラムを自動的に取得してシステムを更新するように構成する必要があります。更新には、 yum update コマンドを使用して初期化されるデフォルトの更新、最小限の更新、最後にセキュリティの更新の2種類があります。

このガイドでは、セキュリティ更新プログラムを自動的に受信するようにシステムを構成します。したがって、表示されているパスにある yum-cron.conf ファイルを開いて編集します。

# vi /etc/yum/yum-cron.conf

文字列 update_cmd を見つけます。デフォルトでは、これはデフォルトに設定されています。次に、値を編集して ‘security’ に設定します。

update_cmd = security

次に、 update_messages パラメータを見つけて、その値が ‘yes’ に設定されていることを確認します。

update_messages = yes

同様に、 download_updates apply_updates についても同じようにします。

download_updates = yes
apply_updates = yes

構成は次のようになります。

構成ファイルを保存して終了します。

変更を有効にするには、図のように起動時にyum-cronデーモンまたはサービスを起動して有効にします。

# systemctl start yum-cron
# systemctl enable yum-cron
# systemctl status yum-cron

ステップ3:Yumでの更新からパッケージを除外する方法

パッケージに依存する他のアプリケーションで発生する可能性のある互換性の問題のために、パッケージのバージョンを維持し、更新しない必要がある場合があります。場合によっては、これにはカーネル自体が含まれることもあります。

これを実現するには、 yum-cron.conf 構成ファイルに戻ります。下部の [base] セクションで、 ‘exclude’ パラメータを含む行を追加し、更新から除外するパッケージを定義します。

exclude = mysql* php* kernel*

mysql&phpで始まるすべてのパッケージ名は自動更新から除外されます。

yum-cronを再起動して、変更を有効にします。

# systemctl restart yum-cron

ステップ4:yum-cronログを確認する

yum-cronログは /var/log/yum.log ファイルに保存されます。更新されたパッケージを表示するには、catコマンドを実行します。

# cat /var/log/yum.log  | grep -i updated

システムの自動更新は、毎日実行され、/var/log/cron ファイルに保存されるcronジョブによって制御されます。毎日のcronジョブ実行のログを確認します。

# cat /var/log/cron | grep -i yum-daily

これで、CentOS 7システムは自動セキュリティ更新用に完全に構成され、システムを手動で更新することにストレスを感じる必要はありません。