天翼云主机安全-centos7自动更新安全补丁-ansible自动部署

最新推荐文章于 2024-09-07 17:08:10 发布
最新推荐文章于 2024-09-07 17:08:10 发布
阅读量1.1k 收藏 6
点赞数 1
分类专栏: 天翼云总结 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/firehadoop/article/details/89448234
版权

      网络安全形式越来越差,系统漏洞发现的频率越来越高,对于重要的漏洞操作系统往往会同步发布补丁,而如果采用人工维护模式不可能及时打上补丁,对于在互联网上运行的系统来说是非常危险,如何自动让操作系统给自己打补丁呢?本文记录如何实现每天、每小时自动更新操作系统安全补丁的技术实现。

     一、安装yum-cron软件包

 yum install yum-cron -y

   二、启动yum-cron软件

 systemctl enable yum-cron.service 

将yum-cron加入开机启动项
 systemctl start yum-cron.service

手工启动yum-cron服务
 systemctl status yum-cron.service

查看yum-cron服务状态

   三、yum-cron每日更新配置文件

每日更新配置文件位于/etc/yum/yum-cron.conf

    查找修改apply_update=no 修改为 apply_update=yes

 

   四、yum-cron每小时更新配置文件

每小时更新配置文件位于/etc/yum/yum-cron-hourly.conf

  查找修改apply_update=no 修改为 apply_update=yes

update_message=yes  

download_updates=yes

  五、修改配置执行频率为每小时一次

vi /etc/cron.daily/0yum-daily.cron

exec /usr/sbin/yum-cron /etc/yum/yum-cron-hourly.conf
#!/bin/bash
 
# Only run if this flag is set. The flag is created by the yum-cron init
# script when the service is started -- this allows one to use chkconfig and
# the standard "service stop|start" commands to enable or disable yum-cron.
if [[ ! -f /var/lock/subsys/yum-cron ]]; then
  exit 0
fi
 
# Action!
exec /usr/sbin/yum-cron /etc/yum/yum-cron-hourly.conf

六、检查配置效果,确实是否可以自动更新系统

tail -200 /var/log/messages

tail -200 /var/log/yum.log 

通过对比系统消息日志与yum安装日志更新日期时间与文件名可以得知,自动更新确实已经生效,并且在22日中午12:01分启动,12点45分开始记录更新成功日志,也就是说,按照约定yum-cron确实在12:01分启动了检查更新,但是到其真正更新中间经历了近45分钟时间。

七、更新效果

1、更新前扫描器发现了一个4月1日发现的httpd高危漏洞

2、自动更新完成后,扫描器再次扫描已经没有apache httpd高危漏洞

 

八、使用ansible-playbook批量部署

1、安装yum-cron的role

ansible-galaxy install samdoran.yum_cron

2、编辑yml文件

---
- hosts: all
  vars:
    yumcron_apply_updates:
      daily: 'yes'
      hourly: 'yes'
  roles:
    - samdoran.yum_cron

3、执行效果查询

ansible lab -m command -a 'systemctl status yum-cron'

九、总结

     使用python定制的软件yum-cron是个在redhat与centos上实现操作系统自动更新的优秀软件,该软件可以采用按天或按小时更新的模式对系统进行更新,如果管理的服务器很多,则建议通过ansible自动部署。

当下人生
关注
专栏目录
ansible-apt:Ansapt apt和无人值守升级,可在debian系统上自动进行软件包更新
05-25
ansible-apt Ansible apt角色,在ubuntu 12.04系统上管理apt,它具有两个功能: 保持您的apt缓存更新,清理依赖关系,删除.deb文件并配置apt系统 是否在debian系统上进行了自动软件包更新(在ubuntu 12.04上进行了测试)以获取更多信息,请检查 ##先决条件 如果您使用的是邮件通知,则必须已配置mailx ## Variables所有默认变量都位于defaults / main.yml中。 他们大多是理智的,但 --- # # *********** Apt config *********** apt_update_source_list : " no " # Deploy Apt source.list ['no', 'copy', 'template'] apt_update_source_list_mirro
更新linux centos7服务器的安全更新补丁
hzjhss的博客
09-03 1463
当大家想只给centos系统更新“安全补丁”的时候,往往会把其他一些无用的组件给更新下来,现在就给大家说下怎么只更新补丁而又不更新其他组件.#--allowerasing”以替换冲突的包,或“--skip break”以跳过可卸载的包,或“--nobest”以不仅使用最佳候选包。更新linux centos7服务器的安全更新补丁(只更新补丁而又不更新其他组件) yum security update只更新安全补丁。下载新的 CentOS-Base.repo 到 /etc/yum.repos.d/
使用centos7搭建ansible自动化运维,ansible 是一款开源的 IT 自动化引擎,能够自动执行置备、配置管理、应用部署、编排等 IT 流程。
最新发布
dxgcbhj的博客
09-07 808
上操作,使192.168.10.153上可以自动化创建文件(file),删除文件(file),复制文件(copy),(mount)挂载,yum(下载)、(service)启动服务,关闭防火墙(systemd)命令。总结:以上就是使用ansible自动化控制主机来执行命令,比较方便管理主机,还用到剧本ansible-playbook的一些编写格式以及基础的模块,如有问题,还是那句话、请联系小编。3.ansible有两个目录结构,一个是默认root配置文件/etc/enable,另一个是默认清单文件位置。
linux小白成长之路4————centos7配置自动更新安装安全补丁
b1124的博客
03-29 532
【内容指引】 安装yum-cron; 修改配置:nano; 手工启动服务; 将服务设置为开机自动启动。 为保证linux系统的安全性以及稳定性,可以使用yum-cron服务自动更新: 1.安装yum-cron 命令: yum install yum-cron -y   2. 使用nano修改yum-cron的配置 yum-cron配置的存放路径是...
Ccentos7配置自动更新安装安全补丁
pcw89126的博客
06-07 761
@TOCcentos7配置自动更新安装安全补丁 1、更新系统 1.1 执行命令“yum update -y”进行手动更新系统 yum update -y 2、.安装yum-cron 2.1 执行命令“yum install yum-cron -y” 安装yum-cron yum install yum-cron -y 2.2 修改yum-cron.conf 配置 文件位置“/etc/yum/yum-cron.conf”(vim 安装 yum -y install vim) vim /etc/yum/yu
Linux 7 和 CentOS 7 收到重要内核安全更新
llawliet0001的专栏
01-07 387
导读 Red Hat 和CentOS宣布了其 Red Hat EnterpriseLinux7 和 CentOS Linux 7 操作系统系列重要内核安全更新的可用性。 据悉,这些更新解决了两个安全漏洞和许多其他 bug。 具体表现为,新的 Linux 内核安全更新此次修复了 CVE-2019-14821和 CVE-2019-15239 两个漏洞。 其中,CVE-2019...
Ansible-docker-centos7-ansible.zip
09-18
Ansible-docker-centos7-ansible.zip,用于Ansible Playbook和角色测试的CentOS 7 Docker容器。CentOS 7 Ansible测试图像,ansible是一个简单而强大的自动化引擎。它用于帮助配置管理、应用程序部署和任务自动化。
docker-centos7-ansible:用于Ansible剧本和角色测试的CentOS 7 Docker容器
01-30
docker-centos7-ansible:用于Ansible剧本和角色测试的CentOS 7 Docker容器
Ansible-vagrant-centos7-ansible-lamp.zip
09-18
Ansible-vagrant-centos7-ansible-lamp.zip,ansible示例使用vagrant将带有apache2.4.6、php7(带有xdebug)、mariadb5.5和phpmyadmin的centos7服务器部署到本地vm。vagrant centos7 lamp使用ansible playbook,...
ansible-playbook-centos7-safe-base-line
01-18
利用ansible安全基线自动
ansible-2.7.1 CentOS7离线安装全部包
10-27
ansible-2.7.1 CentOS7离线安装全部包 ansible-2.7.1-1.el7.ans.noarch.rpm python-babel-0.9.6-8.el7.noarch.rpm python-jinja2-2.7.2-2.el7.noarch.rpm python-markupsafe-0.11-10.el7.x86_64.rpm python-paramiko...
ansible-role-win_updates:使用Ansible安装Windows更新
02-05
ansible-role-win_updates:使用Ansible安装Windows更新
ansible-system-patching:用于管理系统补丁Ansible 角色
07-08
补丁管理 Ansible play 来管理修补 Linux 服务器(最终也是 Windows) 指示 命令行使用 在命令行中,您需要将 hosts 的值指定为 extra_vars 条目: ansible-playbook PatchSystems.yaml -e "hosts=<valid>" 该剧本默认为在修补后重新启动服务器。 覆盖重新启动 var 以更改此设置。 ansible-playbook PatchSystems.yaml -e "hosts=<valid> reboot=false" 您可以选择指定要操作的标签。 这两个标签允许您只运行部分剧本。 选项: pin - 仅执行角色的包固定或版本锁定部分 patch - 仅执行修补,即跳过固定 此示例将执行封装固定: ansible-playbook PatchS
CentOS 7 Yum 自动安装安全更新
flying_008的博客
01-22 541
CentOS 7 Yum 自动安装安全更新 发布:elantion日期:2019-07-08阅读:1150评论:0 做运维的都应该经历过安全漏洞更新的痛苦,Linux 的软件太多,几乎每个软件过段时间就会有漏洞,放着不管不行,每一两天更新一次又很烦,有没有自动更新的东西可以帮帮忙呢?有,Yum 有很成熟的自动更新工具:yum-cron,功能完善,也不复杂。 安装 yum-cron yum-cron 存在 CentOS 7 的软件库中,安装命令如下: yum -y install yum-c...
更新linux centos7服务器的安全更新补丁(只更新补丁而又不更新其他组件) yum security update只更新安全补丁
php菜鸟技术天地
03-08 1万+
当大家想只给centos系统更新“安全补丁”的时候,往往会把其他一些无用的组件给更新下来,现在就给大家说下怎么只更新补丁而又不更新其他组件. 一、查看系统版本 cat /etc/centos-release 一、只更新补丁而又不更新其他组件:security update插件 1.安装yum插件即可: yum install yum-security 2.使用:检查安全更新 yum –security check-update 3.只安装安全更新 yum update –s.
CentOS 7 带来Linux内核安全更新的修复
Listen2You的博客
02-09 611
CentOS 是基于 Red Hat Enterprise Linux 的操作系统,所以它也继承了其安全更新,最近的更新是对 Red Hat Enterprise Linux 7 内核软件包发现的五个漏洞打而进行的修补,这些漏洞也会影响到 CentOS 7 用户。根据红帽上游的重要安全公告,已更新的内核软件包是针对在 Linux 内核的 packet_set_ring() 函数中发现的缓冲区溢出(...
jenkins(四)--- jenkins + gitlab + ansible 实现自动触发更新
qq_35887546的博客
05-27 746
主机准备: 主机 ip 作用 server1 172.25.63.1 gitlab主机 server2 172.25.63.2 jenkins+ansible主机 server3 172.25.63.3 客户端主机 server4 172.25.63.4 客户端主机 各主机selinux和火墙全部关闭。 首先在server2安装ansible: [root@server2 ~]# wget -O /etc/yum.repos.d/epel.repo http://mirror
Centos7系统安全漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
Ansible 管理windwos 服务器补丁安装情况(二)
weixin_34413357的博客
08-19 767
还是废话不多说 苦于没有内个叫什么虚机管理工具,是叫SCCM还是叫什么来着,忘了,反正就是没有。 所以windwos补丁有的时候打不全,或者根本没打补丁,多以要解决这个问题,可以使用Ansible工具进行管理,不过要现在windwos上安装Powershell脚本才行啊,好像原生Powershell不支持吧,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值