Hola, mi nombre es Diego, soy de Costa Rica, soy usuario de Debian desde hace tiempo, y ahora por cuestiones de trabajo debo mantener algunos servidores centos. Este es mi primer mensaje a la lista.
He estado investigando como ser notificado de las actualizacion de seguridad en los servidores.
A manera de ejemplo, en Debian utilizaba la herramienta cron-apt, la cual yo podia indicarle que me notificara SOLO las actualizaciones de seguridad, no de las nuevas versiones.
Con centos encontre que modificando yum-updatesd.conf en /etc/yum puedo ser notificado de las actualizacion, pero no me queda claro si son nuevas versiones o si son actualizaciones de seguridad.
Igualmente en con yum check-updates me dice una lista de paquetes con actualización pero igualmente quisiera saber cuales son actualizaciones de seguridad.
Mi pregunta en concreto, es como en centos, puedo obtener el lista de actualizaciones de seguridad y como puedo ser notificado de esto.
Saludos, y Gracias
El 11/05/2011 22:48, Diego Chacon escribió:
Hola Diego, bienvenido! :)
Hasta donde yo sé no existe ninguna herramienta en el "core" de CentOS que permita hacer lo que quieres, el motivo es que los paquetes no están marcados con esa información (tipo de actualización, seguridad, crítica, etc.).
Te comento algunas ideas por si te pudieran ser de utilidad:
- Spacewalk (la versión libre del Satellite de Red Hat) es una herramienta que permite automatizar la gestión del software de máquinas CentOS: desde un único punto puedes actualizar, instalar, borrar, etc.. los paquetes de un grupo de servidores. Esta herramienta te puede enviar alertas por email cuando existan paquetes para actualizar, aunque no te indicará el tipo de actualización del que se trata.
- Existe un "hack" para Spacewalk [1] que extrae los errata/advisory de la lista "centos-announce" y marca el tipo de actualización: moderada, crítica, etc. esto puede ser un buen punto de partida para lo que estás buscando.
- No he podido localizarla, pero Dag Wieers también tiene una utilidad similar:
http://dag.wieers.com http://dag.wieers.com/
- Estos 2 hilos tratan el tema de marcar el tipo de actualización en los RPMs:
http://lists.centos.org/pipermail/centos-devel/2007-September/002001.html http://www.mail-archive.com/spacewalk-list@redhat.com/msg02612.html
En cualquier caso, lo mas importante a saber es que las actualizaciones de CentOS no incluyen nuevas versiones: a grandes rasgos tan solo se corrigen vulnerabilidades, fallos de seguridad, etc. lo que viene a decir que para la gran mayoría de usuarios automatizar un "yum -y update" no será problematico, puedes actualizar con independencia del "tipo de actualización".
Finalmente, si te decides a probar Spacewalk, hace tiempo redacté un how-to de instalación para la versión 0.5, quizás te puede servir de ayuda:
http://wiki.woop.es/Instalacion_Spacewalk
Es un tema interesante, si necesitas mas información me avisas ;-)
Saludos!
-- Santi Saez http://powerstack.org http://wiki.powerstack.org/PowerStack
Hola,
2011/5/12 Santi Saez santisaez@woop.es:
Puedes utilizar el plugin de yum, yum-security
El 13/05/2011 11:56, Oscar Osta Pueyo escribió:
Hola Oscar,
Puedes utilizar el plugin de yum, yum-security
El problema de este plugin para Yum es el mismo que explicaba en mi email anterior: **los paquetes que propociona CentOS no están marcados con esta información**, de modo que bajo esta distribución no va a funcionar. Este plugin funciona correctamente en RHEL, por si a alguien le interesa hace tiempo escribí una serie de trucos/tips para Yum, entre ellos información relativa a yum-security para RHEL:
http://wiki.woop.es/Yum#yum-security
Saludos,
-- Santi Saez http://powerstack.org
2011/5/17 Santi Saez santisaez@woop.es
Eso quiere decir que en Centos, nunca va a salir ningun paquete al hacer yum check-update --security, pues como dice no vienen marcados?
El 17/05/2011 19:39, Diego Chacón escribió:
Hola Diego,
Eso quiere decir que en Centos, nunca va a salir ningun paquete al hacer yum check-update --security, pues como dice no vienen marcados?
En una instalación por defecto no, lo acabo de confirmar en una CentOS 5.5 antes de actualizar a 5.6 y tras instalar el plugin dicha opción no está disponible.
Quizás alguien conozca algún hack para hacerlo funcionar.. en tal caso, será una información muy bienvenida :)
Saludos,
-- Santi Saez http://powerstack.org
El 18/05/2011 0:38, Santi Saez escribió:
Hola!
El amigo Jordi de systemadmin.es ha publicado hoy un post sobre yum-security:
http://systemadmin.es/2011/05/gestion-de-las-actualizaciones-de-seguridad-co...
En una busqueda rápida he encontrado un hack, pero el funcionamiento no es el mismo ya que depende de lo que el "maintainer" publique en el ChangeLog del .spec del paquete:
http://code.google.com/p/yum-security-check/
Definitivamente parece que no existe ningún "hack" funcional para poder utilizar este plugin bajo CentOS..
Saludos,
-- Santi Saez http://powerstack.org
El 16/05/2011 4:50, Diego Chacon escribió:
Hola Diego,
(..)
Muchas gracias, voy a investigarlo.
Si te interesa este tema, hace unos días en Barrapunto un usuario lanzaba una pregunta que ha dado inicio a un tema muy interesante sobre sistemas para automatizar la administración de máquinas Linux:
Finalmente, es importante que sepas que en RHEL (y por lo tanto también ocurre así en CentOS) *tras actualizar un paquete no se reinicia su servicio asociado automáticamente*, es decir, si actualizas el paquete "httpd" para solucionar X vulnerabilidad *posteriormente tendrás que ejecutar un "service httpd restart" para que se ejecute la nueva versión de Apache*, esto dificulta algo mas lo que pretendías hacer de cara a automatizar la tarea, tienes algo mas de información en:
https://bugzilla.redhat.com/show_bug.cgi?id=248116
Para solventar este problema y añadir muchas otras mejoras a CentOS, desde hace unos meses he liberado el repositorio PowerStack:
http://woop.es/2011/02/presentacion-powerstack/
Saludos,
-- Santi Saez http://powerstack.org