近期安全扫描发现我们的生产环境存在多个系统漏洞,需要紧急升级相关安装包。然而,生产服务器部署在内网隔离环境中,无法直接访问外部软件仓库。面对这一挑战,团队同事推荐了一个高效的解决方案:使用 yum install --downloadonly 命令进行离线包外下内部。今天,我将分享一种高效的方法:利用yum install --downloadonly功能在外网环境下载所需RPM包,然后在内网环境中进行安全部署。
ScreenShot_2025-12-11_103952_066.png
🛠️downloadonly:离线包管理的利器
- 命令解析
ini
# 基本语法
yum install --downloadonly --downloaddir=/home/offline-packages vsftpd -y
# 参数说明
--downloadonly # 仅下载,不安装
--downloaddir # 指定下载目录
-y # 自动 yes⬇️ 离线包下载流程
- 单包下载
ini
# 下载单个包及其依赖
yum install --downloadonly --downloaddir=/home/offline-packages/ vsftpd -y
# 如果已安装,使用reinstall参数
yum reinstall --downloadonly --downloaddir=/home/offline-packages/ vsftpd -y- 批量下载多个包
bash
# 创建需要升级的包列表
cat > package-list.txt << EOF
openssl
openssh-server
kernel
vsftpd
EOF
# 批量下载
while read pkg; do
yum install --downloadonly --downloaddir=/home/offline-packages/ $pkg -y
done < package-list.txt - 下载特定版本
ini
# 下载指定版本的包
yum install --downloadonly --downloaddir=/home/offline-packages/ vsftpd-3.0.3 -y⏳依赖处理
- 检查下载完整性
bash
# 查看下载的包
ls -lh /home/offline-packages/*.rpm
# 统计数量
find /home/offline-packages/ -name "*.rpm" | wc -l
# 生成包列表(用于审计)
rpm -qip /home/offline-packages/*.rpm | grep -E "Name|Version|Release" > package-info.txt💻内网部署
- 传输包到内网
bash
# 打包压缩
tar -czf offline-packages.tar.gz -C /home/offline-packages/ .
# 将此问文件通过介质传输到内网,在内网服务器操作
# 1. 创建本地仓库目录
mkdir -p /opt/local-repo
# 2. 解压传输的包
tar -xzf offline-packages.tar.gz -C /opt/local-repo/- 内网服务器使用rpm直接安装
bash
# 直接安装所有下载的rpm包
rpm -Uvh /opt/local-repo/*.rpm
# 或者按需安装
rpm -Uvh /opt/local-repo/vsftpd*.rpm /opt/local-repo/openssl*.rpm🚀总结
通过yum install --downloadonly命令,我们可以轻松构将升级部署包在外网下载,然后传输到内网升级。这种方法不仅适用于安全升级,还可用于:
- 新建内网服务器的快速部署
- 多服务器批量更新
- 特定版本软件的标准化部署
- 紧急漏洞的快速响应
掌握这一技能,你将能够在内网环境中游刃有余地管理Linux服务器的软件包,既保证了安全性,又不失灵活性。
❗温馨提示:生产环境操作前,请务必在测试环境充分验证,并制定详细的回滚方案。安全无小事,谨慎每一步!