天翼云主机安全-centos7自动更新安全补丁-ansible自动部署

      网络安全形式越来越差，系统漏洞发现的频率越来越高，对于重要的漏洞操作系统往往会同步发布补丁，而如果采用人工维护模式不可能及时打上补丁，对于在互联网上运行的系统来说是非常危险，如何自动让操作系统给自己打补丁呢？本文记录如何实现每天、每小时自动更新操作系统安全补丁的技术实现。

     一、安装yum-cron软件包

 yum install yum-cron -y

   二、启动yum-cron软件

 systemctl enable yum-cron.service 

将yum-cron加入开机启动项
 systemctl start yum-cron.service

手工启动yum-cron服务
 systemctl status yum-cron.service

查看yum-cron服务状态

   三、yum-cron每日更新配置文件

每日更新配置文件位于/etc/yum/yum-cron.conf

    查找修改apply_update=no 修改为 apply_update=yes

 

   四、yum-cron每小时更新配置文件

每小时更新配置文件位于/etc/yum/yum-cron-hourly.conf

  查找修改apply_update=no 修改为 apply_update=yes

update_message=yes  

download_updates=yes

  五、修改配置执行频率为每小时一次

vi /etc/cron.daily/0yum-daily.cron

exec /usr/sbin/yum-cron /etc/yum/yum-cron-hourly.conf

#!/bin/bash   # Only run if this flag is set. The flag is created by the yum-cron init # script when the service is started -- this allows one to use chkconfig and # the standard "service stop|start" commands to enable or disable yum-cron. if [[ ! -f /var/lock/subsys/yum-cron ]]; then exit 0 fi   # Action! exec /usr/sbin/yum-cron /etc/yum/yum-cron-hourly.conf

六、检查配置效果，确实是否可以自动更新系统

tail -200 /var/log/messages

tail -200 /var/log/yum.log 

通过对比系统消息日志与yum安装日志更新日期时间与文件名可以得知，自动更新确实已经生效，并且在22日中午12：01分启动，12点45分开始记录更新成功日志，也就是说，按照约定yum-cron确实在12：01分启动了检查更新，但是到其真正更新中间经历了近45分钟时间。

七、更新效果

1、更新前扫描器发现了一个4月1日发现的httpd高危漏洞

2、自动更新完成后，扫描器再次扫描已经没有apache httpd高危漏洞

 

八、使用ansible-playbook批量部署

1、安装yum-cron的role

ansible-galaxy install samdoran.yum_cron

2、编辑yml文件

---
- hosts: all
  vars:
    yumcron_apply_updates:
      daily: 'yes'
      hourly: 'yes'
  roles:
    - samdoran.yum_cron

3、执行效果查询

ansible lab -m command -a 'systemctl status yum-cron'

九、总结

     使用python定制的软件yum-cron是个在redhat与centos上实现操作系统自动更新的优秀软件，该软件可以采用按天或按小时更新的模式对系统进行更新，如果管理的服务器很多，则建议通过ansible自动部署。