Instalar solo actualizaciones de seguridad en RHEL y CentOS con YUM

El gestor de paquetes y actualizaciones yum, disponible tanto en Red Hat Enterprise Linux como sus derivados (CentOS, Fedora, etc), permite establecer ciertas directivas en las que en lugar de instalar todos los paquetes con actualizaciones disponibles en el sistema, únicamente lo haga para aquellas que estén estrictamente relacionadas con la seguridad (erratas, parches).

Requisitos previos (yum-security)

Los requisitos necesarios para llevar a cabo este tipo de actualizaciones son mínimos, bueno, realmente es uno solo y no en todas las versiones. Tener instalado el plugin de yum yum-security. Tanto en RHEL 8 como 7 no es necesario hacer ninguna instalación, ya que el plugin viene integrado en el sistema por defecto.

En el caso de RHEL 6, lo instalaremos del siguiente modo:

# yum install yum-plugin-security

Mientras que en RHEL 5 ¿aún queda alguien utilizando esta versión?

# yum install yum-security

Instalación de parches de seguridad

Una vez que hemos cumplido los requisitos mencionados anteriormente, el funcionamiento es sencillo:

Sacar un listado de parches/actualizaciones de seguridad disponibles

El siguiente comando sacará un listado de las actualizaciones de errata disponibles para su instalación:

# yum updateinfo list available

Los siguientes comandos permiten sacar un listado de las actualizaciones/parches de seguridad disponibles (sólo lista, no instala nada):

# yum updateinfo list security all
# yum updateinfo list sec

Si queremos ver las actualizaciones de seguridad que hay actualmente instaladas en el sistema, el comando es el siguiente:

# yum updateinfo list security installed

Para ver la descripción completa y detallada de cada actualización (igual en todas las versiones):

# yum info-sec

Nota, en RHEL 5 el comando es distinto:

Actualizaciones de errata disponibles para su instalación:

# yum list-sec

Y para sacar un listado de las actualizaciones/parches de seguridad disponibles en Red Hat Enterprise Linux 5 (sólo lista, no instala nada):

# yum list-security --security

Instalar parches de seguridad

Finalmente, para descargar e instalar todas las actualizaciones de seguridad:

# yum update --security

Nota: no me gusta utilizar el parámetro -y ya que así podemos echar un vistazo a lo que se va a actualizar antes de aceptar.

El comando anterior instala actualizaciones de cualquier paquete que tenga al menos una errata pendiente de instalar, pero si hay una versión superior del paquete (aunque esa ya no sea por errata) la actualizará igual. Para instalar únicamente la versión específica que contiene errata:

# yum update-minimal --security

Como nota final, también podéis instalar paquetes de actualización en base a el código referencia CVE del fallo de seguridad

# yum updateinfo list cves
# yum update --cve