黑客在入侵前往往会先对整个网络进行扫描，尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有：

1) 关闭 ICMP 协议，让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求

黑客列举阶段和黑客立足阶段

黑客在发现了我们的系统之后。会根据我们系统和软件的版本，列举不同的破解方法并进行取舍，并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有：

1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时，取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数，以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录

黑客保持持久性阶段

黑客在成功进入系统以后，会尝试为自己下次进入系统准备方法，以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志

黑客掩盖痕迹阶段

黑客让入侵保持持久性后，会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志，注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志，注意日志的时间是否连贯

# yum --disablerepo='*' --enablerepo='C7.6*' update openssh

（补充：这里以将 openssh 软件升级到 CentOS Linux 7.6 系统版本里的最新版本为例为例）

或者：

# yum --disablerepo='*' --enablerepo='C7.6*' upgrade openssh

（补充：这里以将 openssh 软件升级到 CentOS Linux 7.6 系统版本里的最新版本为例为例）

内容二：将软件降级到某个版本

# yum --disablerepo='*' --enablerepo='C7.6*' downgrade openssh

（补充：这里以将 openssh 软件降级到 CentOS Linux 7.6 系统版本里的最新版本为例为例）

1.1 安装 centos-release

# yum install centos-release

1.2 查看当前所有软件源

# yum repolist all

或者：

# cat /etc/yum.repos.d/CentOS-Vault.repo

步骤二：清除 yum 缓存

2.1 除 yum 缓存

# yum clean all

2.2 删除 yum 缓存目录

# rm -rf /var/cache/yum

步骤三：将系统或软件升级到指定版本

3.1 方案一：将整个系统升级到指定版本

# yum --disablerepo='*' --enablerepo='C7.6*' update

（补充：这里以将整个系统升级到 CentOS Linux 7.6 版本为例）

（注意：系统中其他所有软件都会升级到 CentOS Linux 7.6 系统版本中的最新版本）

或者：

# yum --disablerepo='*' --enablerepo='C7.6*' upgrade

（补充：这里以将整个系统升级到 CentOS Linux 7.6 版本为例）

（注意：系统中其他所有软件都会升级到 CentOS Linux 7.6 系统版本中的最新版本）

3.2 方案二：只将系统内核或某个软件升级到指定版本

# yum --disablerepo='*' --enablerepo='C7.6*' update kernel

（补充：这里以只将系统内核 kernel 升级到 CentOS Linux 7.6 系统版本里的最新版本为例）

或者：

# yum --disablerepo='*' --enablerepo='C7.6*' upgrade kernel

（补充：这里以只将系统内核 kernel 升级到 CentOS Linux 7.6 系统版本里的最新版本为例）

（步骤略）

步骤二：挂载本地镜像

# mount /dev/cdrom /mnt

（补充：这里以挂载 /dev/sr1 到 /mnt 目录为例）

步骤三：添加本地镜里的软件源

3.1 添加本地镜里的软件源 （通过 zypper 命令）

# zypper ar file:/mnt/Module-Basesystem SLE15-Base
# zypper ar file:/mnt/Module-Legacy SLE15-Legacy
# zypper ar file:/mnt/Module-Development-Tools SLE15-Tools

或者：

# zypper ar -f /mnt/Module-Basesystem SLE15-Base
# zypper ar -f /mnt/Module-Legacy SLE15-Legacy
# zypper ar -f /mnt/Module-Development-Tools SLE15-Tools

（
补充：这里以将
1) /mnt/Module-Basesystem 添加到软件源并命名为 SLE15-Base
2) /mnt/Module-Legacy 添加到软件源并命名为 SLE15-Legacy
3) /mnt/Module-Development-Tools 添加到软件源并命名为 SLE15-Tools
为例
）

3.1 添加本地镜里的软件源 （通过创建配置文件）

# vim /etc/zypp/repos.d/SLE15-Base.repo

创建以下内容：

[SLE15-Base]
enabled=1
autorefresh=0
baseurl=file:/mnt/Module-Development-Tools

# vim /etc/zypp/repos.d/SLE15-Legacy.repo

创建以下内容：

[SLE15-Legacy]
enabled=1
autorefresh=0
baseurl=file:/mnt/Module-Legacy

# vim /etc/zypp/repos.d/SLE15-Tools.repo

创建以下内容：

[SLE15-Tools]
enabled=1
autorefresh=0
baseurl=file:/mnt/Module-Basesystem/

（
补充：这里以将
1) /mnt/Module-Basesystem 添加到软件源并命名为 SLE15-Base
2) /mnt/Module-Legacy 添加到软件源并命名为 SLE15-Legacy
3) /mnt/Module-Development-Tools 添加到软件源并命名为 SLE15-Tools
为例
）

将以下内容：

......
multiversion.kernels = latest,latest-1,running
......

修改为：

......
multiversion.kernels = latest,latest-1,latest-2,latest-3,running
......

（补充：这里以使用 zypper 升级内核时保留内核的数量从 3 个增加到 5 个为例）

CVE 全称是：Common Vulnerabilities and Exposures，翻译成中文是：常见脆弱性和暴露，是一个业界统一的脆弱性和暴露。

内容二：CVE 的常用格式

CVE-2016-4658，其中 2016-4658 是编号

内容三：CVE 的用途

用于标签系统和应用的漏洞，并实现了一个漏洞数据库以进行漏洞的查询和管理

内容四：CVE 的网站

4.1 CVE 官方网站

https://www.cvedetails.com/

4.2 RedHat CVE 官方网站

4.2.1 RedHat CVE 官方网站

https://access.redhat.com/security/security-updates/#/cve

4.2.2 RedHat CVE 勘误官方网站

https://access.redhat.com/management/errata

4.3 openSUSE CVE 官方网站

openSUSE CVE 安全补丁官方网站

https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/

4.4 SUSE CVE 官方网站

SUSE CVE 安全补丁官方网站

https://www.suse.com/security/cve/

内容五：显示软件 CVE 信息

5.1 显示软件 CVE 信息的变更历史

# rpm -q openssh-clients --changelog | grep -i cve

（补充：这里以显示 openssh-clients 软件的 CVE 信息的变更历史为例）

5.2 显示软件现在的版本是否修复 CVE 漏洞

# rpm -qpi --changelog redis-6.0.14-6.8.1.x86_64.rpm |grep -E '32675'
- Fix CVE-2021-32675, Denial Of Service when processing RESP request
  (CVE-2021-32675, bsc#1191303)
  * cve-2021-32675.patch

（补充：这里以确认 redis-6.0.14-6.8.1.x86_64.rpm 软件包是否已修复 CVE-2021-32675 为例）

# update-crypto-policies --show
DEFAULT

（补充：这里的 DEFAULT 表示可以使用 2048 位及以上位数的 SSL）

步骤二：切换当前 SSL 全局加密 SSL

# update-crypto-policies --set FUTURE

（
补充：
1) 这里以将全局加密 SSL 切换到 FUTURE 状态为例
2) 此时只能使用 4096 位及以上位数的 SSL
）

（步骤略）

步骤二：挂载本地镜像

# mount /dev/cdrom /mnt

（补充：这里以挂载 /dev/sr1 到 /mnt 目录为例）

步骤三：添加本地镜像里的软件源

# zypper ar file:///mnt/Module-Basesystem openSUSE15-Base

或者：

# zypper ar -f /mnt/Module-Basesystem openSUSE15-Base

（补充：这里以将 /mnt/Module-Basesystem 添加到软件源并命名为 openSUSE15-Base 为例）

1.1 DNF 软件简介

1) 从 CentOS8&RHEL8 开始默认使用 dnf 管理软件和补丁安装
2) dnf 也是 yum v4
3) dnf 的命令参数和 yum 一样
4) dnf 软件源的配置方法和 yum 一样

1.2 DNF 软件源简介

1) BaseOS 系统和基础的软件包
2) AppStream 其余所有官方的软件包

内容二：DNF 软件源的配置案例

2.1 删除原有的软件源配置文件

# rm /etc/yum.repos.d/*.repo

2.2 配置 AppStream 库

# vim /etc/yum.repos.d/CentOS-AppStream.repo

创建以下内容：

[AppStream]
name=CentOS-$releasever - AppStream
baseurl=http://mirrors.aliyun.com/centos/$releasever/AppStream/$basearch/os/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial

2.3 配置 Base 库

# vim /etc/yum.repos.d/CentOS-Base.repo

创建以下内容：

[BaseOS]
name=CentOS-$releasever - Base
baseurl=http://mirrors.aliyun.com/centos/$releasever/BaseOS/$basearch/os/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial

2.4 配置 Epel 库

# vim /etc/yum.repos.d/CentOS-Epel.repo

创建以下内容：

[epel]
name=CentOS-$releasever - Epel
baseurl=http://mirrors.aliyun.com/epel/8/Everything/$basearch
enabled=1
gpgcheck=0

2.5 配置 Media 库

# vim /etc/yum.repos.d/CentOS-Media.repo

创建以下内容：

[c8-media-BaseOS]
name=CentOS-BaseOS-$releasever - Media
baseurl=file:///media/CentOS/BaseOS/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
[c8-media-AppStream]
name=CentOS-AppStream-$releasever - Media
baseurl=file:///media/CentOS/AppStream/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial

2.6 清除 DNF 缓存

# dnf clean all

2.7 刷新并列出 DNF 软件源列表

# dnf repolist

# yum -x httpd* updaten

（补充：这里以更新除了名字以 httpd 开头外的所有软件包为例）

（注意：这种方法只在本次输入时有效）

或者：

# yum --exclude=kernel* update

（补充：这里以更新除了名字以 kernel 开头外的所有软件包为例）

（注意：这种方法只在本次输入时有效）

内容二：通过配置文件实现更新某一个软件（补丁）包以外其他所有软件（补丁）包的方法

2.1 修改 YUM 的配置文件

# vim /etc/yum.conf

添加以下内容：

......
exlude=mysql* kernel*

（补充：多个不需要升级的软件可以用空格隔开）

2.2 使用 YUM

# yum update

（
注意：
1) 这种方法是永久生效
2) 这个文件可能是位于 /etc/yum.conf 中，也可能是位于 /etc/yum/yum.conf
）

服务器系统要配置好可用的软件源

内容二：显示内核信息

2.1 方法一

# cat /proc/version

2.2 方法二

# uname -a 

内容三：显示版本信息

3.1 方法一

# lsb_release -a

（
补充：
1) 如果系统没有 lsb_release 命令则可以单独安装一个
2) CentOS & RHEL 安装 lsb_release 命令的方法：

# yum -y install redhat-lsb-core

3) openSUSE & SUSE 安装 lsb_release 命令的方法：

# zypper -n in lsb-release

）

3.2 方法二

# cat /etc/*release*

3.3 方法三

# cat /etc/issue

1.1 方法一：备份系统自带的 YUM 软件源配置文件

# mkdir /etc/yum.repos.d/repobackup
# mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/repobackup/

1.2 方法二：删除系统自带的 YUM 软件源配置文件

# rm -rf /etc/yum.repos.d/*.repo

步骤二：添加指定的 YUM 软件源配置

2.1 方法一：使用 yum-config-manager 工具建立新配置文件

# yum-config-manager --add-repo http://example.com/

（补充：这里的 http://example.com/ 指的是官方提供的公共 yum 库链接）

（注意：添加了这个源之后确保对应的 /etc/yum.repos.d/ 配置文件中的 enable=0）

2.2 方法二：手动写一个 YUM 软件源配置文件指定 YUM 软件源

# vim  /etc/yum.repos.d/local.repo

创建以下内容：

[local]
name=local
baseurl=file:///temp
enabled=1
gpgcheck=0 

（补充：这里以软件仓库在 /temp 为例）

步骤三：确认新配置的 YUM 软件源可用

3.1 清理过时 YUM 库的缓存

# yum clean all

3.2 刷新并列出所有可用的软件源

# yum repolist 

1.1 显示 zypper 帮助信息

# zypper help

或者：

# zypper --h

1.2 显示 zypper 选项的帮助信息

1.2.1 显示 zypper 选项帮助信息的格式

# zypper help <option>

或者：

# zypper <option> help

1.2.2 显示 zypper 选项帮助信息的案例

# zypper help install

（补充：这里以显示 install 子选项为例）

或者：

# zypper install help

（补充：这里以显示 install 子选项为例）

内容二：软件相关

2.1 安装软件

2.1.1 安装软件的格式

2.1.1.1 交互式

# zypper in <software>

或者：

# zypper install <software>

（补充：这里的 -f 参数是强制安装软件）

2.1.1.2 非交互式

# zypper -n in <software>

（补充：这里的 -n 代表会通过忽略交互式的步骤从而避免运行中断）

或者：

# zypper --no-gpg-checks --non-interactive install <software>

（
补充：
1) 这里的 –no-gpg-checks 代表不检验证书
2) 这里的 –non-interactive 代表会通过忽略交互式的步骤从而避免运行中断
）

2.1.2 安装软件的案例

2.1.2.1 交互式

# zypper in httpd

（补充：这里以交互式安装 httpd 软件为例）

或者：

# zypper install httpd

（补充：这里以交互式安装 httpd 软件为例）

2.1.2.2 非交互式

# zypper -n in httpd

（
补充：
1) 这里以非交互式安装 httpd 软件为例
2) 这里的 -n 代表会通过忽略交互式的步骤从而避免运行中断
）

或者：

# zypper --no-gpg-checks --non-interactive install httpd

（
补充：
1) 这里以交互式安装 httpd 软件为例
2) 这里的 –no-gpg-checks 代表不检验证书
3) 这里的 –non-interactive 代表会通过忽略交互式的步骤从而避免运行中断
）

2.2 删除软件

2.2.1 删除软件的格式

2.2.1.1 交互式

# zypper rm <software>

或者：

# zypper remove <software>

2.2.1.2 非交互式

# zypper -n rm <software>

（补充：这里的 -n 代表会通过忽略交互式的步骤从而避免运行中断）

或者：

# zypper --no-gpg-checks --gpg-auto-import-keys --non-interactive remove <software>

（
补充：
1) 这里的 –no-gpg-checks 代表不检验证书
2) 这里的 –gpg-auto-import-keys 代表自动信任并导入新的签名密钥
3) 这里的 –non-interactive 代表会通过忽略交互式的步骤从而避免运行中断
）

2.2.2 删除软件的案例

2.2.2.1 交互式

# zypper rm httpd

（补充：这里以交互式删除 httpd 软件为例）

或者：

# zypper remove httpd

（补充：这里以交互式删除 httpd 软件为例）

2.2.2.2 非交互式

# zypper -n rm httpd

（
补充：
1) 这里以非交互式删除 httpd 软件为例
2) 这里的 -n 代表会通过忽略交互式的步骤从而避免运行中断
）

或者：

# zypper --no-gpg-checks --gpg-auto-import-keys --non-interactive remove httpd

（
补充：
1) 这里以非交互式删除 httpd 软件为例
2) 这里的 –no-gpg-checks 代表不检验证书
3) 这里的 –gpg-auto-import-keys 代表自动信任并导入新的签名密钥
4) 这里的 –non-interactive 代表会通过忽略交互式的步骤从而避免运行中断
）

2.3 锁定软件

2.3.1 锁定软件的格式

# zypper addlock <software>

或者：

# zypper al <software>

2.3.2 锁定软件的案例

# zypper addlock httpd

或者：

# zypper al httpd

（补充：这里以锁定 httpd 软件的周期为例）

2.4 显示所有已锁软件

# zypper locks

或者：

# zypper ll

2.5 解锁软件

2.5.1 解锁软件的格式

# zypper removelocks <software>

或者：

# zypper rl <software>

2.5.2 解锁软件的案例

# zypper removelocks httpd

（补充：这里以解锁 httpd 为例）

或者：

# zypper rl httpd

（补充：这里以解锁 httpd 为例）

2.5.3 清除所有已锁软件

# zypper cleanlocks

或者：

# zypper cl

2.6 升级软件

2.6.1 升级软件

2.6.1.1 升级软件的格式

2.6.1.1.1 交互式

# zypper update <software>

2.6.1.1.2 非交互式

# zypper -n update <software>

（补充：这里的 -n 代表会通过忽略交互式的步骤从而避免运行中断）

或者：

# zypper --non-interactive update <software>

（补充：这里的 –non-interactive 代表会通过忽略交互式的步骤从而避免运行中断）

2.6.1.2 升级软件的案例

2.6.1.2.1 交互式

# zypper update nginx

（补充：这里以交互式升级 nginx 为例）

2.6.1.2.2 非交互式

# zypper -n update nginx

（
补充：
1) 这里以非交互式升级 nginx 为例
2) 这里的 -n 代表会通过忽略交互式的步骤从而避免运行中断
）

或者：

# zypper --non-interactive update nginx

（
补充：
1) 这里以非交互式升级 nginx 为例
2) 这里的 –non-interactive 代表会通过忽略交互式的步骤从而避免运行中断
）

2.6.2 升级所有软件

2.6.2.1 升级所有软件

2.6.2.1.1 交互式

# zypper update

2.6.2.1.2 非交互式

# zypper -n update

2.6.2.2 显示所有可升级的软件

# zypper lp

2.7 查找软件

2.7.1 查找软件的格式

# zypper se <software>

或者：

# zypper search <software>

或者：

# zypper search --match-exact --type package --details <software>

（补充：这里 –match-exact 参数的作用是精确匹配，–type package 参数的作用是指定查找的对象是软件）

2.7.2 查找软件的案例

# zypper se httpd

（补充：这里以查找 httpd 软件为例）

或者：

# zypper search httpd

（补充：这里以查找 httpd 软件为例）

或者：

# zypper se --match-exact --type package --details httpd

（补充：此方法会精确查找 httpd 软件为例）

2.8 显示软件所有可以安装的版本

2.8.1 显示软件所有可以安装版本的格式

# zypper se -s <software>

或者：

# zypper search -details <software>

2.8.2 显示软件所有可以安装版本的案例

# zypper se -s kernel-default

或者：

# zypper search -details kernel-default

（补充：这里以查找 httpd 软件为例）

2.9 显示软件的生命周期

2.9.1 显示软件的生命周期的格式

# zypper lifecycle <software>

2.9.2 显示软件的生命周期的案例

# zypper lifecycle httpd

（补充：这里以查找 httpd 软件的周期为例）

内容三：软件组相关

3.1 安装软件组

3.1.1 安装软件组的格式

3.1.1.1 交互式

# zypper in -t pattern <pattern>

3.1.1.2 非交互式

# zypper -n in -t pattern <pattern>

3.1.2 安装软件组的案例

3.1.2.1 交互式

# zypper in -t pattern kvm_server

（补充：这里以交互式安装 kvm_server 软件组为例）

3.1.2.2 非交互式

# zypper -n in -t pattern kvm_server

（补充：这里以非交互式安装 kvm_server 软件组为例）

3.2 删除软件组

3.2.1 删除软件组的格式

3.2.1.1 交互式

# zypper rm -t pattern <pattern>

3.2.1.2 非交互式

# zypper -n rm -t pattern <pattern>

3.2.2 删除软件组的案例

3.2.2.1 交互式

# zypper -n rm -t pattern kvm_server

（补充：这里以交互式删除 kvm_server 软件组为例）

3.2.2.2 非交互式

# zypper -n rm -t pattern kvm_server

（补充：这里以非交互式删除 kvm_server 软件组为例）

3.3 显示所有可用软件组

# zypper patterns

或者：

# zypper pt

或者：

# zypper se -t pattern

3.4 显示软件组的详细信息

3.4.1 显示软件组详细信息的格式

# zypper pattern-info <pattern>

3.4.2 显示软件组详细信息的案例

# zypper pattern-info kvm_server

（补充：这里以显示 kvm_server 软件组为例）

3.5 显示软件组所需要的所有软件包

3.5.1 显示软件组所需要的所有软件包的格式

# zypper info --requires <pattern>

3.5.2 显示软件组所需要的所有软件包的案例

# zypper info --requires kvm_server

（补充：这里以显示 kvm_server 软件组所需要的所有软件包为例）

内容四：安全相关

4.1 安全补丁

4.1.1 安装安全补丁

4.1.1.1 安装安全补丁的格式

4.1.1.1.1 交互式

# zypper in -t patch <patch>

4.1.1.1.2 非交互式

# zypper -n in -t patch <patch>

4.1.1.2 安装安全补丁的案例

4.1.1.2.1 交互式

# zypper in -t patch SUSE-SLE-SERVER-12-SP5-2022-323=1

（补充：这里以安装 SUSE-SLE-SERVER-12-SP5-2022-323=1 补丁为例）

4.1.1.2.2 非交互式

# zypper -n in -t patch SUSE-SLE-SERVER-12-SP5-2022-323=1

（补充：这里以安装 SUSE-SLE-SERVER-12-SP5-2022-323=1 补丁为例）

4.1.2 所有安全补丁

4.1.2 安装所有安全补丁

4.1.2.1 非交互式

# zypper patch

4.1.2.2 交互式

# zypper -n patch

内容五：软件源相关

5.1 新增软件源并指定软件源名

5.1.1 新增软件源并指定软件源名的格式

# zypper ar -fcg <software source link> <define software source name>

5.1.2 新增软件源并指定软件源名的案例

# zypper ar -fcg http://192.168.1.1/update-oss/ update-oss

（补充：这里以添加 http://192.168.1.1/update-oss/ 库并命名为 update-oss 为例）

5.2 删除软件源

5.2.1 删除软件源

5.2.1.1 删除软件源的格式

# zypper rr <software source name/software source URL>

5.2.1.2 删除软件源的案例

# zypper rr 'Main Repository'

或者：

# zypper rr http://download.opensuse.org/distribution/leap/15.3/repo/oss/

（补充：这里以删除名为 Main Repository 链接为 http://download.opensuse.org/distribution/leap/15.3/repo/oss/ 的软件源为例）

5.2.2 删除所有软件源

# zypper rr -a

或者：

# zypper rr `zypper ls | awk '{print $1}'`

5.3 启用软件源

5.3.1 启用软件源

5.3.1.1 启用软件源的格式

# zypper mr -e <software source name/software source URL>

或者：

# zypper modifyrepo -e <software source name/software source URL>

5.3.1.2 启用软件源的案例

# zypper mr -e 'Main Repository'

或者：

# zypper modifyrepo -e http://download.opensuse.org/distribution/leap/15.3/repo/oss/

（补充：这里以启用名为 Main Repository 链接为 http://download.opensuse.org/distribution/leap/15.3/repo/oss/ 的软件源为例）

5.3.2 启用所有软件源

# zypper mr -ea

或者：

# zypper modifyrepo -ea

或者：

# zypper mr -e `zypper ls | awk '{print $1}'`

或者：

# zypper modifyrepo -e `zypper ls | awk '{print $1}'`

5.4 禁用软件源

5.4.1 禁用软件源

5.4.1.1 禁用软件源的格式

# zypper mr -d <software source name/software source URL>

或者：

# zypper modifyrepo -d <software source name/software source URL>

5.4.1.2 禁用软件源的案例

# zypper mr -d 'Main Repository'

或者：

# zypper modifyrepo -d http://download.opensuse.org/distribution/leap/15.3/repo/oss/

（补充：这里以禁用名为 Main Repository 链接为 http://download.opensuse.org/distribution/leap/15.3/repo/oss/ 的软件源为例）

5.4.2 禁用所有软件源

# zypper mr -da

或者：

# zypper modifyrepo -da

或者：

# zypper mr `zypper ls | awk '{print $1}'`

或者：

# zypper modifyrepo `zypper ls | awk '{print $1}'`

5.5 显示软件源

5.5.1 显示所有软件源

# zypper ls

或者：

# zypper lr

（补充：zypper ls 会多显示软件源的 Type）

5.5.2 显示所有软件源的链接

5.2.2.1 显示所有软件源的链接 （显示时进行软件源验证）

# zypper ls -d

或者：

# zypper ls -u

或者：

# zypper repos -d

或者：

# zypper repos -u

或者：

# zypper ls --details

或者：

# zypper ls --uri

或者：

# zypper repos --details

或者：

# zypper repos --uri

5.2.2.2 显示所有软件源的链接 （显示时不进行软件源言政）

# zypper --non-interactive --no-gpg-checks repos -d

（
补充：
1) –non-interactive 代表非交互式
2) –no-gpg-checks 代表不检查证书
）

5.6 缓存软件源列表

5.6.1 缓存所有已启用软件源列表

# zypper ref

或者：

# zypper refresh

5.6.2 清除所有软件源列表缓存

# zypper clean

内容六：系统本版相关

升级系统版本

# zypper migration

# zypper mr -da

步骤二：添加阿里的 openSUSE 软件源

# sudo zypper ar -fc https://mirrors.aliyun.com/opensuse/distribution/leap/15.0/repo/oss openSUSE-Aliyun-OSS
# sudo zypper ar -fc https://mirrors.aliyun.com/opensuse/distribution/leap/15.0/repo/non-oss openSUSE-Aliyun-NON-OSS
# sudo zypper ar -fc https://mirrors.aliyun.com/opensuse/update/leap/15.0/oss openSUSE-Aliyun-UPDATE-OSS
# sudo zypper ar -fc https://mirrors.aliyun.com/opensuse/update/leap/15.0/non-oss openSUSE-Aliyun-UPDATE-NON-OSS

（
补充：
1) 命令中最后一个参数为每这个源指定了一个别称
2) 这里以添加 openSUSE 15.0 版本的 oss、non-oss、update 和 update-now-oss 库为例
）

步骤三：刷新所有处于 enable 状态的软件源

# zypper ref

1.1 安装 yum-security 插件

# yum install yum-security

1.2 列出所有的安全补丁

# yum --security check-update

1.3 批量安装所有的安全补丁

# yum update --security

内容二：列出某个安全补丁的详细信息

2.1 加载 bugzillas

# yum list-security bugzillas

2.2 显示某个安全补丁的详细信息

# yum info-security <patch name>

（补充：CentOS&RHEL 的补丁名都是以 RHSA 开头，例：RHSA-2009:1148-1）

# yum install yum-cron -y
/etc/yum/yum-cron.conf

步骤二：配置 yum-cron.conf 配置文件

# vim /etc/yum/yum-cron.conf

将部分内容修改如下：

......
9 update_cmd = security
......
13 update_messages = yes
......
16 download_updates = yes
......
20 apply_updates = no
......

步骤三：启动 yum-cron 服务并设置为开机自启

# systemctl restart yum-cron

步骤四：将 yum-cron 设置为开机自启

# systemctl enable yum-cron

步骤一：清理 YUM 的缓存

# yum clean all

步骤二：安装 package-cleanup

# yum -y install yum-utils 

步骤三：使用 package-cleanup 更新仓库

# package-cleanup --cleandupes