ubuntu yum系统更新策略

Ubuntu 使用 YUM 的前提与替代方案

Ubuntu 默认使用 APT/dpkg 而非 YUM/DNF。若你在 Ubuntu 上看到“yum”命令，通常意味着系统被切换为 RHEL/CentOS 的软件源或运行在 WSL 的 CentOS/AlmaLinux 环境中。请先确认系统与软件源：

• 查看发行版与版本：cat /etc/os-release
• 查看是否存在 YUM 配置：ls /etc/yum.repos.d/
• 如是 Ubuntu，请改用 APT 策略（如 apt update && apt full-upgrade）；如确需 YUM，请继续按下方基于 YUM 的策略实施。

基于 YUM 的更新策略建议

• 更新方式
  • 日常补丁：使用 yum update（或 yum upgrade，两者在常规场景下等效）。
  • 仅安全更新：使用 yum --security update 或配置自动更新仅处理安全类更新。
  • 发行版大版本升级：不建议用 yum upgrade 跨版本，建议全新安装或使用专门的升级工具。
• 变更控制
  • 变更窗口：建议固定为每周固定时段（如周二 02:00–04:00），变更前做快照/备份与变更单。
  • 变更前检查：执行 yum check-update、yum list updates 评估影响面，必要时在测试环境验证。
• 回退与应急
  • 保留最近一次可回退的快照；关键业务可准备回滚方案（如旧版本 RPM 保留、服务快速回切）。
• 验收与观测
  • 更新后巡检：服务状态、端口连通、关键业务日志、系统资源与内核/库版本变更。
  • 审计与留痕：统一收集 /var/log/yum.log 与系统日志，纳入审计平台。

自动更新与通知配置

• 使用 yum-cron 实现自动更新
  • 安装与启用：sudo yum install -y yum-cron && sudo systemctl enable --now yum-cron
  • 核心配置（/etc/yum/yum-cron.conf）
    • [commands] 段：
      • update_cmd = security（仅安全更新）或 update_cmd = update/upgrade（全部更新）
      • apply_updates = yes（自动应用）或 no（仅下载）
      • download_updates = yes（提前下载）
      • random_sleep = 360（检查间随机延迟，单位秒，降低并发峰值）
    • [emitters] 段（可选，邮件通知）：
      • emit_via = stdio,email
      • email_from = root@$(hostname)
      • email_to = ops@example.com
      • email_host = localhost（确保本机可发信，如 postfix/mailx 已配置）
• 日志与验证
  • 查看更新日志：sudo tail -f /var/log/yum.log
  • 查看服务状态：systemctl status yum-cron
• 仅下载不应用（变更窗口手动触发）
  • 配置 apply_updates=no、download_updates=yes，在维护窗口执行 yum update 实施变更。

包排除与版本固定

• 临时排除包
  • 单包：sudo yum update --exclude=kernel
  • 多包：sudo yum update --exclude=kernel* --exclude=php*
• 永久排除包
  • 在 /etc/yum.conf 的 [main] 段添加：exclude=kernel* php*（按需调整）
• 说明
  • 排除关键组件（如 kernel、glibc）会降低安全性与稳定性，建议通过变更窗口与回退预案来管理风险，而非长期排除。

Ubuntu 场景的正确做法

• 若确认为 Ubuntu，请使用 APT 实施更新策略：
  • 安全与补丁：sudo apt update && sudo apt full-upgrade
  • 自动安全更新：sudo apt install -y unattended-upgrades && sudo dpkg-reconfigure unattended-upgrades
  • 变更窗口与回退：结合 unattended-upgrades 与快照/备份，按周执行并巡检。