服务器系统更新太麻烦?Rocky Linux和AlmaLinux能自己搞掂吗?
每次看到终端跳出来的更新提示就头大?总在担心漏装安全补丁会被黑客钻空子?今天咱们就聊个偷懒又安全的好办法——让Rocky Linux和AlmaLinux自己完成系统更新。你绝对想不到,只需要改几个配置文件,连定时任务都不用自己写!
先说个真实案例。去年某公司运维小哥请假三天,结果刚好碰上openssl漏洞爆发。就因为没人手动敲更新命令,服务器直接被黑,最后赔了客户三十多万。现在想起来,要是当时开着自动更新功能,哪至于这么惨?
先说原理:这两个系统都用DNF包管理器,内置了自动更新工具包。主要靠两个东西配合工作——一个是dnf-automatic软件包,另一个是系统自带的定时任务服务。相当于给服务器找了个全年无休的”更新管家”,到点就自动检查安装补丁。
咱们分步骤来操作。先处理Rocky Linux:
打开终端,输入sudo dnf install dnf-automatic -y,装好核心工具 关键配置文件在/etc/dnf/automatic.conf,用nano或vim打开 找到这几行配置(大概在文件中间): [commands] upgrade_type = default download_updates = yes apply_updates = yes 确保apply_updates后面是yes,这才是允许自动安装的关键 顺手改个适合你的时区,把random_sleep = 360改成random_sleep = 0,省得系统半夜偷偷更新接着处理AlmaLinux。其实步骤几乎一模一样,但有个隐藏坑要注意——某些旧版本默认没开安全源。保险起见,建议先跑一遍sudo dnf update –refresh,确保源列表是最新的。
定时任务设置才是精髓。两个系统都用systemd的定时器,直接执行: sudo systemctl enable –now dnf-automatic.timer 这条命令会创建每天凌晨3点的自动检查任务。想改时间的话,在/etc/systemd/system/dnf-automatic.timer里找OnCalendar那行,改成类似”Mon –* 02:00:00″就是每周一凌晨2点更新。
有朋友可能要问:自动更新会把正在运行的服务搞崩吗?这里有个细节——DNF默认使用离线更新模式,也就是先下载好所有更新包,等下次重启时才会应用内核级更新。除非你特意改成apply_updates = immediate,否则日常的软件包更新都是即时生效但不会中断服务。
实测发现个小技巧:在/etc/dnf/automatic.conf里加上exclude=nginx*这样的排除项,可以防止特定服务被意外更新。比如数据库服务器就可以排除mysql相关包,等人工确认兼容性后再手动更新。
最后检查是否生效,看两个地方就行:journalctl -u dnf-automatic看日志,还有/var/log/dnf.log里有没有最近的更新记录。如果看到”Packages downloaded: 15″这样的字样,说明已经成功开挂!
小编亲测这套配置在AWS和本地机房都稳如老狗。不过要提醒新手:生产环境最好先在测试机演练,更新前记得给关键服务做快照。毕竟机器自动干活虽好,咱也得留个后手不是?
相关文章:
相关推荐: