Red Hat Enterprise Linux管理及监控安全更新

Red Hat Enterprise Linux管理及监控安全更新

全文来自于RHEL官网，非原创。因客户服务特此记录，也算体验了有订阅服务的RHEL了，本来想找人做这个项目的，找了一圈，都没合适的。现在300块一个小时的活儿都找不到人。

1、识别安全更新

1.1、什么是安全公告？

红帽安全公告（Red Hat Security Advisories，简称 RHSA）记录了有关红帽产品和服务中安全漏洞的信息。

每个 RHSA 包括以下信息：

• 重要性
• 类型和状态
• 受影响的产品
• 修复问题的摘要
• 问题相关的报告链接。请注意，不是所有的报告都是公开的。
• 公共漏洞和暴露（Common Vulnerabilities and Exposures，简称 CVE）编号以及更多详情（如攻击复杂性）的链接。

红帽客户门户（Red Hat Customer Portal）提供了红帽发布的红帽安全公告列表。您可以通过访问红帽安全公告列表中的公告 ID 来显示特定公告的详情。

1.2、显示主机上未安装的安全更新

前提条件

• 红帽订阅附加到主机。

流程

• 列出主机上尚未安装的所有可用安全更新：

  # yum updateinfo list updates security
  …
  RHSA-2019:0997 Important/Sec. platform-python-3.6.8-2.el8_0.x86_64
  RHSA-2019:0997 Important/Sec. python3-libs-3.6.8-2.el8_0.x86_64
  RHSA-2019:0990 Moderate/Sec.  systemd-239-13.el8_0.3.x86_64
  

1.3、显示在主机上安装的安全更新

您可以使用 yum 工具来列出系统的已安装的安全更新。

流程

• 列出主机上安装的所有安全更新：

  # yum updateinfo list security --installed
  …
  RHSA-2019:1234 Important/Sec. libssh2-1.8.0-7.module+el8+2833+c7d6d092
  RHSA-2019:4567 Important/Sec. python3-libs-3.6.7.1.el8.x86_64
  RHSA-2019:8901 Important/Sec. python3-libs-3.6.8-1.el8.x86_64
  …
  

  如果安装了多个软件包更新，yum 会列出该软件包的所有公告。在上例中，自系统安装以来，已安装了 python3-libs 软件包的两个安全更新。

1.4、使用 YUM 显示特定公告

您可以使用 yum 工具来显示可用于更新的特定公告信息。

先决条件

• 红帽订阅附加到主机。
• 您知道安全公告的 ID。
• 公告提供的更新没有安装。

流程

• 显示特定的公告，例如：

  # yum updateinfo info RHSA-2019:0997
  ====================================================================
    Important: python3 security update
  ====================================================================
    Update ID: RHSA-2019:0997
         Type: security
      Updated: 2019-05-07 05:41:52
         Bugs: 1688543 - CVE-2019-9636 python: Information Disclosure due to urlsplit improper NFKC normalization
         CVEs: CVE-2019-9636
  Description: …
  

2、安装安全更新

在 RHEL 中，您可以安装特定的安全公告和所有可用的安全更新。您还可以将系统配置为自动下载和安装安全更新。

2.1、安装所有可用的安全更新

为了使系统的安全性保持最新，您可以使用 yum 工具安装所有当前可用的安全更新。

先决条件

• 红帽订阅附加到主机。

流程

1. 使用 yum 工具安装安全更新：

   # yum update --security
   

   如果没有- security 参数，yum update 会安装所有更新，包括 bug 修复和增强。

2. 按 y 确认并启动安装：

   …
   Transaction Summary
   ===========================================
   Upgrade  … Packages
   
   Total download size: … M
   Is this ok [y/d/N]: y
   

3. 可选：在安装更新的软件包后列出需要手动重启系统的进程：

   # yum needs-restarting
   1107 : /usr/sbin/rsyslogd -n
   1199 : -bash
   

   上一命令只列出需要重启的进程，而不是服务。也就是说，您无法使用 systemctl 工具重启列出的进程。例如，当拥有此进程的用户退出时，输出中的 bash 进程会被终止。

2.2、安装特定公告提供的安全更新

在某些情况下，您可能只希望安装特定的更新。例如，某个特定的服务可以在不需要停机的情况下进行更新，您可以只为该服务安装安全更新，并在以后安装剩余的安全更新。

先决条件

• 红帽订阅附加到主机。

• 您知道您要更新的安全公告的 ID。

  如需更多信息，请参阅识别安全公告更新部分。

流程

1. 安装特定的公告，例如：

   # yum update --advisory=RHSA-2019:0997
   

2. 另外，使用 yum upgrade-minimal 命令通过最小版本更改应用特定公告，例如：

   # yum upgrade-minimal --advisory=RHSA-2019:0997
   

3. 按 y 确认并启动安装：

   …
   Transaction Summary
   ===========================================
   Upgrade  … Packages
   
   Total download size: … M
   Is this ok [y/d/N]: y
   

4. 可选：在安装更新的软件包后列出需要手动重启系统的进程：

   # yum needs-restarting
   1107 : /usr/sbin/rsyslogd -n
   1199 : -bash
   

   上一命令只列出需要重启的进程，而不是服务。这意味着，您无法使用 systemctl 工具重启列出的所有进程。例如，当拥有此进程的用户退出时，输出中的 bash 进程会被终止。

2.3、自动安装安全更新

您可以配置您的系统，使其自动下载并安装所有安全更新。

先决条件

• 红帽订阅附加到主机。
• dnf-automatic 软件包已安装。

流程

1. 在 /etc/dnf/automatic.conf 文件中，在 [commands] 部分中，确保将 upgrade_type 选项设置为 default 或 security ：

   [commands]
   #  What kind of upgrade to perform:
   # default                            = all available upgrades
   # security                           = only the security upgrades
   upgrade_type = security
   

2. 启用并启动 systemd 计时器单元：

   # systemctl enable --now dnf-automatic-install.timer
   

验证

1. 验证计时器是否已启用：

   # systemctl status dnf-automatic-install.timer
   

其他资源

• 您系统上的 dnf-automatic (8) 手册页