CentOS 7 安全漏洞修复指南

本指南将引导您完成在 CentOS 7 系统上修复特定安全漏洞（如 krb5-libs 和 polkit 相关漏洞）的全过程。请严格按照步骤操作。

前置条件

在开始之前，请确保您拥有服务器的 root 权限，或一个具有 sudo 权限的用户账户。

---

步骤一：升级前环境检查

在应用任何更新之前，必须确保服务器的网络连接和 YUM 软件源配置正确无误。

1. 检查网络连接

首先，通过 ping 命令快速测试网络连通性。

ping mirrors.tuna.tsinghua.edu.cn

• 如果 ping 成功，表明网络正常，请继续下一步。
• 如果 ping 失败（例如返回 unknown host 或超时），则说明存在网络或 DNS 问题，您将无法继续更新。

遇到网络问题？

如果 ping 命令失败，请在继续之前，参考我们的专项排查指南来解决问题：

➡️ CentOS 7 网络连接与 DNS 故障排查

2. 检查 YUM 软件源

由于 CentOS 7 已于 2024 年 6 月 30 日停止维护（EOL），官方默认源已失效。您必须确保 YUM 源已切换至归档镜像。

可以通过运行以下命令来验证您的软件源是否可用：

yum makecache

• 如果命令成功 并提示 "元数据缓存已建立"，表明软件源配置正确。
• 如果命令报错（例如 404 Not Found），则需要立即修复软件源。

需要配置 YUM 源？

如果 yum makecache 失败，请遵循我们的专项指南来切换到归档镜像：

➡️ 配置 CentOS 7 EOL 后的 YUM 软件源

---

步骤二：执行漏洞修复

确保网络和 YUM 源都正常后，可以开始更新目标软件包。

执行以下命令，以更新 krb5-libs 和 polkit 两个软件包：

yum update krb5-libs polkit -y

命令参数解析:

• yum update: 更新指定的软件包。
• krb5-libs polkit: 需要修复漏洞的目标软件包名称，多个包以空格隔开。
• -y: 自动对所有提示回答 "yes"，避免更新过程中断。

当命令执行完毕，并显示 完毕！ 或 Complete! 时，表示安全更新已成功安装。

---

步骤三：验证升级结果

最后一步是验证软件包是否已成功更新到修复了漏洞的新版本。

执行以下命令查询当前已安装的版本：

rpm -q polkit krb5-libs

预期输出示例：
您应该会看到类似下面的版本信息。具体版本号可能更高，但只要确认它们已被更新，即代表漏洞已修复。

polkit-0.112-26.el7_9.1.x86_64
krb5-libs-1.15.1-55.el7_9.x86_64

success

恭喜！您已成功修复相关安全漏洞，服务器的安全性得到了提升。