启用 Rocky Linux 的应急安全仓库和安全SIG仓库

众所周知,Rocky Linux 是基于 Redhat Enterprise Linux 的下游发行版,一般情况下,在 Redhat Enterprise Linux 发布一些系统或软件的更新之后,Rocky Linux 都会跟进更新,但因为之前 Rocky Linux 的运行和更新机制,在发现某些高风险漏洞之后,Rocky Linux 通常要等待 Redhat 方面进行修复,过一段时间之后,Rocky Linux才能够把相关的软件包同步到自己的仓库里面,这样就可能会导致某些漏洞在公开之后,Rocky Linux 因为未能及时获得安全更新补丁包,导致相关的设备暴露在风险之中。另外,在有些时候 Redhat Enterprise Linux 和 Rocky Linux 均发现一些安全漏洞,而 Redhat 因为一些原因,不对外提供这些补丁包,或者压根就不想修复,在这种情况下,相关安全漏洞已经公开了,但 Rocky Linux 方面无法正常地获得这些补丁包,这样可能也会导致使用 Rocky Linux 的使用者暴露在风险之中。

为了解决这种风险,在最新版的 Rocky Linux 8.x/9.x/10.x 中,内置了一个新的应急安全仓库。这是 Rocky Linux 在 2026 年 5 月 14 日新推出的,目的是为了应对像 “Dirty Frag” 这类高危漏洞。核心用途是在官方上游(主要是 Redhat Enterprise Linux )补丁发布前,提供紧急的、临时性的安全修复,作为官方发布流程之外的一个“应急桥梁”。不过这个仓库默认是关闭的,如果想开启的话,由两个办法:

一、临时使用:

执行以下命令:

sudo dnf --enablerepo=security update

这个命令执行之后,会检查更新,如果发现有临时补丁可以使用,则执行更新操作。

启用 Rocky Linux 的应急安全仓库和安全SIG仓库-软件

二、永久启用:

修改 /etc/yum.repos.d/rocky-security.repo 文件,把“[security]”段落下面的 “enable=0”修改为 “enable=1”

启用 Rocky Linux 的应急安全仓库和安全SIG仓库-软件1

需要说明的是,因为这个仓库中的包是临时的。一旦上游(如 Red Hat)发布官方修复,DNF 会自动用官方包替换掉临时包,确保系统最终回到标准轨道。仓库里面的这些更新不会出现在常规的安全更新列表中(dnf update –security 命令不会列出这些更新),Rocky Linux 方面也不提供正式的勘误表,因为它不是一个永久支持的修复方案,所以,Rocky Linux 官方并不推荐永久启用应急安全仓库,一般只建议在出现高危漏洞、且 Redhat 方面未及时推出相应的补丁更新的时候,才执行临时使用命令进行更新。

(请点击页码查看本文后续的内容)

本文来自「IT人的工作生活 —— 分享IT技术实战经验,欢迎访问首页获取更多内容。如需转载本站的文章,请先通过电子邮件的方式联系站长,站长确认后方可转载,并需要注明出处。

为您推荐