Yum安全更新策略是什么

Yum 安全更新策略要点

• 范围与分级：将更新限定为仅安全勘误，并可按严重度筛选。常见分级为：Critical/Important/Moderate/Low（部分发行版如 Alibaba Cloud Linux 采用此分级；RHEL/CentOS 的 updateinfo 也支持按 severity 过滤）。支持按 CVE 精确更新，以及按 Advisory ID（如 RHSA、ALINUXx-SA）查看与更新。目标是“最小必要变更”，降低非安全改动带来的风险。

• 变更控制与最小化：优先采用“只打安全补丁”的策略，必要时使用最小化更新（仅升级带安全勘误的包），避免连带的非安全更新引起行为变化。对于需要严格变更控制的场景，可先下载、评估、再安装。

• 可信来源与签名校验：仅从可信仓库获取更新，默认启用 GPG 签名校验（/etc/yum.conf 中 gpgcheck=1），确保包完整性与来源可信，防止被篡改的 RPM 被安装。

• 验证与回退：变更前评估影响（尤其是内核、库、关键服务），变更后验证服务状态与功能；保留回退预案（如快照/备份、可回滚的部署流程），在出现问题时快速恢复。

常用命令与用法

• 仅检查是否有安全更新（适合脚本判定，有可用安全更新时退出码为 100）
  • RHEL/CentOS 7/8/9：yum check-update --security
• 仅列出安全更新
  • yum updateinfo list security [all|installed]
• 查看安全更新详情（含 CVE、描述、影响包）
  • yum updateinfo info security
  • 或按公告：yum updateinfo info
• 按 CVE 更新
  • yum update --cve
• 应用安全更新
  • 常规：yum update --security
  • 最小化（仅含安全勘误的包）：yum update-minimal --security
• 说明
  • 使用 --security 时，若某包的新版本同时包含安全与非安全修复，仍可能被拉起；需要严格“最小化”时使用 update-minimal。
  • 在 RHEL 6 上，若提示找不到安全子命令，需先安装插件：yum install yum-plugin-security。

自动化与通知配置

• 使用 yum-cron 实现无人值守安全更新（RHEL/CentOS 6/7 常用）
  • 安装：yum install -y yum-cron
  • 启用：systemctl enable --now yum-cron
  • 关键配置（/etc/yum/yum-cron.conf 或 /etc/yum/yum-cron-hourly.conf）
    • [commands] 段：update_cmd = security；download_updates = yes；apply_updates = yes（测试阶段可先设为 no）
    • [emitters]/[email] 段：emit_via = stdio,email；email_from；email_to；email_host（确保本机可发信，如 mailx/postfix）
  • 变更无需重启服务，定时任务会自动读取新配置。
• 日志与审计
  • 计划任务日志：grep yum /var/log/cron
  • Yum 历史：tail -f /var/log/yum.log
• 只检查或只下载不安装（适合变更窗口前评估）
  • RHEL/CentOS 6 可在 /etc/sysconfig/yum-cron 中设置：CHECK_ONLY=yes、DOWNLOAD_ONLY=yes
  • 或先用 yum updateinfo list security 评估，再决定是否执行安装。

实施建议

• 生产环境推荐“先评估、后上线”：将 update_cmd 设为 security、apply_updates 设为 no，配合邮件/日志审计，在测试环境验证后再集中执行；对关键系统优先使用 update-minimal --security。
• 严格变更控制：变更窗口内执行、备份/快照、回退预案、变更记录与复盘；对内核、glibc、sshd、数据库、中间件等核心组件重点评估与回归测试。
• 持续合规与态势感知：定期运行 yum updateinfo summary，关注 Critical/Important 级别与关键 CVE，结合资产与业务重要性制定差异化更新节奏。