Redhat Satellite Server 客户端服务器的软件(补丁)源的选择和取消

一、Redhat Satellite Server 的作用:
Redhat Satellite Server 负责建立各种软件源库版本供 Redhat client servers 选择以安装和更新软件和补丁

二、Redhat Satellite Server 的关系拓扑图:
                                                     Redhat client server1
Redhat Satellite Server                              Redhat client server2
                                                     Redhat client server3
                                                           ......
                                                     Redhat client servern

三、Redhat Satellite Server 的 Redhat client servers 的相关命令:
(一)软件源库所对应的系统版本管理
1. 查看客户端服务器现在正在使用的软件源库所对应的系统版本
# subscription-manager release --show

2. 查看客户端服务器所有可以使用的软件源库所对应的系统版本
# subscription-manager release –-list

3. 修改客户端服务器的软件源库对应的系统版本
格式:
案例:
# subscirotion release –set=7.5 
解释:让客户端使用7.5系统版本的软件源库
注意:这里如果低版本的系统选择了高版本的软件源库,则在更新软件的过程中可能会直接升级系统,造成对应系统的不兼容

(二)在选择了一个系统版本之后选择里面的软件源管理
1. 查看客户端服务器目前正在使用的软件源
# subscription-manager repos

2. 查看客户端服务器所有可以用的软件源和正在使用的软件源
# subscription-manager repos --list

3. 让客户端服务器启用一个软件源
格式:
subscription-manager repos --enable=(源名)
案例:
# subscription-manager repos --enable=rhel-7-server-satellite-tools-6.3-rpms
解释:客户端服务器启用一个名叫 rhel-7-server-satellite-tools-6.3-rpms 的软件源

4. 让客户端服务器禁用一个软件源
格式:
subscription-manager repos --disable=(源名)
案例:
# subscription-manager repos –disable=rhel-7-server-satellite-tools-6.2-rpms
解释:客户端服务器取消一个名叫 rhel-7-server-satellite-tools-6.3-rpms 的软件源

CentOS&RHEL yum 只更新安全补丁操作的方法

Linux 系统直接升级整个系统版本可能会带来诸多不可预料的问题,为了尽可能的保证系统稳定的同时保证系统安全,系统管理员可以只更新安全补丁

步骤一:更新全部安全补丁
1.1 安装 yum-security 插件
# yum install yum-security
Loaded plugins: rhnplugin, security
RHSA-2009:1148-1 security httpd-2.2.3-22.el5_3.2.x86_64
RHSA-2009:1148-1 security httpd-devel-2.2.3-22.el5_3.2.i386
RHSA-2009:1148-1 security httpd-manual-2.2.3-22.el5_3.2.x86_64
RHSA-2009:1148-1 security mod_ssl-1:2.2.3-22.el5_3.2.x86_64
list-security done

1.2 :列出安全相关的系统更新
# yum --security check-update

1.3 :批量安装所有的安全更新
# yum update --security

步骤二:列出补丁的详细信息和建议清单
2.1 安装 bugzillas
# yum list-security bugzillas

2.2:查看某一个补丁的详细信息
# yum info-security RHSA-2009:1148-1
Loaded plugins: rhnplugin, security

===============================================================================
  RHSA-2009:1148
===============================================================================
  Update ID : RHSA-2009:1148-1
    Release :
       Type : security
     Status : final
     Issued : 2009-07-08 23:00:00
       Bugs : 509125 - None
            : 509375 - None
       CVEs : CVE-2009-1890
            : CVE-2009-1891
Description : Important: httpd security update  \The Apache HTTP Server is a
            : popular Web server.  A denial of service flaw was
            : found in the Apache mod_proxy module when it was
            : used as a reverse proxy. A remote attacker could
            : use this flaw to force a proxy process to consume
            : large amounts of CPU time. (CVE-2009-1890)  A
            : denial of service flaw was found in the Apache
            : mod_deflate module. This module continued to
            : compress large files until compression was
            : complete, even if the network connection that
            : requested the content was closed before
            : compression completed. This would cause
            : mod_deflate to consume large amounts of CPU if
            : mod_deflate was enabled for a large file.
            : (CVE-2009-1891)  All httpd users should upgrade to
            : these updated packages, which contain backported
            : patches to correct these issues. After installing
            : the updated packages, the httpd daemon must be
            : restarted for the update to take effect.
      Files : mod_ssl-2.2.3-22.el5_3.2.x86_64.rpm
            : httpd-devel-2.2.3-22.el5_3.2.i386.rpm
            : httpd-2.2.3-22.el5_3.2.x86_64.rpm
            : httpd-devel-2.2.3-22.el5_3.2.x86_64.rpm
            : httpd-manual-2.2.3-22.el5_3.2.x86_64.rpm
            : mod_ssl-2.2.3-22.el5_3.2.i386.rpm
            : httpd-2.2.3-22.el5_3.2.i386.rpm
            : httpd-manual-2.2.3-22.el5_3.2.i386.rpm
info-security done


2.3 列出某一个补丁的信息和另一个补丁的建议清单
# yum --bz 3595 --cve CVE-2009-1890 --advisory RHSA-2009:1148-1 info updates

openSUSE&SUSE 系统版本升级(从 openSuse Leap 42.3 升级到 openSUSE Leap 15.0 )

所有开源项目对自己发布的系统的支持都是有时限的,如果超过这个时限,该系统将不会被支持,新发现的漏洞将不会有补丁去修补,这样会造成极大的安全隐患。
将系统升级成较新的版本可以解决这个问题,但是这样必定会对现有的应用产生一定的风险,所以在操作前一定要多权衡。

步骤目录:
步骤一:升级系统之前要做的准备工作
1.1 确保需要运行的应用能够兼容升级后的系统,重要!
1.2 提前要给系统打快照,如果发现奔溃的情况,可以进行系统回滚,极度重要!

步骤二:清除原有的软件更新源
2.1 先将系统的软件更新到最新版本
2.2 删除 OpenSUSE Leap42.3 的软件源,若有其他数据源,如nginx的,也需要一并删除,可使用zypper lr -d 来查询

步骤三:通过软件源的方式进行系统升级(如果使用步骤四:镜像升级的方式,则可以跳过本步骤)
3.1 添加新的 OpenSUSE Leap 15.0 版本对应的软件源
3.2 确认软件源更新成功
3.3 刷新软件源
3.4 先更新zypper,此步建议不要操作,可能会引起冲突
3.5 更新系统
3.6 更新完毕后,重启系统

步骤四:通过软件源的方式进行系统升级(如果使用步骤三:软件源的方式,则可以跳过本步骤)
4.1 让 cdrom 挂载 OpenSUSE Leap 15.0 的系统镜像
4.2 开机设置启动 cdrom
4.3 重启系统
4.4 按照提示一步步地升级系统

步骤五:检查系统是否完成
5.1 重启后,查看系统信息
5.2 检查 yast 是否正常,是否能够顺利更新补丁

具体的操作步骤:
步骤一:升级系统之前要做的准备工作
1.1 确保需要运行的应用能够兼容升级后的系统,重要!
1.2 提前要给系统打快照,如果发现奔溃的情况,可以进行系统回滚,极度重要!

步骤二:清除原有的软件更新源
2.1 先将系统的软件更新到最新版本
# zypper update 

2.2 删除 OpenSUSE Leap42.3 的软件源,若有其他数据源,如nginx的,也需要一并删除
# zypper lr
# zypper rr 
注意:假如运行这个命令之后,没有移除到软件源的话,可进入 YaSt(输入命令 yast 即可以进入) 控制中心,在 Software , 找到 Software Repositories 双击进入,将列表中的与 42.3 有关的软件源移除完,然后点击 ok,就也能达到删除 42.3 软件源的目的

步骤三:通过软件源的方式进行系统升级(如果使用步骤四:镜像升级的方式,则可以跳过本步骤)
3.1 添加新的 OpenSUSE Leap 15.0 版本对应的软件源
案例一:中科院的公共网络软件源
# zypper ar -fcg https://mirrors.ustc.edu.cn/opensuse/distribution/leap/15.0/repo/oss
# zypper ar -fcg https://mirrors.ustc.edu.cn/opensuse/distribution/leap/15.0/repo/non-oss
# zypper ar -fcg https://mirrors.ustc.edu.cn/opensuse/update/leap/15.0/oss
# zypper ar -fcg https://mirrors.ustc.edu.cn/opensuse/update/leap/15.0/non-oss

案例二:本地镜像软件源
若用 DVD 光盘的话,则插入光盘,把光盘挂载到一个新建的目录下: 
# mkdir /media/DVD 
# mount /dev/cdrom /media/DVD 
再使用 yast 加载 dvd 或则 cd 的软件源

若用的是 ISO 文件,那么把 ISO 文件挂载到一个新建的目录下: 
# mkdir /media/iso 
# mount -r -o loop /home/openSUSE-15.0-DVD-x86_64.iso /media/iso 
(-r参数可以不用,也行,另外卸载的办法是:# umount /media/iso )
再使用 yast 加载 dvd 或则 cd 的软件源

注意:执行了此步骤之后,就一定不能再使用 yast 进行 online-update 否则可能会出先 yast 和 zypper 挂掉的情况,如果出现此情况,就只能使用镜像安装系统升级的方法进行修复(及本文步骤四),修复完成了以后,再使用 yast 的 soft manager 安装 yast-online-update 功能对应的软件
注意:如果使用软件源进行系统升级,则一定要保证系统主机与软件源之间的网络的通畅和稳定

3.2 确认软件源更新成功
# zypper lr -d

3.3 刷新软件源
# zypper ref

3.4 先更新zypper,此步建议不要操作,可能会引起冲突
# zypper patch --updatestack-only

3.5 更新系统
# zypper dup

3.6 更新完毕后,重启系统
# shutdown -r now

步骤四:通过系统镜像安装的方式进行系统升级(如果使用步骤三:软件源的方式,则可以跳过本步骤)
4.1 让 cdrom 挂载 OpenSUSE Leap 15.0 的系统镜像
4.2 开机设置启动 cdrom
4.3 重启系统
4.4 按照提示一步步地升级系统

步骤五:检查系统是否完成
5.1 重启后,查看系统信息
# cat /etc/os-release #会显示
NAME="openSUSE Leap"
VERSION="15.0" 
ID="opensuse-leap"
ID_LIKE="suse opensuse"
VERSION_ID="15.0"
PRETTY_NAME="openSUSE Leap 15.0"
ANSI_COLOR="0;32"
CPE_NAME="cpe:/o:opensuse:leap:15.0"
BUG_REPORT_URL="https://bugs.opensuse.org"
HOME_URL="https://www.opensuse.org/"
(如果出现有关 openSUSE Leap 15.0的信息,说明更新成功了)

5.2 检查 yast 是否正常,是否能够顺利更新补丁

5.3 检查系统日志查看有没有错误信息
# tail -100 /var/log/messages

CentOS&RHEL 第三方网络 yum 源的使用方法

一、为什么使用第三方的yum源
本地搭建的yum源往往会有以下缺点:
1. 软件不够全,需要使用的软件没有
2. 软件版本不够高,在功能、性能和安全方面达不到要求
使用第三方网络yum源可以解决这些问题

二、使用第三方yum源的思路
1.如果过去已经使用了其他的第三方yum源,为了避免冲突先删除其他第三方yum源
2.如果是为了升级软件,为了避免冲突在使用第三方yum源前最好先删除原来的软件
3.如果已经使用了第三方的yum源而原来的软件没有删除,可以使用rpm命令一个个地删掉
4.配置好第三方yum源以后清理一下yum源缓存:# yum clean all
5.将yum源缓存存放在本地:# yum makecache
6.此时可以安装或者升级软件了

三、获社群认可的软件库yum源列表请参照以下网址
https://wiki.centos.org/zh/AdditionalResources/Repositories

案例:第三方yum源EPEL的使用
1. EPEL简介
EPEL (Extra Packages for Enterprise Linux)是基于Fedora的一个项目,为“红帽系”的操作系统提供额外的软件包,适用于RHEL、CentOS和Scientific Linux.
 
2. EPEL的使用
首先需要安装一个叫”epel-release”的软件包,这个软件包会自动配置yum的软件仓库。当然你也可以不安装这个包,自己配置yum软件仓库也是一样的。epel-release可以从https://dl.fedoraproject.org/pub/找到对应的版本并下载

例如:
x86架构64位的RHEL5版本系列的epel-release安装
下载后安装:
# wget https://archives.fedoraproject.org/pub/archive/epel/5/x86_64/epel-release-5-4.noarch.rpm
# rpm -ivh epel-release-5-4.noarch.rpm
直接通过网络安装:
# rpm -Uvh https://archives.fedoraproject.org/pub/archive/epel/5/x86_64/epel-release-5-4.noarch.rpm
删除epel第三方yum源:
#rpm -e epel-release-5-4.noarch.rpm

x86架构64位用于RHEL6版本系列的epel-release安装
下载后安装:
# wget https://dl.fedoraproject.org/pub/epel/6/x86_64/Packages/e/epel-release-6-8.noarch.rpm
# rpm -ivh epel-release-6-8.noarch.rpm
直接通过网络安装:
# rpm -Uvh https://dl.fedoraproject.org/pub/epel/6/x86_64/Packages/e/epel-release-6-8.noarch.rpm
删除epel第三方yum源:
#rpm -e epel-release-6-8.noarch.rpm

x86架构64位用于RHEL7版本系列的epel-release安装
下载后安装:
# wget https://dl.fedoraproject.org/pub/epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
# rpm -ivh epel-release-7-11.noarch.rpm
直接通过网络安装:
# rpm -Uvh https://dl.fedoraproject.org/pub/epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
删除epel第三方yum源:
#rpm -e epel-release-7-11.noarch.rpm

CentOS6&RHEL6 系统实现自动更新(软件更新和系统补丁更新)

步骤一:安装yum-cron软件
# yum install yum-cron -y
/etc/yum/yum-cron.conf

步骤二:配置yum-cron软件
默认情况下, cron 任务被配置成了立即下载并安装所有更新,但是可以通过在 /etc/sysconfig/yum-cron 配置文件中把下面两个参数改为 yes,从而改变这种行为。
# 不要安装,只做检查(有效值: yes|no)
CHECK_ONLY=yes
# 不要安装,只做检查和下载(有效值: yes|no)
# 要求 CHECK_ONLY=yes(先要检查后才可以知道要下载什么)
DOWNLOAD_ONLY=yes

为了启用关于安装包更新的邮件通知,你需要把 MAILTO 参数设置为一个有效的邮件地址。
# 默认情况下 MAILTO 是没有设置的,crond 会将输出发送邮件给自己
# (LCTT 译注:执行 cron 的用户,这里是 root)
# 例子: MAILTO=root
MAILTO=admin@tecmint.com

步骤三:启动yum-cron服务并设置为开机自启
# service yum-cron start
# chkconfig --level 35 yum-cron on