Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

管理及监控安全更新

Red Hat Enterprise Linux 8

更新 RHEL 8 系统安全性,以防止攻击者利用已知的漏洞

Red Hat Customer Content Services

摘要

了解如何安装安全更新,并显示更新的额外详情,以保护您的 Red Hat Enterprise Linux 系统免受新发现的威胁和漏洞的攻击。

对红帽文档提供反馈
复制链接

我们感谢您对我们文档的反馈。帮助我们如何进行改进。

通过 Jira 提交反馈(需要帐户)

  1. 登录到 Jira 网站。
  2. 单击顶部导航栏中的 Create
  3. Summary 字段中输入描述性标题。
  4. Description 字段中输入您的建议以改进。包括文档相关部分的链接。
  5. 点对话框底部的 Create

第 1 章 识别安全更新
复制链接

为了确保企业系统不受当前和未来的安全威胁,系统需要定期进行安全更新。红帽产品安全团队为您提供了安心部署和维护企业解决方案所需的指导。

1.1. 什么是安全公告?
复制链接

红帽安全公告(Red Hat Security Advisories,简称 RHSA)记录了有关红帽产品和服务中安全漏洞的信息。

每个 RHSA 包括以下信息:

  • 重要性
  • 类型和状态
  • 受影响的产品
  • 修复问题的摘要
  • 问题相关的报告链接。请注意,不是所有的报告都是公开的。
  • 公共漏洞和暴露(Common Vulnerabilities and Exposures,简称 CVE)编号以及更多详情(如攻击复杂性)的链接。

红帽客户门户(Red Hat Customer Portal)提供了红帽发布的红帽安全公告列表。您可以通过访问红帽安全公告列表中的公告 ID 来显示特定公告的详情。

图 1.1. 安全公告列表

客户门户网站:安全公告列表

此外,您还可以根据特定产品、变体、版本和架构过滤结果。例如,只显示 Red Hat Enterprise Linux 8 公告,您可以设置以下过滤器:

  • 产品: Red Hat Enterprise Linux
  • 变体: 所有变体
  • 版本: 8
  • (可选)选择一个次版本,如 8.2。

1.2. 显示主机上未安装的安全更新
复制链接

您可以使用 yum 实用程序列出系统的所有可用安全更新。

先决条件

  • 红帽订阅附加到主机。

流程

  • 列出主机上尚未安装的所有可用安全更新: 

    # yum updateinfo list updates security
…
RHSA-2019:0997 Important/Sec. platform-python-3.6.8-2.el8_0.x86_64
RHSA-2019:0997 Important/Sec. python3-libs-3.6.8-2.el8_0.x86_64
RHSA-2019:0990 Moderate/Sec.  systemd-239-13.el8_0.3.x86_64
…
    Copy to Clipboard Toggle word wrap

1.3. 显示在主机上安装的安全更新
复制链接

您可以使用 yum 工具来列出系统的已安装的安全更新。

流程

  • 列出主机上安装的所有安全更新: 

    # yum updateinfo list security --installed
…
RHSA-2019:1234 Important/Sec. libssh2-1.8.0-7.module+el8+2833+c7d6d092
RHSA-2019:4567 Important/Sec. python3-libs-3.6.7.1.el8.x86_64
RHSA-2019:8901 Important/Sec. python3-libs-3.6.8-1.el8.x86_64
…
    Copy to Clipboard Toggle word wrap

    如果安装了多个软件包更新,yum 会列出该软件包的所有公告。在上例中,自系统安装以来,已安装了 python3-libs 软件包的两个安全更新。

1.4. 使用 {PackageManager} 显示特定的公告
复制链接

您可以使用 yum 工具来显示可用于更新的特定公告信息。

先决条件

  • 红帽订阅附加到主机。
  • 您知道安全公告的 ID。
  • 公告提供的更新没有安装。

流程

  • 显示特定的公告,例如: 

    # yum updateinfo info RHSA-2019:0997
====================================================================
  Important: python3 security update
====================================================================
  Update ID: RHSA-2019:0997
       Type: security
    Updated: 2019-05-07 05:41:52
       Bugs: 1688543 - CVE-2019-9636 python: Information Disclosure due to urlsplit improper NFKC normalization
       CVEs: CVE-2019-9636
Description: …
    Copy to Clipboard Toggle word wrap

第 2 章 安装安全更新
复制链接

在 RHEL 中,您可以安装特定的安全公告和所有可用的安全更新。您还可以将系统配置为自动下载和安装安全更新。

2.1. 安装所有可用的安全更新
复制链接

为了使系统的安全性保持最新,您可以使用 yum 工具安装所有当前可用的安全更新。

先决条件

  • 红帽订阅附加到主机。

流程

  1. 使用 yum 工具安装安全更新: 

    # yum update --security
    Copy to Clipboard Toggle word wrap

    如果没有- security 参数,yum update 会安装所有更新,包括 bug 修复和增强。

  2. y 确认并启动安装: 

    …
Transaction Summary
===========================================
Upgrade  … Packages

Total download size: … M
Is this ok [y/d/N]: y
    Copy to Clipboard Toggle word wrap

  3. 可选:在安装更新的软件包后列出需要手动重启系统的进程: 

    # yum needs-restarting
1107 : /usr/sbin/rsyslogd -n
1199 : -bash
    Copy to Clipboard Toggle word wrap

    上一命令只列出需要重启的进程,而不是服务。也就是说,您无法使用 systemctl 工具重启列出的进程。例如,当拥有此进程的用户退出时,输出中的 bash 进程会被终止。

2.2. 安装特定公告提供的安全更新
复制链接

在某些情况下,您可能只希望安装特定的更新。例如,某个特定的服务可以在不需要停机的情况下进行更新,您可以只为该服务安装安全更新,并在以后安装剩余的安全更新。

先决条件

  • 红帽订阅附加到主机。

  • 您知道您要更新的安全公告的 ID。

    如需更多信息,请参阅 识别安全公告更新 部分。

流程

  1. 安装特定的公告,例如: 

    # yum update --advisory=RHSA-2019:0997
    Copy to Clipboard Toggle word wrap

  2. 另外,使用 yum upgrade-minimal 命令通过最小版本更改应用特定公告,例如: 

    # yum upgrade-minimal --advisory=RHSA-2019:0997
    Copy to Clipboard Toggle word wrap

  3. y 确认并启动安装: 

    …
Transaction Summary
===========================================
Upgrade  … Packages

Total download size: … M
Is this ok [y/d/N]: y
    Copy to Clipboard Toggle word wrap

  4. 可选:在安装更新的软件包后列出需要手动重启系统的进程: 

    # yum needs-restarting
1107 : /usr/sbin/rsyslogd -n
1199 : -bash
    Copy to Clipboard Toggle word wrap

    上一命令只列出需要重启的进程,而不是服务。这意味着,您无法使用 systemctl 工具重启列出的所有进程。例如,当拥有此进程的用户退出时,输出中的 bash 进程会被终止。

2.3. 自动安装安全更新
复制链接

您可以配置您的系统,使其自动下载并安装所有安全更新。

先决条件

  • 红帽订阅附加到主机。
  • dnf-automatic 软件包已安装。

流程

  1. /etc/dnf/automatic.conf 文件中,在 [commands] 部分中,确保将 upgrade_type 选项设置为 defaultsecurity

    [commands]
#  What kind of upgrade to perform:
# default                            = all available upgrades
# security                           = only the security upgrades
upgrade_type = security
    Copy to Clipboard Toggle word wrap

  2. 启用并启动 systemd 计时器单元: 

    # systemctl enable --now dnf-automatic-install.timer
    Copy to Clipboard Toggle word wrap

验证

  1. 验证计时器是否已启用: 

    # systemctl status dnf-automatic-install.timer
    Copy to Clipboard Toggle word wrap

法律通告
复制链接

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部