パソコン鳥のブログ

アクセスカウンタ

zoom RSS CentOS6 でセキュリティに関するパッケージの更新のみ行う

<<   作成日時 : 2014/02/09 21:23   >>

トラックバック 7 / コメント 0

CentOS6で セキュリティに関するパッケージの更新のみ行う yum-security を動作させる為の設定について説明します。

セキュリティに関するパッケージの更新のみ行う yum-security というプラグインがあります。
サーバ運用では、パッケージ更新による影響を最小限に抑えたいこともあり、セキュリティ更新のみ行えることは魅力的です。

ところが、このプラグイン、CentOS6 ではうまく動作せず、セキュリティ更新がなされません。
これは、CentOS6.4リリース以降、セキュリティアップデート用のリポジトリが公開されていない為です。

しかし最近、下記のサイトでセキュリティアップデート用のリポジトリを作成するスクリプトが公開されました。
VM Farms: Inject a little security in to your CentOS repositories

そこで、このスクリプトの使い方と、必要な設定を説明します。


インストール・設定


以下を実行します。
2016.10.12
sed -i -e〜の行の内容を修正しました


yum install python
yum install createrepo
yum install yum-plugin-security
mkdir /security
wget -P/security https://raw.github.com/hany55/generate_updateinfo/master/generate_updateinfo.py
sed -i -e "s/BUILD_PREFIX = \"\/tmp\"/BUILD_PREFIX = \"\/security\"/g" /security/generate_updateinfo.py
sed -i -e "s/BUILD_PREFIX = options\.destination/BUILD_PREFIX = \"\/security\"/g" /security/generate_updateinfo.py

createrepo /security



/etc/yum.repos.d/CentOS-Base.repo の末尾に次を追加します。

[security]
name=CentOS-$releasever - Security
baseurl=file:///security


これでインストール・設定は完了です。


セキュリティアップデートの仕方



まず、下記を実行します。

wget -q -N -P/security http://cefs.steve-meier.de/errata.latest.xml
python /security/generate_updateinfo.py /security/errata.latest.xml
/usr/bin/modifyrepo /security/updateinfo-6/updateinfo.xml /security/repodata

一日に一度実行すれば充分なので、必要に応じて cron で実行するように設定して下さい。


後は、通常通り、yum-securityプラグインが使用できます。

セキュリティ更新があるかのチェックは yum --security check-update を実行します。
更新がある場合は、以下のようにパッケージが表示されます。

# yum --security check-update
Loaded plugins: fastestmirror, refresh-packagekit, security
Loading mirror speeds from cached hostfile
 * base: www.ftp.ne.jp
 * extras: www.ftp.ne.jp
 * updates: www.ftp.ne.jp
Limiting package lists to security relevant ones
41 package(s) needed for security, out of 302 available

dbus-glib.x86_64               0.86-6.el6                       base
firefox.x86_64                 24.3.0-2.el6.centos              updates
freetype.x86_64                2.3.11-14.el6_3.1                base
glx-utils.x86_64               9.2-0.5.el6_5.2                  updates
gnutls.x86_64                  2.8.5-10.el6_4.2                 base
     :


チェックだけではなく、セキュリティ更新も適用する場合は yum --security update を実行します。

yum --security update


これで、CentOS6 でセキュリティアップデートのみ適用することが出来るようになります。


参考


VM Farms: Inject a little security in to your CentOS repositories
u6k Apps開発ログ: CentOSのローカルyumリポジトリの作り方
はじめての自宅サーバ構築 - Fedora/CentOS - yum plugin「yum-security」の導入

テーマ

関連テーマ 一覧


月別リンク

トラックバック(7件)

タイトル (本文) ブログ名/日時
OpenSSL の脆弱性 Heartbleed Bug への対応は済みました?
先週、Heartbleed Bug にて、OpenSSL の脆弱性が公表されました。 パソコン鳥も先週すぐさま、対処を行いましたが、皆さんはもう済みましたでしょうか? ...続きを見る
パソコン鳥のブログ
2014/04/15 22:11
CentOS の yum で特定のパッケージを更新対象から除外する
CentOS の yum で特定のパッケージを更新対象から除外する方法です。 ...続きを見る
パソコン鳥のブログ
2014/08/12 20:19
Ubuntu で自動アップデートする設定
Ubuntuでアップデートを自動化する設定です。 ...続きを見る
パソコン鳥のブログ
2014/09/03 20:37
CentOSでyum-cronの設定をする
yum-cronのデフォルトだとkernelのアップデートやsecurity updateでないup ...続きを見る
Confluence: Satoshi ...
2015/01/21 11:11
CentOS5/6 の dovecot のPOODLE 攻撃の対処
SSLv3 に関する脆弱性(POODLE 攻撃)に対する対応で、下記記事時点では CentOS5/6 の dovecot では SSLv3 を無効にすることは出来ませんでした。 その後、今年頭になって対応版の dovecot がリリースされていましたので、設定を説明します。 ...続きを見る
パソコン鳥のブログ
2015/01/27 22:44
CentOS7 でセキュリティに関するパッケージの更新のみ行う
CentOS7 でセキュリティに関するパッケージの更新のみ行う方法は、下記のCentOS6での方法と同じ手順で出来ます。 ...続きを見る
パソコン鳥のブログ
2015/09/30 19:50
Windows7/8.1のセキュリティのみの更新プログラム
2016年10 月以降、Windows7/8.1ではセキュリティのみの更新プログラムが提供されるようになりました。 ...続きを見る
パソコン鳥のブログ
2016/11/01 22:25

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
CentOS6 でセキュリティに関するパッケージの更新のみ行う パソコン鳥のブログ/BIGLOBEウェブリブログ
文字サイズ:       閉じる