是否可以限制 yum 只列出或安装安全更新?
Environment
- Red Hat Enterprise Linux 9.x
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 7.x
- Red Hat Enterprise Linux 6.x
- Red Hat Enterprise Linux 5.1 及更新的版本
- Red Hat Network Hosted
- Red Hat Satellite
Issue
- 是否可以限制 yum 只列出或安装安全更新?
- 如何使用 yum 更新系统,且只应用安全勘误?
- 如何只使用安全勘误来修补系统?
Resolution
- 安装 yum-security 插件
现在,可以使用 Red Hat Enterprise Linux 5、6 和 7 限制 yum ,来只安装安全更新(而不是 bug 修复或增强)。为此,只需安装 yum-security 插件:
对于 Red Hat Enterprise Linux 7、8 和 9
插件已经是 yum 本身的一部分,无需安装任何东西。
对于 Red Hat Enterprise Linux 6
# yum install yum-plugin-security
对于 Red Hat Enterprise Linux 5
# yum install yum-security
或者,从 Red Hat Network (RHN)下载 yum-security 软件包,并手动在系统上安装它。
对于 Red Hat Enterprise Linux 6、7、8 和 9
-
使用 yum-security 插件
-
要列出所有可用勘误而不安装它们,请运行:
# yum updateinfo list --available
- 要列出所有可用安全更新而不安装它们,请运行:
# yum updateinfo list --security
or
# yum updateinfo list sec
- 要列出当前安装的安全更新列表,请运行:
# yum updateinfo list --security installed
or
# yum updateinfo list sec installed
- 要获得 可用的和已安装的 安全更新的列表,可以使用这个命令:
# yum updateinfo list --security all
or
# yum updateinfo list sec all
对于 Red Hat Enterprise Linux 5
-
使用 yum-security 插件
-
要列出所有可用勘误而不安装它们,请运行:
# yum list-sec
- 要列出所有可用安全更新而不安装它们,请运行:
# yum list-security --security
对于 Red Hat Enterprise Linux 5、6、7、8 和 9
- 要列出所有可用的安全更新,并输出与这些问题相关的详细描述:
# yum updateinfo info security
- 运行以下命令,从 Red Hat Network hosted 或 Red Hat Network Satellite 下载并应用所有可用的安全更新:
# yum update --security
备注:它将安装包含至少一个安全勘误的软件包的最新版本,因此如果在非安全勘误中提供了相关软件包的更新的版本,则相关的非安全勘误会被安装。如果安装依赖项会导致安装了较新的次版本,使用 --security 仍然可能会更新相关系统的次版本。
- 仅安装具有安全勘误的软件包
# yum update-minimal --security
yum-security还允许根据问题的 CVE 参考来安装安全更新。要根据 CVE 来安装安全更新,请运行 :
# yum update --cve <CVE>
例如
# yum update --cve CVE-2008-0947
按严重性查看可用的公告:
# yum updateinfo list
This system is receiving updates from RHN Classic or RHN Satellite.
RHSA-2014:0159 Important/Sec. kernel-headers-2.6.32-431.5.1.el6.x86_64
RHSA-2014:0164 Moderate/Sec. mysql-5.1.73-3.el6_5.x86_64
RHSA-2014:0164 Moderate/Sec. mysql-devel-5.1.73-3.el6_5.x86_64
RHSA-2014:0164 Moderate/Sec. mysql-libs-5.1.73-3.el6_5.x86_64
RHSA-2014:0164 Moderate/Sec. mysql-server-5.1.73-3.el6_5.x86_64
RHBA-2014:0158 bugfix nss-sysinit-3.15.3-6.el6_5.x86_64
RHBA-2014:0158 bugfix nss-tools-3.15.3-6.el6_5.x86_64
如果您只想应用一个特定的公告:
# yum update --advisory=RHSA-2014:0159
但是,如果您要在应用前了解这个公告的更多信息:
# yum updateinfo RHSA-2014:0159
同样,您可以使用以下命令查看影响系统的 CVE:
# yum updateinfo list cves
Loaded plugins: auto-update-debuginfo, product-id, search-disabled-repos, subscription-manager
CVE-2017-1000380 Moderate/Sec. kernel-3.10.0-693.11.1.el7.x86_64
CVE-2017-1000380 Moderate/Sec. kernel-devel-3.10.0-693.11.1.el7.x86_64
CVE-2017-1000380 Moderate/Sec. kernel-headers-3.10.0-693.11.1.el7.x86_64
CVE-2017-1000380 Moderate/Sec. kernel-tools-3.10.0-693.11.1.el7.x86_64
CVE-2017-1000380 Moderate/Sec. kernel-tools-libs-3.10.0-693.11.1.el7.x86_64
CVE-2017-1000380 Moderate/Sec. perf-3.10.0-693.11.1.el7.x86_64
CVE-2017-1000380 Moderate/Sec. python-perf-3.10.0-693.11.1.el7.x86_64
CVE-2016-10002 Moderate/Sec. squid-7:3.5.20-2.el7_3.2.x86_64
updateinfo list done
如需了解更多命令,请参阅 yum-security 的手册页
# man yum-security
如果您在系统中应用安全补丁时遇到缺少依赖项的问题,请参阅 yum update --security 失败并显示依赖项错误。
Root Cause
Diagnostic Steps
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments