同步Kylin官方repo软件源以及Updateinfo源20240605V1
- 同步Kylin官方repo软件源以及Updateinfo源,并搭建http yum源
1.1安装httpd和rsync,并启动httpd服务和设置开机自启动httpd
yum install httpd rsync -y
systemctl start httpd
systemctl enable httpd
1.2 关闭防火墙和禁止开机启动防火墙
systemctl stop firewalld.service
systemctl disable firewalld.service
1.3同步官方yum源(base和updates)源到/var/www/html/
范例以V10 SP3 X86为例
测试虚拟机为V10 SP3,首先创建一个官方的yum repo文件
/etc/yum.repos.d/kylin_x86_64.repo
内容如下:
1.4下载Kylin的Updateinfo到目录
Updateinfo信息是将软件包修复CVE漏洞的情况进行统计,存放在外网源UpdateInfo目录下的Updateinfo.xml文件中,具体详情可查看updateinfo.xml文件。目前,系统提供根据安全公告(SA)或CVE进行漏洞信息查询的功能,用户可执行相关yum命令实现对系统中未修复CVE的检测和软件包更新,暂不支持根据产品勘误(BA)、BUG或EA进行相关信息的查询和软件包更新。
wget -r -np -nH --cut-dirs=1 -R "index.html*" https://update.cs2c.com.cn/NS/UpdateInfo/ -P /var/www/html/
- 内网rsync同步yum源文件和Updateinfo源,并搭建http yum源
内网主机同步骤1.1-1.2操作
内网主机和外网主机同步/var/www/html/目录
在内网主机上运行如下命令
rsync -av root@外网主机IP:/var/www/html/ /var/www/html/
并等待文件同步完成 - 客户端使用
3.1 编写yum repo配置文件
在/etc/yum.repos.d 新增kylin_local.repo文件
yum clean all 和yum makecache 创建新的预下载所有启用的仓库的元数据,并将其存储到本地缓存中。
3.2对客户端主机进行更新安全补丁
根据CVE进行查询和更新
(1)检索可更新的CVE列表:
yum updateinfo list cves
(2)按照CVE编号检索软件包:
yum updateinfo list --cve=CVEid
(3)根据CVE编号安装更新:
yum update --cve CVEid
(4)根据CVE编号更新包(仅下载,不安装):
yum update --cve CVEid --downloadonly --downloaddir=./
对客户端主机进行必要的安全更新命令:
yum update –security
四 定期同步Kylin官网yum源并rsync同步到内网主机
添加定时任务来运行,比如每个月的1号0点同步yum源文件
然后每个月的2号0点rsync同步到内网主机
4.1按照客户要求同步V10 SP2 X86和V10 SP3的X86和ARM源,创建了自定义脚本 reposync.sh,具体可以查看附件。
创建定时任务:
crontab -e
0 0 1 * * /root/reposync.sh
4.2创建一个每个月的1号0点自动下载Kylin官方Updateinfo的命令
0 0 1 * * wget -r -np -nH --cut-dirs=1 -R "index.html*" https://update.cs2c.com.cn/NS/UpdateInfo/ -P /var/www/html/ >/dev/null 2>&1
4.3内网主机定期和外网主机同步指定目录的定时任务
每个月的2号0点rsync同步外网主机的/var/www/html/到内网主机/var/www/html/
首先创建内网主机和外网主机的ssh互信关系。
然后创建定时任务:
0 0 2 * * rsync -avz root@外网主机:/var/www/html/ /var/www/html/ >/dev/null 2>&1
前两个定时任务在外网主机运行,定期和Kylin官方的同步,后面rsync的在内网的yum源的主机上运行