Kako bezbedno ažurirati RHEL sigurnosne zakrpe – vodič korak po korak

Red Hat Enterprise Linux (RHEL) administratori često izbegavaju potpuno ažuriranje sistema, pa se fokusiraju samo na sigurnosne zakrpe.

Takav pristup može biti opravdan — naročito na starijim produkcionim serverima gde je stabilnost važnija od novih funkcionalnosti.

U ovom vodiču pokazaću kako bezbedno ažurirati RHEL sigurnosne zakrpe, proveriti njihovu važnost i sačuvati sistem od mogućih rizika tokom update procesa.

Ipak, bez obzira na oprez, redovno praćenje i instaliranje sigurnosnih zakrpa ostaje ključni deo održavanja svakog RHEL sistema. Ažuriranja ne samo da uklanjaju ranjivosti već često donose i poboljšanja stabilnosti i performansi.

Pre nego što započnete proces ažuriranja, preporučljivo je proveriti trenutni status sistema i pripremiti okruženje kako biste izbegli nepredviđene prekide u radu.

U nastavku su prikazani koraci koje je poželjno sprovesti pre svake instalacije sigurnosnih paketa.

Pripreme pred ažuriranje

Ukoliko imate aktivnu pretplatu za RHEL ažuriranja, najsigurniji način da proverite da li je vaš server ažuran jeste da pokrenete komandu:

sudo yum --security check-update

Na RHEL-u će vam ova komanda prikazati samo one pakete koji imaju oznaku security (RHSA).

Ukoliko želite da izdvojite samo one pakete koji imaju oznaku „Important“, to možete uraditi komandom:

sudo yum updateinfo list security --sec-severity=Important

Ova komanda će vam izlistati pakete koje je neophodno ažurirati.

Pre nego što krenete sa ažuriranjem, poželjno je napraviti rezervnu kopiju sistema. Više o jednom od načina kreiranja rezervnih kopija možete videti u članku Kako napraviti backup RHEL servera pomoću Relax and Recover (ReaR).

Proces ažuriranja

Proverite šta vaš sistem treba da ažurira komandom:

sudo yum updateinfo list security --sec-severity=Important

Ukoliko postoji veći spisak, proverite pažljivo čemu služi koji servis i zašto ga je važno ažurirati. Pre nego što krenete u ažuriranje, dobra praksa je da napravite dokument, kako biste kasnije znali šta je ažurirano — kao neku vrstu dnevnika bezbednosnih ažuriranja. To možete uraditi jednostavnom komandom:

sudo yum updateinfo list security --sec-severity=Important > /root/security-updates-$(date +%Y-%m-%d).txt

Ovom komandom će sistem kreirati dokument u direktorijumu /root pod nazivom security-updates-2025-11-02.txt (gde je 2025-11-02 datum kada ste pokrenuli komandu).

Ukoliko želite da upišete i datum, vreme i napravite neku vrstu izveštaja, to možete uraditi sledećom komandom:

{
echo "===== RHEL DOSTUPNA AZURIRANJA ====="
echo "Datum: $(date '+%Y-%m-%d %H:%M:%S')"
echo "Tip paketa za azuriranje: Important"
echo
yum updateinfo list security --sec-severity=Important
} > /root/security-updates-$(date +%Y-%m-%d).txt

Sistem će napraviti dokument sa istim nazivom, ali će u zaglavlje upisati ono što smo definisali komandom echo.

U našem konkretnom primeru, kada smo pokrenuli komandu za proveru dostupnih sigurnosnih ažuriranja, sistem nam je prikazao sledeća dostupna ažuriranja:

[root@localhost ~]# sudo yum updateinfo list security --sec-severity=Important
Updating Subscription Management repositories.
Last metadata expiration check: 2:06:33 ago on Sun 02 Nov 2025 10:23:17 AM CET.
RHSA-2025:18286 Moderate/Sec. libssh-0.9.6-15.el8_10.x86_64
RHSA-2025:18286 Moderate/Sec. libssh-config-0.9.6-15.el8_10.noarch

Libssh je biblioteka koja implementira SSH protokol — nije isto što i OpenSSH. Biblioteku libssh koriste aplikacije koje komuniciraju preko SSH protokola iz sopstvenog koda, kao na primer:

• Git — preko SSH
• SFTP klijenti i skripte koje nisu bazirane na OpenSSH
• Web aplikacije i servisi koji podržavaju SSH/SFTP upload ili izvršavanje kroz API

Dakle, libssh omogućava drugim programima da koriste SSH protokol bez direktnog pozivanja komande ssh.

[root@localhost ~]# sudo yum update --security libssh* -y | tee /root/update-libssh-$(date +%F).log

Opis svake komande na liniji iznad:

• sudo — pokretanje komande sa administratorskim privilegijama
• yum update — ako postoji novija verzija paketa, zameni je
• --security — ažuriraj samo pakete koji imaju označenu security advisory, ne i obična („bugfix“ ili „feature“) ažuriranja
• libssh* — ažurira sve pakete koji počinju sa „libssh“
• -y — automatski odgovara sa „yes“ (da) na sva pitanja tokom instalacije
• | tee /root/update-libssh-$(date +%F).log — prikazuje komande u terminalu i upisuje ih u fajl sa današnjim datumom

Ako je sve urađeno kako treba, izlaz bi trebalo da izgleda ovako:

Updating Subscription Management repositories.
Last metadata expiration check: 2:16:26 ago on Sun 02 Nov 2025 10:23:17 AM CET.
Dependencies resolved.
...
Complete!

Nakon ažuriranja

Nakon ažuriranja, dobra praksa je da proverite koja je verzija paketa libssh instalirana, komandom:

rpm -qi libssh

Izlaz ove komande u našem slučaju izgleda ovako:

Name        : libssh
Version     : 0.9.6
Release     : 15.el8_10
Architecture: x86_64
...
Vendor      : Red Hat, Inc.
Summary     : A library implementing the SSH protocol
Description :
The ssh library was designed to be used by programmers needing a working SSH
implementation by the mean of a library...

Nakon ažuriranja, preporučuje se da obrišete privremene fajlove komandom:

[root@localhost ~]# sudo yum clean all

Izlaz:

Updating Subscription Management repositories.
26 files removed
[root@localhost ~]#

Brzi pregled komandi (Checklist)

💡 Savet: Vodite evidenciju ažuriranja i redovno čuvajte logove u zaseban direktorijum (/root/security-logs/) radi praćenja stabilnosti i audita.