近期安全扫描发现我们的生产环境存在多个系统漏洞,需要紧急升级相关安装包。然而,生产服务器部署在内网隔离环境中,无法直接访问外部软件仓库。面对这一挑战,团队同事推荐了一个高效的解决方案:使用 yum install --downloadonly 命令进行离线包外下内部。今天,我将分享一种高效的方法:利用yum install --downloadonly功能在外网环境下载所需RPM包,然后在内网环境中进行安全部署。
🛠️downloadonly:离线包管理的利器
- 命令解析
# 基本语法
yum install --downloadonly --downloaddir=/home/offline-packages vsftpd -y
# 参数说明
--downloadonly # 仅下载,不安装
--downloaddir # 指定下载目录
-y # 自动 yes
⬇️ 离线包下载流程
- 单包下载
# 下载单个包及其依赖
yum install --downloadonly --downloaddir=/home/offline-packages/ vsftpd -y
# 如果已安装,使用reinstall参数
yum reinstall --downloadonly --downloaddir=/home/offline-packages/ vsftpd -y
- 批量下载多个包
# 创建需要升级的包列表
cat > package-list.txt << EOF
openssl
openssh-server
kernel
vsftpd
EOF
# 批量下载
while read pkg; do
yum install --downloadonly --downloaddir=/home/offline-packages/ $pkg -y
done < package-list.txt
- 下载特定版本
# 下载指定版本的包
yum install --downloadonly --downloaddir=/home/offline-packages/ vsftpd-3.0.3 -y
⏳依赖处理
- 检查下载完整性
# 查看下载的包
ls -lh /home/offline-packages/*.rpm
# 统计数量
find /home/offline-packages/ -name "*.rpm" | wc -l
# 生成包列表(用于审计)
rpm -qip /home/offline-packages/*.rpm | grep -E "Name|Version|Release" > package-info.txt
💻内网部署
- 传输包到内网
# 打包压缩
tar -czf offline-packages.tar.gz -C /home/offline-packages/ .
# 将此问文件通过介质传输到内网,在内网服务器操作
# 1. 创建本地仓库目录
mkdir -p /opt/local-repo
# 2. 解压传输的包
tar -xzf offline-packages.tar.gz -C /opt/local-repo/
- 内网服务器使用rpm直接安装
# 直接安装所有下载的rpm包
rpm -Uvh /opt/local-repo/*.rpm
# 或者按需安装
rpm -Uvh /opt/local-repo/vsftpd*.rpm /opt/local-repo/openssl*.rpm
🚀总结
通过yum install --downloadonly命令,我们可以轻松构将升级部署包在外网下载,然后传输到内网升级。这种方法不仅适用于安全升级,还可用于:
新建内网服务器的快速部署
多服务器批量更新
特定版本软件的标准化部署
紧急漏洞的快速响应
掌握这一技能,你将能够在内网环境中游刃有余地管理Linux服务器的软件包,既保证了安全性,又不失灵活性。
❗温馨提示:生产环境操作前,请务必在测试环境充分验证,并制定详细的回滚方案。安全无小事,谨慎每一步!
