El gestor de paquetes y actualizaciones yum, disponible tanto en Red Hat Enterprise Linux como sus derivados (CentOS, Fedora, etc), permite establecer ciertas directivas en las que en lugar de instalar todos los paquetes con actualizaciones disponibles en el sistema, únicamente lo haga para aquellas que estén estrictamente relacionadas con la seguridad (erratas, parches).
Requisitos previos (yum-security)
Los requisitos necesarios para llevar a cabo este tipo de actualizaciones son mínimos, bueno, realmente es uno solo y no en todas las versiones. Tener instalado el plugin de yum yum-security. Tanto en RHEL 8 como 7 no es necesario hacer ninguna instalación, ya que el plugin viene integrado en el sistema por defecto.
En el caso de RHEL 6, lo instalaremos del siguiente modo:
# yum install yum-plugin-security
Mientras que en RHEL 5 ¿aún queda alguien utilizando esta versión?
# yum install yum-security
Instalación de parches de seguridad
Una vez que hemos cumplido los requisitos mencionados anteriormente, el funcionamiento es sencillo:
Sacar un listado de parches/actualizaciones de seguridad disponibles
El siguiente comando sacará un listado de las actualizaciones de errata disponibles para su instalación:
# yum updateinfo list available
Los siguientes comandos permiten sacar un listado de las actualizaciones/parches de seguridad disponibles (sólo lista, no instala nada):
# yum updateinfo list security all # yum updateinfo list sec
Si queremos ver las actualizaciones de seguridad que hay actualmente instaladas en el sistema, el comando es el siguiente:
# yum updateinfo list security installed
Para ver la descripción completa y detallada de cada actualización (igual en todas las versiones):
# yum info-sec
Nota, en RHEL 5 el comando es distinto:
Actualizaciones de errata disponibles para su instalación:
# yum list-sec
Y para sacar un listado de las actualizaciones/parches de seguridad disponibles en Red Hat Enterprise Linux 5 (sólo lista, no instala nada):
# yum list-security --security
Instalar parches de seguridad
Finalmente, para descargar e instalar todas las actualizaciones de seguridad:
# yum update --security
Nota: no me gusta utilizar el parámetro -y ya que así podemos echar un vistazo a lo que se va a actualizar antes de aceptar.
El comando anterior instala actualizaciones de cualquier paquete que tenga al menos una errata pendiente de instalar, pero si hay una versión superior del paquete (aunque esa ya no sea por errata) la actualizará igual. Para instalar únicamente la versión específica que contiene errata:
# yum update-minimal --security
Como nota final, también podéis instalar paquetes de actualización en base a el código referencia CVE del fallo de seguridad
# yum updateinfo list cves # yum update --cve