Linux Admin-시스템 업데이트

CentOS 7 시스템은 세 가지 방법으로 업데이트 할 수 있습니다.

  • Manually
  • Automatically
  • 주요 보안 문제에 대해 수동으로 업데이트하고 자동 업데이트 구성

프로덕션 환경에서는 프로덕션 서버에 대해 수동으로 업데이트하는 것이 좋습니다. 또는 적어도 관리자가 비즈니스 운영에 필수적인 서비스를 보장 할 수 있도록 업데이트 계획을 수립하십시오.

간단한 보안 업데이트로 인해 관리자의 업그레이드 및 재구성이 필요한 일반 응용 프로그램에서 반복적 인 문제가 발생할 수 있습니다. 따라서 개발 서버와 데스크톱에서 먼저 테스트하기 전에 프로덕션에서 자동 업데이트를 예약하는 데 지치십시오.

CentOS 7 수동 업데이트

CentOS 7을 업데이트하려면 yum 명령에 익숙해 져야합니다 .yumCentOS 7에서 패키지 저장소를 처리하는 데 사용됩니다. yum 은 일반적으로 사용되는 도구입니다.

  • CentOS 7 Linux 시스템 업데이트
  • 패키지 검색
  • 패키지 설치
  • 패키지에 필요한 종속성 감지 및 설치

업데이트에 yum 을 사용하려면 CentOS 서버가 인터넷에 연결되어 있어야합니다. 대부분의 구성은 기본 시스템을 설치 한 다음 yum 을 사용 하여 패키지의 추가 기능에 대해 기본 CentOS 저장소를 쿼리하고 시스템 업데이트를 적용합니다.

우리는 이미 yum 을 사용하여 몇 가지 패키지를 설치했습니다. yum 을 사용할 때 항상 루트 사용자로해야합니다. 또는 루트 액세스 권한이있는 사용자. 이제 사용하기 쉬운 nano 라는 텍스트 편집기를 검색하고 설치해 보겠습니다 .

[root@centos rdc]# yum search nano
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.rackspace.com
 * epel: mirror.chpc.utah.edu
 * extras: repos.forethought.net 
 * updates: repos.forethought.net 
====================================================================== 
      N/S matched: nano 
======================================================================
nano.x86_64 : A small text editor
nodejs-nano.noarch : Minimalistic couchdb driver for Node.js
perl-Time-Clock.noarch : Twenty-four hour clock object with nanosecond precision
 Name and summary matches only, use "search all" for everything.
 
[root@centos rdc]#

이제 나노 텍스트 편집기를 설치하겠습니다 .

[root@centos rdc]# yum install nano
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.keystealth.org
 * epel: pubmirror1.math.uh.edu
 * extras: centos.den.host-engine.com
 * updates: repos.forethought.net
Resolving Dependencies
--> Running transaction check
---> Package nano.x86_64 0:2.3.1-10.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
================================================================================  
Package                             Arch
Version                          Repository                            Size  
================================================================================  
 Installing: 
 nano                               x86_64
 2.3.1-10.el7                    base                                  440 k
 
Transaction Summary
Install  1 Package
Total download size: 440 k
Installed size: 1.6 M
Is this ok [y/d/N]: y
Downloading packages:
nano-2.3.1-10.el7.x86_64.rpm
| 440 kB  00:00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
 Installing : nano-2.3.1-10.el7.x86_64
1/1  
 Verifying  : nano-2.3.1-10.el7.x86_64
1/1  
Installed: 
 nano.x86_64 0:2.3.1-10.el7
 
Complete!

[root@centos rdc]#

나노 텍스트 편집기를 설치했습니다. 이 방법 인 IMO는 웹 사이트에서 유틸리티를 검색하고 설치 프로그램을 수동으로 실행하는 것보다 훨씬 쉽습니다. 또한 리포지토리는 디지털 서명을 사용하여 패키지가 yum을 통해 신뢰할 수있는 소스에서 온 것인지 확인합니다. 새 저장소를 신뢰할 때 신뢰성을 검증하는 것은 관리자에게 달려 있습니다. 이것이 타사 리포지토리에 지치는 것이 모범 사례로 간주되는 이유입니다.

Yum을 사용하여 패키지를 제거 할 수도 있습니다.

[root@centos rdc]# yum remove nano 
Loaded plugins: fastestmirror, langpacks 
Resolving Dependencies 
--> Running transaction check 
---> Package nano.x86_64 0:2.3.1-10.el7 will be erased 
--> Finished Dependency Resolution

Dependencies Resolved

이제 업데이트를 확인하겠습니다.

[root@centos rdc]# yum list updates
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.keystealth.org
 * epel: pubmirror1.math.uh.edu
 * extras: centos.den.host-engine.com
 * updates: repos.forethought.net
Updated Packages
NetworkManager.x86_64           1:1.4.0-17.el7_3       updates
NetworkManager-adsl.x86_64      1:1.4.0-17.el7_3       updates
NetworkManager-glib.x86_64      1:1.4.0-17.el7_3       updates
NetworkManager-libnm.x86_64     1:1.4.0-17.el7_3       updates
NetworkManager-team.x86_64      1:1.4.0-17.el7_3       updates
NetworkManager-tui.x86_64       1:1.4.0-17.el7_3       updates
NetworkManager-wifi.x86_64      1:1.4.0-17.el7_3       updates
audit.x86_64                    2.6.5-3.el7_3.1        updates
audit-libs.x86_64               2.6.5-3.el7_3.1        updates
audit-libs-python.x86_64

그림과 같이 설치 대기중인 업데이트가 수십 개 있습니다. 실제로는 아직 자동 업데이트를 구성하지 않았기 때문에 총 100 개의 업데이트가 있습니다. 따라서 보류중인 모든 업데이트를 설치하겠습니다.

[root@centos rdc]# yum update
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirrors.usc.edu
 * epel: pubmirror1.math.uh.edu
 * extras: repos.forethought.net
 * updates: repos.forethought.net
Resolving Dependencies
--> Running transaction check
---> Package NetworkManager.x86_64 1:1.4.0-14.el7_3 will be updated
---> Package NetworkManager.x86_64 1:1.4.0-17.el7_3 will be an update
 selinux-policy            noarch      3.13.1102.el7_3.15      updates     414 k
 selinux-policy-targeted   noarch      3.13.1102.el7_3.15      updates     6.4 M 
 systemd                   x86_64      21930.el7_3.7           updates     5.2 M 
 systemd-libs              x86_64      21930.el7_3.7           updates     369 k 
 systemd-python            x86_64      21930.el7_3.7           updates     109 k 
 systemd-sysv              x86_64      21930.el7_3.7           updates     63 k 
 tcsh                      x86_64      6.18.01-13.el7_3.1      updates     338 k 
 tzdata                    noarch      2017a1.el7              updates     443 k 
 tzdata-java               noarch      2017a1.el7              updates     182 k 
wpa_supplicant             x86_64      1:2.021.el7_3           updates     788 k  

Transaction Summary 
=============================================================================== 
  Install   2 Packages 
  Upgrade  68 Packages 
Total size: 196 M 
Total download size: 83 M 
Is this ok [y/d/N]:

"y"키를 누르면 CentOS 7 업데이트가 시작됩니다. yum 이 업데이트 할 때 거치는 일반적인 프로세스 는 다음과 같습니다.

  • 현재 패키지 확인
  • 저장소에서 업데이트 된 패키지를 찾습니다.
  • 업데이트 된 패키지에 필요한 종속성을 계산합니다.
  • 업데이트 다운로드
  • 업데이트 설치

이제 시스템이 최신 상태인지 확인하겠습니다.

[root@centos rdc]# yum list updates 
Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
 * updates: mirror.compevo.com

[root@centos rdc]#

보시다시피, 나열된 업데이트가 없습니다.

YUM에 대한 자동 업데이트 구성

엔터프라이즈 환경에서는 앞에서 언급했듯이 자동 업데이트가 선호되는 설치 방법 일 수도 있고 아닐 수도 있습니다. yum을 사용하여 자동 업데이트를 구성하는 단계를 살펴 보겠습니다.

먼저 yum-cron 이라는 패키지를 설치합니다 .

[root@centos rdc]# yum -y install yum-cron
Install  1 Package
Total download size: 61 k
Installed size: 51 k
Downloading packages:
yum-cron-3.4.3-150.el7.centos.noarch.rpm
|  61 kB  00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : yum-cron-3.4.3-150.el7.centos.noarch
1/1
  Verifying  : yum-cron-3.4.3-150.el7.centos.noarch
1/1

Installed: 
 yum-cron.noarch 0:3.4.3-150.el7.centos
 
Complete!

[root@centos rdc]#

기본적으로 yum-cron 은 업데이트 만 다운로드하고 설치하지는 않습니다. 업데이트 자동 설치 여부는 관리자에게 있습니다. 가장 큰주의 사항은 일부 업데이트에는 시스템 재부팅이 필요하다는 것입니다. 또한 일부 업데이트는 서비스가 다시 작동하기 전에 구성 변경이 필요할 수 있습니다.

종속성을 업데이트하면 다음 상황에서 재귀 문제가 발생할 수 있습니다.

  • yum은 특정 라이브러리에 대한 업데이트를 권장합니다.

  • 라이브러리는 Apache Server 2.4 만 지원하지만 서버 2.3이 있습니다.

  • 당사의 상거래 사이트는 특정 버전의 PHP에 의존합니다.

  • 라이브러리 용으로 설치된 새 버전의 Apache를 사용하려면 PHP를 업그레이드해야합니다.

  • 우리의 프로덕션 웹 애플리케이션은 아직 최신 PHP 버전으로 테스트되지 않았습니다.

Yum은 설정하지 않는 한 예고없이 Apache와 PHP를 자동으로 업그레이드 할 수 있습니다.

5 가지 시나리오가 모두 실행되면 아침에 큰 골칫거리에서 사용자 데이터가 노출 될 수있는 보안 손상에 이르기까지 모든 것이 발생할 수 있습니다. 앞서 언급 한 예는 일종의 완벽한 폭풍이지만 우리는 그러한 시나리오가 실행되는 것을 결코 원하지 않습니다.

업데이트 재부팅 및 재구성으로 인한 가동 중지 시간으로 인해 서비스를 복원하는 데 필요한 시간으로 인한 잠재적 수익 손실 시나리오에 액세스하는 것은 관리자의 몫입니다. 예를 들어 수백만 명의 고객이있는 하루에 수백만 달러의 전자 상거래 사이트에서 이러한 관행은 충분히 보수적이지 않을 수 있습니다.

이제 시스템 업데이트를 자동으로 설치 하도록 yum-cron 을 구성 해 보겠습니다 .

[root@centos rdc]# vim /etc/yum/yum-cron.conf
# Whether updates should be applied when they are available.  Note
# that download_updates must also be yes for the update to be applied.
apply_updates = yes

apply_updates = noapply_updates = yes 로 변경하고 싶습니다 . 이제 yum-cron 의 업데이트 간격을 구성하겠습니다 .

다시 말하지만, 자동 업데이트를 사용하고 필요에 따라 업데이트를 설치할지 여부는 양날의 검이 될 수 있으며 각 고유 한 상황에 대해 관리자가 고려해야합니다.