SharedIT | 묻고 답하기(AMP)

리눅스 레드헷 보안 패치 A 부터 Z까지 알려주시면 감사하겠습니다.

빨간모자
2021.05.27 () | 0 추천 | 5개의 답변

리눅스 redhat 7. 서버들 및 centos 6, 7 서버들 보안 패치 작업을 하려고 하는데 관련에서 처음부터 끝까지 어떻게 진행해야 하는지 설명을 해주실 수 있으신 분이 계시다면 감사하겠습니다.

먼저 상황을 말씀드리면 외부망과 방화벽은 차단 되어 있어 서버 내에서 yum 을 통한 업데이트를 진행할 수 없는 상황입니다. 

그리고 서버에 보안 전체를 패치하게 되면 다른 서비스를 이용할 수 없을 수 있어서 보안 패치 중 critical or important에 대해서만 적용하려고 하는 상황입니다.

레드헷 공식 사이트 계정은 있습니다.(서브스크립션은 구독 중 아니지만 몇대는 서브스크립션 있음)


  • 1.보안 패치만 redhat 공식 사이트에서 다운로드 해서 리눅스 서버로 옮긴 뒤 작업을 하고 싶은데 어디에서 보안 패치들을 다운 받을 수 있는지 알고 싶습니다. (구체적인 방법 예를 들면, 공식사이트에 들어가서 어디에서 어떻게 보안 패치들을 받는 지, 다운 받는 곳 url 등) 

  • 2.rpm으로 작업하게 되면 의존성 패치들도 다운받아야 하는데 그것도 레드헷 공식홈페이지에서 찾아서 다운로드가 가능한지도 알고 싶습니다.

  • 3.centos는 어떻게 패치 작업을 하는지 알고 있기론 redhat 계열이기 때문에 centos 역시 redhat 공식 사이트에서 패치들을 다운받으면 작업이 진행이 가능한지도 알고 싶습니다.

패치 작업과 관련된 유용한 정보들을 찾기가 어려워 많은 정보들을 가지고 계신 분들의 의견을 여쭙고자 합니다.


Tags : 태그가 없습니다.

5개의 답변이 있습니다.

wansoo
  0 추천 | 3년 이하 전

찾아 보니...

업데이트 미디어 생성하는 방법도 있네요.

https://wiki.centos.org/TipsAndTricks/CreatingUpdateMedia


업데이트 미디어를 생성해서, 업데이트 미디어를 이용해서 오프라인 상태에서 업그레이드를 시켜도 될 것 같아 보이네요.

wansoo
  0 추천 | 3년 이하 전

Redhat kernel patch는 active subscription이 있어야 가능할 것 같고...

centos는 다운받아서 하면 될걸로 보이는데...

patch file들을 하나 하나 다운 받아서 USB 메모리나 외장 디스크 등에 저장 복사해서 하면되지 않을까 싶어 보이고요.

patch download는 archiving 사이트에서 다운 받으면 되지 않을까 싶어 보이고...

https://archive.kernel.org/centos-vault/


인터넷만 된다면 yum update -y && yum upgrade -y  명령으로 간단히 해결할 수 있을 것 같은데...

인터넷이 안된다면... 상당히 번거로운 작업들을 해야 할 걸로 보여 지네요.


패치할 동안에만 임시로 인터넷이 가능하게 해 두고서 작업하는게 좋지 않을까 싶어 보이네요.

패치하고 재 부팅도 해야 할 것 같고 하다 보면, 업무 중단도 필요할 것 같고... 그럴거 같으면 업무가 없는 휴일이나 야간 시간을 이용해서 사용자 접속을 차단 시켜 두고서 임시로 인터넷 접속되게 해서 작업하는게 좋지 않을까 싶어 보이네요.


빨간모자 | 3년 이하 전

정말 감사합니다. 

제가 지금 처해 있는 상황을 잘 알고 계신 것 같습니다..

저도 임시로 방화벽을 열어서 yum 을 통해서 작업을 하려고 했는데 그렇게 했을 때 시스템이나 돌리고 있는 서비스들에 영향이 갈 수 있어서 그렇게 하기가 어려운 상황입니다

그래서 security patch 중에서 critical 이나 important 만 다운 받아서 usb에 옮긴 뒤에 하려고 하고 있고 작업은 야간에 업무 방해가 없는 시간에 하려고 합니다.

이게 의존성이 걸린 패치들이면 그거 또 찾아서 작업해주고 해야 하는데 그것 역시 쉽지는 않아보이네요

그래도 답변이 도움이 많이 되었습니다. 

감사합니다.


빨간신발
  0 추천 | 3년 이하 전

yum update -y

해당 사이트 중 몇개 아웃바운드만 잠깐 개방하고 진행하세요.

http://ftp.daumkakao.com

http://ftp.kaist.ac.kr

http://mirror.navercorp.com


빨간모자 | 3년 이하 전

그러고 싶은데 보안 정책상 외부 포트를 열어두고 작업하는 것이 불가능한 상태라 레드헷 공식사이트에서 다운로드해서 작업하려고 하는 거였습니다. 답변 감사합니다

Genghis Khan
  0 추천 | 3년 이하 전

과거에는 rpmfind.net에서 다운받아 설치했었는데 말이죠

Redhat 계정이 있다면  서버 패치 버전이 0000.38

이면 그 상위 패치를 다운받아 설치하면 됩니다

rpm은 의존성 체크를 안해요 ./config 형태로 설치하게

되면 그렇지 rpm 설치 후 재부팅하면 됩니다

centos와 거의 흡사하나 redhat 패치로 다운받아

설치하세요 약간 다릅니다


빨간모자 | 3년 이하 전

버전에 맞는 패치를 찾는 것부터 알아봐야겠군요 감사합니다.

차바라기
  0 추천 | 3년 이하 전

아래 사이트 참고 해보세요

https://skynarciss.tistory.com/159


빨간모자 | 3년 이하 전

네 참고내용 감사합니다

원본 페이지 보기