Автоматическая установка обновлений безопасности в CentOS 7 и 8

Автоматическая установка обновлений безопасности в CentOS 7 и 8

27.02.2020
VyacheslavK
CentOS, Linux
комментария 2

В CentOS, RedHat, Fedora вы можете настроить автоматическую установку обновлений безопасности сразу после того, как они появляются в репозиториях. В этой статье мы покажем как с помощью yum-cron и dnf-automatic настроить регулярную проверку и автоматическую установку обновлений безопасности в CentOS 7 и CentOS 8.

Используем yum-cron для настройки автоматического обновления CentOS 7

В CentOS 7 для автоматического обновления можно использовать пакет yum-cron, который можно установить с помощью менеджера пакетов yum:

# yum install -y yum-cron

После установки пакета, нужно внести изменения в конфигурационный файл. Откройте его:

И внесите следующие изменения:

Данные паромеры указывают, что нужно автоматическую загружать и устанавливать обновления безопасности. Все остальные обновления пропускаются, их можно будет установить вручную.

security-severity:Critical – установка только критические обновления безопасности;

minimal-security – минимальное обновление с исправлениями ошибок и обновления безопасности;

minimal-security-severity:Critical – исправление ошибок и только критические обновления.

Если у вас на сервере настроен почтовый сервис, вы можете включить отправку уведомлений на email адрес, который нужно задать в конфигурационном файле:

Можно исключить некоторые пакеты из процедуры автоматической установки обновлений. Внесите названия пакетов в поле “exclude” в секции [base], например:

Сохраните изменения в конфигурационном файле, запустите сервис yum-cron и добавить его в автозагрузку:

# systemctl start yum-cron
# systemctl enable yum-cron

Всю информацию по установке пакетов безопасности на сервере вы получите по почте, либо можно в лог файле /var/log/yum.log. Для корректного отображения времени в логах нужно убедиться, что время на вашем CentOS сервере синхронизировано с надежным NTP сервером.

# yum upgrade —security

Вы получите ошибку “Command line error: no such option: —security”, решается данная проблема, установкой нужного пакета:

# yum install -y yum-security

Настройка dnf-automatic для автоматической установки обновлений безопасности в CentOS

В CentOS 8 на смену пакетному установщику yum, пришел dnf и все работы по установке/обновлению/удалению пакетов, рекомендуется выполнять именно через него (хотя yum все еще работает как символическая ссылка к dnf). Чтобы настроить автоматическую установку обновлений пакетов в CentOS 8, нужно установить dnf-automatic:

# dnf install -y dnf-automatic

После запуска команды будут установлена dnf-automatic и обновлены ряд пакетов.

Файл конфигурации для dnf-automatic, находится по пути /etc/dnf/automatic.conf:

В конфигурационном файле нужноизменить некоторые строки:

Для отправки уведомлений, не забудьте указать ваш почтовый ящик. Запустите сервис dnf-automatic и добавьте его в автозагрузку системы:

# systemctl start dnf-automatic.timer
# systemctl enable dnf-automatic.timer

Задания для автоматического обновления, можно посмотреть командой:

# systemctl list-timers *dnf*

Журнал установки обновлений можно получать по почте или в лог файле /var/log/dnf.rpm.log.

Автоматическая установка обновлений позволяет повысить безопасность и защиту вашего сервера CentOS в Интернете, максимально быстро устанавливать исправления уязвимостей в используемом ПО . Но несет в себе другие риски: возможность получить сырую версию пакета, незапланированный даунтайм сервисов и ряд других проблем. В большинстве случаев автоматическая установка обновлений на продуктивных серверах без контроля администратора – плохое решение. Но есть случаи, когда автообновление критично или риски безопасности превышают риски временной недоступности сервиса.

Предыдущая статья Следующая статья

Автоматизированная система установки и обновления систем

SUS (Software Update Services) и SMS для автоматизированной установки обновлений, возможности SUS, настройка клиентов Windows для работы с SUS

Существуют два решения, которые Microsoft рекомендует использовать для управления патчами на предприятиях: Software Update Services (SUS) — для небольших и средних предприятий и S ystems Management Server ( SMS ) — для крупных предприятий. SMS — это универсальное решение, которое, кроме управления патчами, можно также использовать для автоматизированной установки и обновления приложений, проведения инвентаризаций, получения доступа к рабочим столам пользователей и т.п. SMS — приложение достаточно дорогостоящее и ресурсоемкое (кроме того, обязательно требует наличия SQL Server для хранения своей информации), кроме того, он менее удобен для управления патчами, чем специализированные приложения. Скорее всего, SMS удобнее устанавливать не для управления патчами, а как часть общей IT-инфраструктуры предприятия, если такая потребность существует. Для удобства управления патчами для SMS предназначено специальное дополнение — SUS Feature pack .

Software Update Services позиционируется как бесплатное решение для небольших и средних предприятий. Как было написано в рейтинге одного из журналов, его бессмысленно сравнивать с коммерческими системами patch management — слишком много функциональных возможностей отсутствуют. Тем не менее это — вполне работоспособное, простое и надежное решение, которое может пригодиться на многих предприятиях (хотя за счет ведения централизованной базы данных обновлений и автоматизации установки патчей). SUS обладает следующими возможностями:

· ведение централизованного каталога обновлений (по умолчанию в каталоге C:SUSContent, можно определить и другой каталог);

· есть возможность утверждать патчи (автоматически или вручную), прежде чем они будут доставлены клиентам;

· возможность указывать одному серверу SUS в качестве источника обновлений другой сервер SUS — экономится сетевой трафик в распределенных сетях: на каждой площадке можно поставить свой сервер SUS и качать обновления из Интернета только один раз;

· клиент SUS интегрирован в операционные системы Windows (подробнее про это — ниже);

· все управление производится через Web-интерфейс. Страница администратора — http ://имя_сервера/SUSAdmin, а клиенты обращаются на сервер напрямую.

К большим недостаткам SUS можно отнести то, что у него нет фильтра для скачиваемых патчей (кроме языковых) — он скачивает все подряд, и количество загружаемых из Интернета патчей измеряется сотнями (при среднем размере в несколько Мбайт). Кроме того, нет возможности разделять клиентов на группы, чтобы устанавливать патчи в соответствии со своими правилам, нет возможности производить откат установленных изменений, нет возможности устанавливать обновления для Office, Exchange, продуктов третьих фирм, нет многих других возможностей, которые имеются у платных корпоративных средств.

Как производится установка и настройка SUS:

1) Вначале нужно установить сервер SUS. Он устанавливается очень быстро и просто, и после окончания перезагрузка не требуется. В процесс установки можно настроить некоторые параметры (например, путь к каталогу патчей), которые потом при желании можно изменить. Единственный момент, который требует внимания — нет ли на сервере SUS установленного Web-приложения (если оно находится на Web -сервере по умолчанию, оно будет отключено);

2) после установки необходимо открыть страницу /susadmin на сервере, на котором был установлен SUS, настроить параметры сервера (например, прокси-сервер, через который будет происходить загрузка обновлений) и синхронизировать сервер, скачав с сайта Microsoft все обновления. Лучше запланировать синхронизацию (встроенными средствами) на ночь, поскольку потребуется скачать сотни мегабайт обновлений;

3) следующее, что нужно сделать — настроить клиентов SUS. Клиенты SUS (официальное название — Automatic Updates) встроены в Windows 2000 SP 3, Windows XP SP 1 и Windows 2003. Другие операционные системы не поддерживаются, для Windows 2000 и XP до установленных соответствующих SP можно скачать отдельный клиент. Элементарные возможности настройки Automatic Updates доступны из свойств системы, однако самой важной возможности — указать имя сервера SUS при помощи графического интерфейса вы не сможете. Изменить параметры клиентов можно при помощи групповых политик, но чтобы получить такую возможность, нужно взять из каталога c:windowsinf на компьютере, где установлен SUS, шаблон wuau . adm , поместить его в такой же каталог на контроллере домена — PDC E mulator, и импортировать этот шаблон (контекстное меню к контейнеру Administrative Templates под Computer Configuration в редакторе групповых политик). Если же компьютер не входит в домен или у вас нет возможности использовать групповые политики, то придется редактировать реестр. Файл *.reg, который можно использовать в качестве шаблона при внесении изменений в реестр, можно найти в каталоге Управление патчами SUS на компакт-диске. Желательно также при этом при помощи групповой политики отключить ярлык Windows Update на компьютерах пользователей.

В 2005 году Microsoft планирует выпустить программный продукт, который должен заменить SUS — Windows Update Service. Этот продукт, судя по всему, будет похож на урезанную версию SMS. Он потребует минимум 512 Мбайт оперативной памяти (рекомендуется 1 Гбайт) и SQL Server или MSDE и сможет устанавливать обновления не только для операционных систем, но и для Office, Exchange и SQL Server. В нем предполагается реализовать возможность автоматического отката изменений, специальный алгоритм минимизации трафика (будут передаваться только изменения в файлах), некоторые возможности сканирования клиентов, возможность указания клиентов, механизм генерации отчетов и т.п.

Настройка способа получения обновлений в Windows 10

Параметры центра обновления Windows 10 полностью перенесены из классической панели управления в Параметры системы. Начиная с ранних сборок Insisder Preview в параметрах центра обновления Windows 10 отсутствует возможность настройки способа получения обновлений, как и возможность отключения обновлений Windows.

Как и в предыдущих версиях Windows вы можете управлять параметрами центра обновлений используя групповые политики, которые также регулируются путем правки параметров реестра.

Использование редактора групповой политики

1. Откройте редактор групповой политики ( Win + R – gpedit.msc)
2. Перейдите в раздел Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Центр обновления Windows
3. В правой части редактора откройте двойным щелчком параметр Настройка автоматического обновления

Установите состояние параметра в положение Включено. В блоке Параметры выберите подходящий вам вариант проверки, загрузки и установки обновлений.
В правой части окна настройки параметра содержится подробная справка по каждому варианту настройки.

Предпочитаемым вариантом является №2 – Уведомление о загрузке и установке. В этом случае будет производиться поиск доступных обновлений, но решение о загрузке и установке обновлений принимает пользователь.

Нажмите кнопку Пуск, выберите Параметры, перейдите в раздел Обновление и безопасностьи нажмите кнопку Проверка наличия обновлений.

После применения изменений способ получения обновлений будет изменен в параметрах системы, а его настройка будет возможна только путем настройки политики.

Когда обновления будут доступны для вашей системы, вы получите уведомление в виде баннера, которое будет сохранено в Центре уведомлений.

Этот способ настройки недоступен в редакции Windows 10 Home ввиду отсутствия в ней редактора групповой политики. Тем не менее, настройка способов получения обновлений в Windows 10 Home возможна путем редактирования параметров реестра.

Использование параметров реестра

1. Откройте редактор реестра ( Win + R – regedit)
2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
3. Нажмите правую кнопку мыши на разделе Windows и выберите пункт Создать – Раздел
4. Введите имя раздела WindowsUpdate
5. В новом разделе аналогичным образом создайте подраздел с именем AU.
6. Установите курсор мыши на подраздел AU. В правой части редактора реестра нажмите правую кнопку мыши и выберите пункт Создать – Параметр DWORD (32-бита).
7. Присвойте новому параметру имя AUOptions
8. Аналогичным образом создайте еще три параметра со следующими именами: NoAutoUpdate, ScheduledInstallDay , ScheduledInstallTime (опционально NoAutoRebootWithLoggedOnUsers).

Теперь установите значения этих параметров в зависимости от вашего выбора:

Параметр

Описание

Доступные значения

AUOptions

Параметр регулирует способ получения и установки обновлений

2 — Уведомлять перед загрузкой и установкой любых обновлений

3 — Автоматически загружать обновления и уведомлять об их готовности к установке (значение по умолчанию)

4 — Автоматически загружать обновления и устанавливать их по указанному расписанию

5 — Разрешить локальным администраторам выбирать режим конфигурации уведомления и установки для автоматического обновления

NoAutoUpdate

Параметр позволяет отключить поиск и установку обновлений

– Автоматическая установка обновлений включена. Обновления будут загружаться и устанавливаться в зависимости от установок параметра AUOptions

1 – Автоматическая установка обновлений отключена (не рекомендуется)

ScheduledInstallDay

Параметр позволяет запланировать установку обновлений на определенный день недели.

Работает только если значение параметра AUOptions = 4

— ежедневно

1 – каждый понедельник

2 – каждый вторник

3 – каждую среду

4 – каждый четверг

5 – каждую пятницу

6 – каждую субботу

7 – каждое воскресенье

ScheduledInstallTime

Параметр позволяет запланировать установку обновлений на определенное время.

Работает только если значение параметра AUOptions = 4

Для этого параметра доступны значения от до 23, что соответствует часам в сутках.

Параметр указывает, что для завершения установки по расписанию служба автоматического обновления будет ожидать перезагрузки компьютера любым вошедшим пользователем вместо автоматической перезагрузки компьютера.

Работает только если значение параметра AUOptions = 4

1 — отключить автоматическую перезагрузку

— включить автоматическую перезагрузку

Готовые файлы реестра для добавления необходимых разделов и параметров

Скачайте Windows_Update_Settings.zip и извлеките файлы из архива. Описание файлов в архиве:

1. WU_Notify_Updates.reg – устанавливает значение №2: Уведомлять перед загрузкой и установкой любых обновлений
2. WU_Never_Notify_Updates.reg – отключает автоматический поиск и установку обновлений (не рекомендуется).

Отключение автоматической установки драйверов устройств

Если в результате автоматической установки одного или нескольких драйверов, полученных из центра обновления Windows, происходят неполадки в работе устройств или Windows, вы можете временно отключить автоматическую установку драйверов.

1. Откройте классическую панель управления ( Win + X – панель управления)
2. Перейдите в категорию Система и безопасность и выберите Система
3. В левой части окна сведений о системе нажмите Дополнительные параметры системы
4. В открывшемся окне свойств системы перейдите на вкладку Оборудование и нажмите кнопку Параметры установки устройств

Вы также можете добиться аналогичного эффекта путем настройки политики ограничения установки устройств.

1. Откройте редактор групповой политики ( Win + R – gpedit.msc)
2. Перейдите в раздел Конфигурация компьютера — Административные шаблоны — Система — Установка устройства — Ограничения на установку устройств
3. В правой части редактора откройте параметр Запретить установку устройств, не описанных другими параметрами политики и переведите его состояние на Включено
4. Перезагрузите компьютер для применения изменений

Включение этой политики также возможно через реестр:

Смотрите также статьи:

Если у вас что-то не получается или остались вопросы по настройке центра обновления Windows, вы можете обратиться в эту тему на форуме: Все вопросы по настройке Центра обновления Windows

Павел Кравченко занимается развитием компьютерного портала OSzone.net, объединяющего сайт, форум и каталог программного обеспечения. Он отвечает на вопросы участников форума OSZone с 2003 года, а на сайте публикует статьи о клиентских операционных системах Microsoft.

С 2006 года Павел ежегодно становится обладателем награды Наиболее ценный специалист Microsoft (MVP), присуждаемой за вклад в развитие технических сообществ.

Секреты Windows 7

Современные операционные системы являются очень сложными программными продуктами, и хакерам иногда удается найти в них уязвимости, позволяющие получить контроль над компьютером. Когда об этом становится известно программистам из Microsoft, сразу же выпускается обновление системы, ликвидирующее уязвимость.

Своевременное обновление Windows 7 позволит защититься от взлома с использованием любой из известных уязвимостей. Кроме того, вы можете загружать обновления, улучшающие работу системы и отдельных приложений. В процессе установки Windows 7 вам будет предложено включить автоматическое обновление (см. гл. 2). В этом случае будет периодически проверяться наличие важных обновлений системы на сайте Microsoft и выполняться их автоматическая установка. Если для установки обновлений нужна перезагрузка, об этом будет сообщено в области уведомлений, а пользователь должен решить, выполнить перезагрузку сейчас или отложить ее выполнение на потом.

Для управления и настройки автоматического обновления используется Центр обновления Windows (рис. 10.19), который можно открыть с помощью команды Пуск → Панель управления → Система и безопасность → Центр обновления Windows или строки поиска в меню Пуск.

Рис. 10.19. Центр обновления Windows 7

С помощью ссылки Поиск обновлений в левой части окна можно запустить немедленную проверку обновлений. После завершения проверки появятся ссылки с сообщениями о количестве найденных обновлений различных типов: важных, рекомендуемых и необязательных. Щелкнув на любой из этих ссылок, вы откроете окно, в котором нужно отметить флажками те из них, которые хотите установить, и нажать кнопку OK. Для начала установки обновлений нажмите кнопку Установить обновления.

Все обновления условно разделены на три категории.

• Важное. К этой категории относятся обновления, устраняющие критические ошибки и закрывающие «дыры», с помощью которых хакеры могут получить доступ к вашему компьютеру.

• Рекомендуемое. Эти обновления имеют меньшую степень важности и предназначены для улучшения работы отдельных компонентов Windows 7.

• Необязательное. Здесь вы найдете новые версии драйверов для устройств вашего компьютера и другие обновления.

Для настройки работы автоматического обновления щелкните на ссылке Настройка параметров. В появившемся окне (рис. 10.20) вы можете выбрать из раскрывающегося списка способ установки важных обновлений.

Рис. 10.20. Окно настройки автоматического обновления

• Устанавливать обновления автоматически (рекомендуется). В этом случае обновления будут загружаться и устанавливаться автоматически, а время установки вы сможете настроить по вашему выбору.

• Загружать обновления, но решение об установке принимается мной. Данный вариант подойдет пользователям, которые желают лично контролировать процесс установки обновлений. После загрузки обновлений в области уведомлений появится сообщение о том, что обновления готовы к установке.

• Искать обновления, но решение о загрузке принимается мной. Используйте этот вариант, если вы хотите получать обновления, но подключены к Сети по медленному или перегруженному каналу. В этом случае система всегда будет спрашивать разрешение перед началом загрузки обновлений.

• Не проверять наличие обновлений (не рекомендуется). Хотя система будет настоятельно рекомендовать не отключать автоматическое обновление, вы все же вправе сделать это, например, если компьютер не будет подключен к Интернету.

По умолчанию автоматически устанавливаются только важные обновления, но вы можете разрешить автоматическую установку рекомендуемых обновлений, установив соответствующий флажок в группе Рекомендуемые обновления. В группе Кто может устанавливать обновления вы можете разрешить установку всем пользователям компьютера.

Вы также можете включить автоматическое обновление для других продуктов Microsoft, например Microsoft Office, установив флажок в группе Microsoft Update. А установка флажка в группе Уведомления о программном обеспечении позволит вам получать информацию о выходе новых программных продуктов компании Microsoft.