Администратор Linux - Обновления системы
Систему CentOS 7 можно обновить тремя способами:
- Manually
- Automatically
- Обновите вручную для серьезных проблем с безопасностью и настройте автоматические обновления
В производственной среде рекомендуется обновлять производственные серверы вручную. Или, по крайней мере, составьте план обновлений, чтобы администратор мог гарантировать услуги, жизненно важные для бизнес-операций.
Вполне вероятно, что простое обновление безопасности может вызвать рекурсивные проблемы с обычным приложением, которое требует обновления и перенастройки со стороны администратора. Итак, не стоит планировать автоматические обновления в производственной среде перед тестированием на серверах разработки и настольных компьютерах.
Обновите CentOS 7 вручную
Чтобы обновить CentOS 7, нам нужно познакомиться с командой yum .yumиспользуется для работы с репозиториями пакетов в CentOS 7. yum обычно используется для:
- Обновите систему CentOS 7 Linux
- Искать пакеты
- Установить пакеты
- Обнаружение и установка необходимых зависимостей для пакетов
Чтобы использовать yum для обновлений, ваш сервер CentOS должен быть подключен к Интернету. Большинство конфигураций устанавливают базовую систему, а затем используют yum для запроса основного репозитория CentOS для дополнительных функций в пакетах и применения обновлений системы.
Мы уже использовали yum для установки нескольких пакетов. При использовании yum вам всегда нужно делать это как пользователь root. Или пользователь с root-доступом. Итак, давайте найдем и установим простой в использовании текстовый редактор под названием nano .
[root@centos rdc]# yum search nano
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: mirror.rackspace.com
* epel: mirror.chpc.utah.edu
* extras: repos.forethought.net
* updates: repos.forethought.net
======================================================================
N/S matched: nano
======================================================================
nano.x86_64 : A small text editor
nodejs-nano.noarch : Minimalistic couchdb driver for Node.js
perl-Time-Clock.noarch : Twenty-four hour clock object with nanosecond precision
Name and summary matches only, use "search all" for everything.
[root@centos rdc]#Теперь давайте установим текстовый редактор nano .
[root@centos rdc]# yum install nano
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: mirror.keystealth.org
* epel: pubmirror1.math.uh.edu
* extras: centos.den.host-engine.com
* updates: repos.forethought.net
Resolving Dependencies
--> Running transaction check
---> Package nano.x86_64 0:2.3.1-10.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
================================================================================
Package Arch
Version Repository Size
================================================================================
Installing:
nano x86_64
2.3.1-10.el7 base 440 k
Transaction Summary
Install 1 Package
Total download size: 440 k
Installed size: 1.6 M
Is this ok [y/d/N]: y
Downloading packages:
nano-2.3.1-10.el7.x86_64.rpm
| 440 kB 00:00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : nano-2.3.1-10.el7.x86_64
1/1
Verifying : nano-2.3.1-10.el7.x86_64
1/1
Installed:
nano.x86_64 0:2.3.1-10.el7
Complete!
[root@centos rdc]#Мы установили текстовый редактор nano. Этот метод, IMO, намного проще, чем поиск утилит на веб-сайтах и запуск установщиков вручную. Кроме того, репозитории используют цифровые подписи для проверки пакетов, гарантируя, что они поступают из надежного источника с помощью yum. Администратор должен проверять подлинность при доверии к новым репозиториям. Вот почему считается хорошей практикой уставать от сторонних репозиториев.
Yum также можно использовать для удаления пакета.
[root@centos rdc]# yum remove nano
Loaded plugins: fastestmirror, langpacks
Resolving Dependencies
--> Running transaction check
---> Package nano.x86_64 0:2.3.1-10.el7 will be erased
--> Finished Dependency Resolution
Dependencies ResolvedТеперь проверим обновления.
[root@centos rdc]# yum list updates
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: mirror.keystealth.org
* epel: pubmirror1.math.uh.edu
* extras: centos.den.host-engine.com
* updates: repos.forethought.net
Updated Packages
NetworkManager.x86_64 1:1.4.0-17.el7_3 updates
NetworkManager-adsl.x86_64 1:1.4.0-17.el7_3 updates
NetworkManager-glib.x86_64 1:1.4.0-17.el7_3 updates
NetworkManager-libnm.x86_64 1:1.4.0-17.el7_3 updates
NetworkManager-team.x86_64 1:1.4.0-17.el7_3 updates
NetworkManager-tui.x86_64 1:1.4.0-17.el7_3 updates
NetworkManager-wifi.x86_64 1:1.4.0-17.el7_3 updates
audit.x86_64 2.6.5-3.el7_3.1 updates
audit-libs.x86_64 2.6.5-3.el7_3.1 updates
audit-libs-python.x86_64Как показано, у нас есть несколько десятков обновлений, ожидающих установки. На самом деле, всего обновлений около 100, поскольку мы еще не настроили автоматические обновления. Итак, давайте установим все ожидающие обновления.
[root@centos rdc]# yum update
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: mirrors.usc.edu
* epel: pubmirror1.math.uh.edu
* extras: repos.forethought.net
* updates: repos.forethought.net
Resolving Dependencies
--> Running transaction check
---> Package NetworkManager.x86_64 1:1.4.0-14.el7_3 will be updated
---> Package NetworkManager.x86_64 1:1.4.0-17.el7_3 will be an update
selinux-policy noarch 3.13.1102.el7_3.15 updates 414 k
selinux-policy-targeted noarch 3.13.1102.el7_3.15 updates 6.4 M
systemd x86_64 21930.el7_3.7 updates 5.2 M
systemd-libs x86_64 21930.el7_3.7 updates 369 k
systemd-python x86_64 21930.el7_3.7 updates 109 k
systemd-sysv x86_64 21930.el7_3.7 updates 63 k
tcsh x86_64 6.18.01-13.el7_3.1 updates 338 k
tzdata noarch 2017a1.el7 updates 443 k
tzdata-java noarch 2017a1.el7 updates 182 k
wpa_supplicant x86_64 1:2.021.el7_3 updates 788 k
Transaction Summary
===============================================================================
Install 2 Packages
Upgrade 68 Packages
Total size: 196 M
Total download size: 83 M
Is this ok [y/d/N]:После нажатия клавиши «y» начнется обновление CentOS 7. Общий процесс, через который yum проходит при обновлении, -
- Проверяет текущие пакеты
- Ищет в репозитории обновленные пакеты
- Вычисляет зависимости, необходимые для обновленных пакетов
- Загрузки обновлений
- Устанавливает обновления
Теперь давайте удостоверимся, что наша система обновлена -
[root@centos rdc]# yum list updates
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* updates: mirror.compevo.com
[root@centos rdc]#Как видите, обновлений в списке нет.
Настроить автоматическое обновление для YUM
В корпоративной среде, как упоминалось ранее, автоматические обновления могут быть или не быть предпочтительным методом установки. Давайте рассмотрим шаги по настройке автоматических обновлений с помощью yum.
Сначала мы устанавливаем пакет под названием yum-cron .
[root@centos rdc]# yum -y install yum-cron
Install 1 Package
Total download size: 61 k
Installed size: 51 k
Downloading packages:
yum-cron-3.4.3-150.el7.centos.noarch.rpm
| 61 kB 00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : yum-cron-3.4.3-150.el7.centos.noarch
1/1
Verifying : yum-cron-3.4.3-150.el7.centos.noarch
1/1
Installed:
yum-cron.noarch 0:3.4.3-150.el7.centos
Complete!
[root@centos rdc]#По умолчанию yum-cron загружает только обновления, но не устанавливает их. Возможность автоматической установки обновлений находится в компетенции администратора. Самая большая оговорка: для некоторых обновлений потребуется перезагрузка системы. Кроме того, для некоторых обновлений может потребоваться изменение конфигурации, прежде чем службы снова станут доступны.
Обновление зависимостей может создать рекурсивную проблему в следующей ситуации:
Yum рекомендует обновление для определенной библиотеки
Библиотека поддерживает только Apache Server 2.4, но у нас есть сервер 2.3.
Наш коммерческий сайт использует определенную версию PHP.
Для новой версии Apache, установленной для библиотеки, требуется обновление PHP.
Наши производственные веб-приложения еще не тестировались с новой версией PHP.
Yum может продолжить и автоматически обновлять Apache и PHP без предварительного уведомления, если не настроено.
Если все 5 сценариев будут реализованы, это может привести к чему угодно - от большой головной боли по утрам до возможной угрозы безопасности, связанной с раскрытием пользовательских данных. Хотя вышеупомянутый пример представляет собой своего рода идеальный шторм, мы никогда не хотим, чтобы такой сценарий разыгрывался.
Администратор должен получить доступ к возможным сценариям потенциальной потери дохода из-за времени, необходимого для восстановления услуг, из-за возможного простоя из-за перезагрузки обновления и перенастройки. Эта практика может быть недостаточно консервативной, скажем, для сайта электронной коммерции с миллионом долларов в день с миллионами клиентов.
Теперь давайте настроим yum-cron для автоматической установки обновлений системы.
[root@centos rdc]# vim /etc/yum/yum-cron.conf
# Whether updates should be applied when they are available. Note
# that download_updates must also be yes for the update to be applied.
apply_updates = yesМы хотим изменить apply_updates = no на apply_updates = yes . Теперь настроим интервал обновления yum-cron .
Опять же, использование автоматических обновлений и установка обновлений по запросу - это палка о двух концах, и администратор должен учитывать ее в каждой уникальной ситуации.