预期目标：

因为简单的yum update组件可能会产生不可预计的错误， 所以模拟yum update更新流程，将信息（更新软件列表，更新软件所解决的cve漏洞等）写入日志文件，然后进行分析，根据分析结果选择全部更新或者更新软件组件。

项目简介：

yum（ Yellow dog Updater, Modified）是一个在Fedora和RedHat以及SUSE中的Shell前端软件包管理器。基於RPM包管理，能够从指定的服务器自动下载RPM包并且安装，可以自动处理依赖性关系，并且一次安装所有依赖的软体包，无须繁琐地一次次下载、安装。

CVE（ 通用漏洞披露 [Common Vulnerabilities and Exposures]）又称常见弱点与漏洞，是一个与资讯安全有关的数据库，收集各种资安弱点及漏洞并给予编号以便于公众查阅。

配置步骤：

yum install yum-plugin-changelog
yum update --changelog --assumeno > /var/log/CVE.log

查看日志文件

上述日志显示更新列表暂无影响到服务器上的服务，直接运行全部软件更新
如果只更新涉及到cve的安全组件，则运行：

yum update --security

项目扩展：

（1）可设置定时任务模拟更新，然后提取日志中的关键字CVE进行监控，做到及时分析并更新涉及到安全漏洞的软件；
（2）也可进行仅安全补丁的自动更新，其他组件不涉及

yum -y install yum-cron
vim /etc/yum/yum-cron.conf

update_cmd = security
download_updates = yes
apply_updates = yes
emit_via = email
email_to = ##管理员邮箱

systemctl start yum-cron
systemctl enable yum-cron
##邮箱通知已更新security等级的组件
yum install sendmail -y
firewall-cmd --add-port=25/tcp
firewall-cmd --reload
systemctl start sendmail
systemctl enable sendmail