Linux服务器安全运维：系统软件安全管理

ID：Computer-network

根据安全机构权威统计，80%以上的遭受都是由于上的系统软件或者应用程序的所导致，通过这些软件的，可以很轻易地攻入，由此可见，软件的已经成为安全的重中之重。作为一名人员，虽然无法保证所有应用程序的安全，但是对于系统软件的安全，要有定期检查并试图修复的意识。修复最常见的办法就是升级软件，将软件始终保持在最新状态，可以在一定程度上保证系统安全。

在下软件的升级可以分为自动升级和手动升级两种方式。自动升级一般是在有授权的发行版或者免费发行版下进行的，只要输入升级命令，系统会自动完成升级工作，无需人工干预。

手动升级是指有针对性地进行某个系统软件的升级，例如升级系统的登录工具、gcc编译工具等。手动升级其实就是通过RPM包实现软件更新的，通过这种方式在升级软件时可能会遇到软件之间的依赖关系，升级相对比较麻烦。

1、软件自动升级工具yum

yum是yellow dog updater modified的缩写，yellow dog（黄狗）也是的一个发行版本，只不过Redhat公司将这种升级技术利用到自己的发行版上就形成了现在的yum。yum是进行自动升级常用的一个工具，通过yum工具配合即可实现自动升级系统。例如，一个经过授权的Redhat ，或者一个CentOS 系统，只要该系统能连接，输入yum update即可实现系统自动升级。通过yum进行系统升级实质是使用yum命令下载指定上的RPM软件包，然后自动进行安装，同时解决各个软件之间的依赖关系。

2、yum的安装与配置

（1）yum的安装

检查是否已经安装yum：

[root@localhost ~]# rpm -qa | grep yum

如果没有任何显示，表示系统中还没有安装yum工具。yum安装包在CentOS系统光盘中可以找到，执行如下命令进行安装：

[root@localhost ~]# rpm -ivh yum-*.noarch.rpm

安装yum需要python-elementtree、python-sqlite、urlgrabber、yumconf等软件包的支持，这些软件包在CentOS 系统安装光盘中均可找到。如果在安装yum过程中出现软件包之间的依赖性，只需按照依赖提示寻找相应软件包安装即可，直到yum包安装成功。

（2）yum的配置

安装完yum工具安装后，接下来的工作是配置yum。yum的配置文件有主配置文件/etc/yum.conf和资源库配置目录/etc/yum.repos.d。安装yum后，默认的一些资源库配置可能无法使用，因此需要进行修改。下面介绍/etc/yum.repos.d/CentOS-Base.repo资源库配置文件的内容以及各项的详细含义。

[root@localhost ~]#more /etc/yum.repos.d/CentOS-Base.repo

[base]

name=CentOS-$releasever - Base

mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os

gpgcheck=1

[update]

#下面这段是 updates 更新模块要用到的部分配置

name=CentOS-$releasever - Updates

mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates

gpgcheck=1

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

#下面这段指定的是有用的额外软件包部分（extras）配置

[extras]

name=CentOS-$releasever - Extras

mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras

gpgcheck=1

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

#下面这段指定的是扩展的额外软件包部分（centosplus）配置

[centosplus]

name=CentOS-$releasever - Plus

mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus

gpgcheck=1

enabled=0

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

#下面这段是 contrib 配置部分

[contrib]

name=CentOS-$releasever - Contrib

mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=contrib

gpgcheck=1

enabled=0

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

在上面这个配置中，几个常用关键字的含义介绍如下：

name表示发行版的名称，其格式表示“名和释出版本”，“Base”表明此段寻找的是Base包信息。

mirrorlist表示yum在上查找升级文件的URL地址。其中“$basearch”代表系统的硬件架构，如“i386”、“x86-64”等，同时，yum在资源更新时，会检查baseurl/repodata/repomd.xml文件。“repomd.xml”是一个索引文件，它的作用是提供更新RPM包文件的下载信息和SHA校验值。“repomd.xml”包括了三个文件，分别为other.xml.gz、filelists.xml.gz和primary.xml.gz，表示的含义依次是其他更新包列表、更新文件集中列表和主要更新包列表。

gpgcheck表示是否启用gpg检查，1表示启用，0表示不启用校验。如果启用，就需要在配置文件中注明GPG-RPM-KEY的位置。

gpgkey用来指定GPG密钥的地址。

3、yum的特点与基本用法

（1）yum的特点

yum的特点如下：

● 安装方便，自动解决增加或删除RPM包时遇到的依赖性问题。

● 可以同时配置多个资源库（Repository）。

● 配置文件简单明了（/etc/yum.conf、/etc/yum.repos.d/CentOS-Base.repo）。

● 保持与RPM的一致性。

注意：yum会自动下载所有所需的升级资源包并默认放置在/var/cache/yum目录下，当第一次使用yum或yum资源库更新时，软件升级所需的时间可能较长。

（2）yum的基本用法

1）通过yum安装和删除RPM包

安装RPM包，如dhcp：

[root@localhost ~]# yum install dhcp

删除RPM包，包括与该包有依赖性的包：

[root@localhost ~]# yum remove licq

注意：同时会提示删除licq-gnome、licq-qt、licq-text。

2）通过yum工具更新软件包

检查可更新的RPM包：

[root@localhost ~]# yum check-update

更新所有的RPM包：

[root@localhost ~]# yumupdate

更新指定的RPM包，如更新kernel和kernel source：

[root@localhost ~]# yumupdate kernelkernel-source

大规模的版本升级，与yum update不同的是，陈旧的包也会升级：

[root@localhost ~]# yum upgrade

3）通过yum查询RPM包信息

列出资源库中所有可以安装或更新的RPM包的信息：

[root@localhost ~]# yum info

列出资源库中特定的可以安装或更新以及已经安装的RPM包的信息：

[root@localhost ~]# yuminfo vsftpd

[root@localhost ~]# yuminfo perl*

注意：可以在RPM包名中使用匹配符，如上面的例子列出所有以perl开头的RPM包的信息。

列出资源库中所有可以更新的RPM包的信息：

[root@localhost ~]# yuminfo updates

列出已经安装的所有的RPM包的信息：

[root@localhost ~]# yuminfo installed

列出已经安装但是不包含在资源库中的RPM包的信息：

[root@localhost ~]# yuminfo extras

注意：也就是通过其他网站下载安装的RPM包的信息。

列出资源库中所有可以更新的RPM包：

[root@localhost ~]# yum list updates

列出已经安装的所有RPM包：

[root@localhost ~]# yumlist installed

列出已经安装的但不包含在资源库中的RPM包：

[root@localhost ~]# yumlist extras

注意：也就是通过其他网站下载安装的RPM包。

列出资源库中所有可以安装或更新的RPM包：

[root@localhost ~]# yumlist

列出资源库中特定的可以安装或更新以及已经安装的RPM包：

[root@localhost ~]# yumlist sendmail

[root@localhost ~]# yumlist gcc*

注意：可以在RPM包名中使用匹配符，如上面的例子列出了所有以gcc开头的RPM包。

搜索匹配特定字符的RPM包的详细信息：

[root@localhost ~]# yum searchwget

注意：可以通过“search”在RPM包名、包描述中搜索。

搜索包含特定文件名的RPM包：

[root@localhost ~]# yumprovidesrealplay

4）通过yum操作暂存信息（/var/cache/yum）

清除暂存的RPM包文件：

[root@localhost ~]# yumcleanpackages

清除暂存的RPM头文件：

[root@localhost ~]# yumcleanheaders

清除暂存中旧的RPM头文件：

[root@localhost ~]# yumcleanoldheaders

清除暂存中旧的RPM头文件和包文件：

[root@localhost ~]# yumclean

或

[root@localhost ~]# yumclean all

注意：上面的两个命令相当于yum clean packages + yum clean oldheaders。

4、几个不错的yum源

由于CentOS系统自带的官方yum源中去除了很多有版权争议的软件，所以可使用的软件种类并不丰富，而且软件版本普遍较低，对于软件bug修复更新也很慢，有时候需要使用最新稳定版本的软件时，可能需要手动进行软件更新，操作比较麻烦。下面介绍几个不错的yum源，以供软件升级和修复使用。

（1）EPEL

EPEL全称是企业版附加软件包，是由特别兴趣小组创建、维护并管理服务器网站安全，针对红帽企业版（RHEL）及其衍生发行版（例如CentOS、Scientific ）的一个高质量附加软件包项目。其官方网址为：。EPEL的软件包不会与企业版方源中的软件包发生冲突，或者互相替换文件，因此可以放心使用。

EPEL包含一个名为“epel-release”的包，这个包包含了EPEL源的gpg密钥和软件源信息。可以通过yum命令将这个软件包安装到企业级发行版上，这样就可以使用最全面、最稳定的软件包了。

（2）RPMForge

RPMForge是一个第三方的软件源仓库，也是CentOS官方社区推荐的第三方yum源，它为CentOS系统提供了超过10000个软件包，被CentOS社区认定为最安全也最稳定的一个软件仓库。但是由于这个安装源不是CentOS本身的组成部分，因此要使用RPMForge，需要手动下载并安装，RPMForge的官方网站是。

（编辑：武陵站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!