CentOS获取Linux安全补丁的步骤
小樊
33
2025-12-29 13:43:41
CentOS 获取 Linux 安全补丁的步骤
一 准备与版本确认
- 确认系统与版本:执行命令查看发行版与版本信息(如:cat /etc/os-release),并据此选择 YUM(CentOS 7) 或 DNF(CentOS 8/9、CentOS Stream) 作为包管理工具。
- 检查支持状态:
- CentOS Linux 7 已于 2024-06-30 停止官方支持;
- CentOS Linux 8 已于 2021-12-31 停止官方支持;
- 仍在维护的路径为 CentOS Stream(滚动更新)。若仍在 CentOS Linux 7/8,建议迁移至 CentOS Stream 或兼容发行版(如 Rocky Linux、AlmaLinux)。
- 更新前准备:备份关键数据与配置(如 /home、/etc),检查磁盘空间(建议保留 ≥20%),并在测试环境验证兼容性,避免生产中断。
二 手动获取并安装安全补丁
- 检查可用安全更新:
- CentOS 7:sudo yum check-update --security
- CentOS 8/9、Stream:sudo dnf check-update --security
- 仅安装安全补丁:
- CentOS 7:sudo yum update --security
- CentOS 8/9、Stream:sudo dnf update --security
- 安装所有可用更新(含非安全更新):
- CentOS 7:sudo yum update
- CentOS 8/9、Stream:sudo dnf update
- 变更生效:
- 若更新了内核或关键服务,需重启相应服务(如 sudo systemctl restart sshd)或整机(sudo reboot)。
- 验证结果:查看已更新包(如 yum list updated 或 dnf list updated)、检查内核版本(uname -r)。
三 配置自动获取安全补丁
- CentOS 7(YUM):
- 安装并启用自动更新:sudo yum install yum-cron && sudo systemctl enable --now yum-cron
- 启用自动应用更新:编辑 /etc/yum/yum-cron.conf,将 apply_updates=yes;可按需设置 update_cmd=security 以仅处理安全更新。
- CentOS 8/9、Stream(DNF):
- 安装并启用 dnf-automatic,在配置中启用自动下载与安装安全更新,按需设置为仅安全更新。
- 日志与审计:查看更新日志 /var/log/yum.log,记录更新时间与包列表,便于回溯与合规审计。
四 离线环境与特殊场景
- 离线更新(无公网):
- 挂载 ISO 作为本地源并更新:
- 挂载:mkdir -p /mnt/cdrom && mount -o loop /path/to/CentOS.iso /mnt/cdrom
- 配置本地源(示例):
- /etc/yum.repos.d/local.repo
- [local]
- name=CentOS Local Repo
- baseurl=file:///mnt/cdrom
- enabled=1
- gpgcheck=0
- 更新:sudo yum clean all && sudo yum makecache && sudo yum update -y
- 内核热补丁(免重启思路):
- RHEL 生态可使用 kpatch 进行动态内核补丁(需对应补丁 RPM,生产使用前充分测试)。
- 仅安装特定 RPM 包:当确有单包修复需求时,可从官方仓库获取 RPM 并以 sudo rpm -Uvh <包名> 安装,优先使用仓库与包管理器而非随意下载。
五 验证与风险控制
- 更新后验证:
- 服务状态:systemctl --failed、journalctl -xe;
- 包更新记录:yum list updated 或 dnf history;
- 内核版本:uname -r;
- 漏洞复核:使用 Nessus、OpenVAS 等扫描工具确认漏洞已修复。
- 风险控制建议:
- 生产环境先在测试环境验证 24–72 小时;
- 仅使用 官方仓库 与可信源;
- 重要变更安排在低峰时段,并做好 回滚预案 与 配置/数据备份。
