预期目标:

因为简单的yum update组件可能会产生不可预计的错误, 所以模拟yum update更新流程,将信息(更新软件列表,更新软件所解决的cve漏洞等)写入日志文件,然后进行分析,根据分析结果选择全部更新或者更新软件组件。

项目简介:

yum( Yellow dog Updater, Modified)是一个在Fedora和RedHat以及SUSE中的Shell前端软件包管理器。基於RPM包管理,能够从指定的服务器自动下载RPM包并且安装,可以自动处理依赖性关系,并且一次安装所有依赖的软体包,无须繁琐地一次次下载、安装。

CVE通用漏洞披露 [Common Vulnerabilities and Exposures])又称常见弱点与漏洞,是一个与资讯安全有关的数据库,收集各种资安弱点及漏洞并给予编号以便于公众查阅。

配置步骤:

yum install yum-plugin-changelog
yum update –changelog –assumeno > /var/log/CVE.log

查看日志文件

上述日志显示更新列表暂无影响到服务器上的服务,直接运行全部软件更新
如果只更新涉及到cve的安全组件,则运行:

yum update –security

项目扩展:

(1)可设置定时任务模拟更新,然后提取日志中的关键字CVE进行监控,做到及时分析并更新涉及到安全漏洞的软件;
(2)也可进行仅安全补丁的自动更新,其他组件不涉及

yum -y install yum-cron
vim /etc/yum/yum-cron.conf

update_cmd = security
download_updates = yes
apply_updates = yes
emit_via = email
email_to = ##管理员邮箱

systemctl start yum-cron
systemctl enable yum-cron
##邮箱通知已更新security等级的组件
yum install sendmail -y
firewall-cmd –add-port=25/tcp
firewall-cmd –reload
systemctl start sendmail
systemctl enable sendmail