我们过去写过两篇关于这个主题的文章,每篇都有不同的要求。如果您想在开始之前浏览这些文章。请点击以下链接:如何检查RHEL和CentOS上的可用安全更新?在RHEL和CentOS上安装安全更新的四种方法?这些文章与其他文章相互关联,因此在深入研究之前阅读它们是个好主意。在本文中,我们将向您展示如何检查已安装的安全更新。我将介绍两种方法,您可以选择最适合您的。此外,我还添加了一个小的shell脚本,它可以为您提供已安装的安全包计数。运行以下命令以获取系统上安装的安全更新列表。#yumupdateinfolistsecurityinstalledLoadedplugins:changelog,package_upload,product-id,search-disabled-repos,:subscription-manager,verify,versionlockRHSA-2015:2315中等/秒。ModemManager-glib-1.1.0-8.git20130913。el7.x86_64RHSA-2015:2315中等/秒。NetworkManager-1:1.0.6-27.el7.x86_64RHSA-2016:2581低/秒。/Sec.NetworkManager-1:1.8.0-9.el7.x86_64RHSA-2015:2315中/Sec.NetworkManager-adsl-1:1.0.6-27.el7.x86_64RHSA-2016:2581低/Sec.NetworkManager-adsl-1:1.4.0-12.el7.x86_64RHSA-2017:2299中等/秒NetworkManager-adsl-1:1.8.0-9.el7.x86_64RHSA-2015:2315中等/秒。.6-27.el7.x86_64要计算已安装安全包的数量,请运行以下命令:#yumupdateinfolistsecurityinstalled|wc-l1046只打印已安装软件包的列表:#yumupdateinfolistsecurityall|grep-w"i"iRHSA-2015:2315中等/秒。ModemManager-glib-1.1.0-8.git20130913.el7.x86_64iRHSA-2015:2315中等/秒。NetworkManager-1:1.0.6-27.el7.x86_64iRHSA-2016:2581低/Sec.NetworkManager-1:1.4.0-12.el7.x86_64iRHSA-2017:2299中等NetworkManager-adsl-1:1.4.0-12.el7.x86_64iRHSA-2017:2299中等/秒。NetworkManager-adsl-1:1.8.0-9.el7.x86_64iRHSA-2015:2315中等/秒。-1:1.0.6-27.el7.x86_64iRHSA-2016:2581低/秒NetworkManager-bluetooth-1:1.4.0-12.el7.x86_64iRHSA-2017:2299中等/秒。:1.8.0-9.el7.x86_64iRHSA-2015:2315中等/秒。NetworkManager-config-server-1:1.0.6-27.el7.x86_64iRHSA-2016:2581低/秒。NetworkManager-config-server-1:1.4.0-12.el7.x86_64iRHSA-2017:2299中等/秒。NetworkManager-config-server-1:1.8.0-9.el7.noarch要计算已安装的安全包的数量,请运行以下命令:#yumupdateinfolistsecurityall|grep-w“我”|wc-l1043也可以查看指定包修复的漏洞列表在这个例子中,我们将检查“openssh”包中已修复的漏洞列表:#rpm-q--changelogopenssh|grep-iCVE-修复CVE-2017-15906(#1517226)-CVE-2015-8325:通过用户的PAM环境和UseLogin=yes进行权限升级(#1329191)-CVE-2016-1908:可能从不受信任回退到受信任X11转发(#1298741)-CVE-2016-3115:缺少X11转发的输入清理(#1317819)-阻止CVE-2016-0777和CVE-2016-0778-随openssh-6.9发布的安全修复程序(CVE-2015-5352)(#1247864)-仅查询每个键盘交互设备一次(CVE-2015-5600)(#1245971)-添加新选项GSSAPIEnablek5users并默认禁用~/.k5usersCVE-2014-9278-防止服务器从跳过SSHFP查找-CVE-2014-2653(#1081338)-更改MaxStartups的默认值-CVE-2010-5107(#908707)-CVE-2010-4755-将cve-2007_3102合并到审计补丁-修复了审计日志注入问题(CVE-2007-3102)-CVE-2006-5794-在监视器中正确检测失败的密钥验证(#214641)-CVE-2006-4924-在deattack检测器上防止DoS(#207957)-CVE-2006-5051-不要从信号处理程序调用清理(#208459)-在scp中使用fork+exec而不是系统-CVE-2006-0225(#168167)同样,您可以通过运行以下命令来检查指定的漏洞是否在相应的软件包中被修复:#rpm-q--changelogopenssh|grep-iCVE-2016-3115-CVE-2016-3115:缺少X11转发的输入清理(#1317819)如何使用shell脚本计算已安装的安全包?我添加了一个小的shell脚本,它可以帮助您计算已安装的安全包列表#vi/opt/scripts/security-check.sh#!/bin/bashecho"+----------------------+"echo"|安全公告计数|"echo"+-------------------+"fori在ImportantModerateLowdosec=$(yumupdateinfolistsecurityinstalled|grep$i|wc-l)echo"$i:$sec"done|column-techo"+---------------------------+"赋予security-check.sh文件执行权限。$chmod+xsecurity-check.sh最后执行脚本统计。#sh/opt/scripts/security-check.sh+------------------------+|安全公告计数|+------------------------+重要:480中等:410低:111+-----------------------+
