Manter os sistemas operacionais atualizados, especialmente quando se trata de servidores, é uma das práticas mais importantes dentro da administração de sistemas. As atualizações de segurança corrigem falhas que podem ser exploradas por atacantes e, em um ambiente corporativo, ignorar essas correções pode ter consequências graves, como vazamento de dados, interrupção de serviços e comprometimento da infraestrutura.
Neste artigo, vamos mostrar como habilitar atualizações automáticas de segurança em servidores que utilizam o Oracle Linux, Red Hat Enterprise Linux (RHEL) ou CentOS, até a versão 7.9, que ainda utilizam o tradicional gerenciador de pacotes YUM. Essa configuração é especialmente útil para ambientes onde a equipe de TI busca manter os servidores protegidos com o mínimo de intervenção manual.
Por Que Automatizar Atualizações de Segurança?
Ao automatizar a aplicação de atualizações de segurança, você reduz significativamente o tempo entre a liberação do patch pela comunidade ou fornecedor e a aplicação no seu ambiente. Isso diminui a janela de exposição a vulnerabilidades conhecidas e eleva o nível de segurança do sistema, especialmente em servidores que estão expostos à internet ou que armazenam dados sensíveis.
Além disso, automatizar esse processo ajuda a manter a conformidade com normas e boas práticas como o CIS Benchmarks, NIST SP 800-40 e ISO/IEC 27001, que recomendam a aplicação regular e tempestiva de correções de segurança.
Instalando o yum-cron
O utilitário responsável por gerenciar atualizações automáticas em sistemas baseados em YUM é o yum-cron. Esse pacote permite configurar o sistema para verificar, baixar e aplicar atualizações automaticamente em horários definidos.
Para instalar o yum-cron, abra um terminal com privilégios de root e execute o comando abaixo:
yum -y install yum-cronEsse comando instalará o serviço necessário para automatizar as atualizações. Após a instalação, será necessário configurar os parâmetros para que o sistema aplique apenas as atualizações de segurança, e de forma automática.
Configurando o yum-cron
Após instalar o pacote, o próximo passo é editar o arquivo de configuração principal do serviço. Esse arquivo está localizado em:
/etc/yum/yum-cron.confPara editar, você pode usar qualquer editor de texto como vi, nano ou vim. O comando abaixo usa o vi:
vi /etc/yum/yum-cron.confDentro do arquivo, localize e ajuste as seguintes diretivas:
update_cmd = security
update_messages = yes
download_updates = yes
apply_updates = yes
Vamos entender o que cada uma dessas linhas faz:
- update_cmd = security: Informa ao yum-cron que apenas atualizações de segurança devem ser verificadas e aplicadas.
- update_messages = yes: Habilita a exibição de mensagens sobre as atualizações realizadas.
- download_updates = yes: Faz com que o sistema baixe automaticamente os pacotes de atualização.
- apply_updates = yes: Aplica as atualizações automaticamente, sem a necessidade de confirmação manual.
Essas configurações garantem que o sistema será atualizado automaticamente com foco em segurança, o que é ideal para manter a estabilidade dos servidores sem introduzir mudanças desnecessárias.
Habilitando e Iniciando o Serviço
Com o arquivo de configuração ajustado, agora é hora de ativar o serviço para que ele seja iniciado automaticamente a cada boot do servidor, além de garantir que ele entre em execução imediatamente:
systemctl enable yum-cron
systemctl start yum-cronEsses comandos garantem que o yum-cron será carregado junto com o sistema e iniciará suas rotinas automaticamente.
Verificando o Status do Serviço
Para confirmar que o serviço está rodando corretamente, utilize:
systemctl status yum-cronA saída do comando deve mostrar que o serviço está ativo (active (running)), o que indica que as atualizações automáticas estão funcionando como esperado.
Atualizações Manuais de Segurança (Opcional)
Mesmo com as atualizações automáticas ativadas, pode haver momentos em que você queira forçar a aplicação de atualizações de segurança de forma manual, por exemplo, após a correção de uma vulnerabilidade crítica. Para isso, basta executar:
yum upgrade –security
Esse comando realiza uma verificação nos repositórios configurados e aplica imediatamente as atualizações de segurança disponíveis.
Conclusão
A ativação do yum-cron é uma medida simples, mas extremamente eficaz, para manter servidores Linux atualizados contra ameaças conhecidas. Em tempos em que as vulnerabilidades são descobertas e exploradas com rapidez, deixar esse processo automatizado ajuda a reduzir riscos e a aumentar a resiliência da infraestrutura de TI.
Mesmo que o CentOS 7 tenha seu fim do suporte programado para 2024, muitas empresas ainda mantêm esse sistema em operação. Para esses ambientes, aplicar as melhores práticas de segurança é essencial enquanto o sistema estiver em uso.
Referências
- Red Hat Customer Portal: yum-cron documentation
- Oracle Linux Documentation: Oracle Linux 7 Security Guide
- CIS Benchmarks: CIS Red Hat Enterprise Linux 7 Benchmark v3.1.1
- NIST SP 800-40 Revision 3 – Guide to Enterprise Patch Management: NIST Publications
Se você administra servidores Linux baseados no YUM e quer manter seu ambiente sempre seguro, a ativação do yum-cron é altamente recomendada. E se você estiver migrando para versões mais recentes, considere também conhecer o dnf-automatic, equivalente para o Oracle Linux, RHEL ou CentoOS versão 8+.
Caso tenha alguma dúvida a respeito deste tópico sinta-se à vontade para entrar em contato
Pingback: Como Configurar Atualizações Automáticas de Segurança em Servidores Linux Ubuntu - RCBRASIL