CentOS如何实现禁止自动更新，其工作原理是什么？

CentOS系统如何优雅地禁止自动更新？手把手教你操作！

嘿，各位运维小伙伴们，今天咱们来聊聊一个挺实用的话题——CentOS系统怎么禁止自动更新，别看这事儿小，处理不好可是能惹出大麻烦的，想象一下，你正忙着处理线上业务，突然系统自动更新重启了，服务中断，客户投诉，那画面太美我不敢看，学会怎么优雅地禁止CentOS自动更新,绝对是运维必备技能之一。

咱们得明白，CentOS为啥要自动更新，这是为了系统安全考虑，及时修补漏洞，防止被黑客攻击，但问题来了，不是所有更新都适合在生产环境直接应用的，特别是那些可能影响业务连续性的大版本更新，咱们得学会灵活应对，既保证安全,又不影响业务。

怎么禁止CentOS自动更新呢？别急,我这就给你支几招。

第一招，修改yum配置文件，CentOS默认使用yum作为包管理器，它有个配置文件，里面藏着自动更新的开关，咱们找到这个文件，一般是在/etc/yum.conf，用文本编辑器打开它，找到[main]部分，然后添加或修改一行：update_cmd=default（其实这行默认就是default，表示不自动更新，但为了确保，你可以检查一下），更直接的方法是，找到installonly_limit下面的[main]段里有没有exclude或者installonlypkgs等可能影响自动更新的配置，不过最关键的是确保没有autopatch或类似自动更新相关的配置被启用，更常见的做法是直接设置update_cmd为不执行更新的模式，或者更简单粗暴地，在[main]段添加exclude= （虽然这不太推荐，因为它会阻止所有包的更新，包括安全更新，仅作为极端情况下的临时措施），但最稳妥的还是确保update_cmd保持默认或设置为不自动更新的选项,并定期手动检查更新。

上面说的exclude= 只是举个例子，实际操作中咱们可不能这么干，那太粗暴了，更推荐的做法是，利用yum的插件功能，比如yum-cron，这个插件可以控制yum的自动更新行为，咱们可以通过编辑/etc/yum/yum-cron.conf文件，把apply_updates设置为no，这样yum-cron就不会自动应用更新了。

第二招，禁用yum-cron服务，如果你已经安装了yum-cron，并且发现它还在偷偷摸摸地自动更新，那就直接把它禁用了吧，用命令systemctl disable yum-cron，然后再systemctl stop yum-cron，确保它不会在系统启动时自动运行,也不会在当前会话中继续运行。

第三招，使用cron计划任务来手动控制更新，如果你还是想保留一定的更新灵活性，但又不想让系统自动更新，可以设置cron任务，定期（比如每周或每月）手动检查并应用更新，这样，你既能控制更新的时间,又能确保系统不会因为长时间不更新而暴露在安全风险中。

举个例子，你可以创建一个cron任务,每周日凌晨3点执行一次更新检查：

0 3     0 /usr/bin/yum check-update --security > /dev/null 2>&1

这条命令会检查安全更新，但不会自动安装，如果你想要安装更新,可以稍微修改一下命令，

0 3     0 /usr/bin/yum update --security -y > /dev/null 2>&1

这样，每周日凌晨3点，系统就会自动安装所有可用的安全更新,而不会影响到你的业务。

别忘了定期手动检查更新，即使你设置了cron任务，或者禁用了自动更新，定期手动检查系统更新仍然是个好习惯，这样，你可以及时了解系统的安全状况,决定何时以及如何应用更新。

禁止CentOS自动更新并不是一件难事，关键是要找到适合自己业务需求的方法，希望今天的分享能帮到你，让你的CentOS系统更加稳定、安全！