Confirmation que yum-cron est correctement configuré sur un serveur CentOS 7

10

Existe-t-il un moyen de tester si la yum-cronconfiguration est correcte? Je dois confirmer qu'il installera automatiquement les correctifs de sécurité et qu'il m'enverra un e-mail lorsqu'il le fera.

J'ai un serveur Web CentOS 7 yum-croninstallé. Cela fonctionne depuis quelques mois et je n'ai reçu aucun e-mail, ni aucune mise à jour /var/log/yum.log. Je pense que c'est parce qu'aucune mise à jour de sécurité ne m'a affecté. Lorsque je cours, yum --security list updatesje reçois le message No packages needed for securityet je ne vois aucun correctif critique récent m'affectant dans centos-announce .

My /etc/yum/yum-cron.confressemble à quelque chose comme ceci, avec une véritable adresse e-mail au lieu de [email protected]:

[commands]
update_cmd = security
update_messages = yes
download_updates = yes
apply_updates = yes

[emitters]
emit_via = stdio,email

[email]
email_from = root@localhost
email_to = root,[email protected]
email_host = localhost
security yum centos7 user369066
la source

Réponses:

5

Votre test semble correct, mais AFAICT, le problème est que les principaux référentiels CentOS ne contiennent malheureusement pas les informations requises pour prendre en charge les mises à jour de sécurité comme RHEL. Veuillez vous référer à cette discussion pour les détails:

https://www.centos.org/forums/viewtopic.php?f=47&t=51300

Sur CentOS, il semble que vous ne pouvez vraiment utiliser yum-cron que pour des mises à niveau complètes automatiques comme dans:

update_cmd = default

sinon, vous n'obtiendrez que des mises à niveau de sécurité de tous les référentiels externes que vous utilisez (comme par exemple EPEL).

Sur nos propres serveurs CentOS 7, nous utilisons cette valeur par défaut combinée à des règles de téléchargement et de notification uniquement, sur lesquelles nous agissons ensuite manuellement.

Comme solution de contournement, vous pouvez probablement maintenir un référentiel local yum avec uniquement les mises à jour de sécurité et appliquer automatiquement des mises à niveau complètes à partir de là. Cela nécessiterait toujours une maintenance manuelle de ce référentiel de sécurité, mais au moins tous vos serveurs pourraient être mis à niveau automatiquement à partir de là.

Jonas Bardino
la source
+1 De plus, CentOS / RHEL est si conservateur / stable avec les mises à jour par défaut que je doute que toute tentative d'auto-développement "d'amélioration" améliorera réellement la disponibilité du système d'exploitation. Si vous n'utilisez pas la norme, vous devez d'abord tester les mises à jour.
kubanczyk
1

Vous devriez pouvoir voir si le travail est exécuté par le journal cron.

grep yum.cron /var/log/cron | tail -10

Si vous voyez la sortie ici, vous pouvez alors vérifier.

tail -10 /var/log/yum.log
xguru
la source
0

Vous pouvez tester cela. Trouvez un hôte en retard sur les mises à jour par rapport à la liste d'annonces. Ou, s'ils sont tous à jour, créez-en un nouveau et n'appliquez pas encore toutes les mises à jour. Appliquez votre configuration et attendez l'e-mail.

John Mahowald
la source