使用 Amazon Linux 2 我会使用 yum-cron 自动应用安全更新以及类似命令:
# turn on automatic security updates
set -ex
sudo yum update -y
sudo yum install yum-cron -y
sudo sed -i 's/update_cmd = default/update_cmd = security/' /etc/yum/yum-cron.conf
sudo sed -i "s/apply_updates = no/apply_updates = yes/" /etc/yum/yum-cron.conf
sudo service yum-cron start
sudo systemctl enable yum-cron
yum-cron 故意不用于 al2023,听起来像是自动安全更新也不存在任何问题? 应如何修复零日漏洞?我们没有足够的资源每月监控和重建来自全新 AMI 的每个系统。
答案1
我的配方(/etc/cron.daily/dnf-updates):
#!/bin/bash
readonly V=$(/usr/bin/dnf check-release-update --latest-only --version-only 2>&1)
[ -n "$V" ] && /usr/bin/dnf upgrade --security --assumeyes --releasever=$V
捷径:
/usr/bin/dnf upgrade --security --assumeyes --releasever=latest