问香草CentOS:我们需要ElRepo存储库吗？

EN

显然，CentOS维护人员需要一些时间才能获取RedHat源代码并为CentOS构建它们。

今天，我收到了一个通知，即内核更新3.10.0-1160.11.1.el7是可用的。所以，我想你可以安装它。也许更新需要一段时间才能到达你身边的服务器，你还得再等一天。

这里是一个图表，它显示了CentOS发布修复程序需要多长时间。更改了对CentOS的支持，我建议你开始寻找另一种选择。使用CentOS 7，您将在2024年之前收到安全更新，而CentOS 8将只接收到2021年年底。

(ELRepo)侧重于kmod驱动程序包，以增强EL6、EL7和EL8中的硬件支持(包括显示、文件系统、hwmon、网络和存储驱动程序)。更新的内核也是可用的。按照ELRepo主页安装elrepo发布包并导入GPG密钥。

如果您没有专门使用内核mod/update (例如来自ELREPO )，那么就很难从业务/法律的角度来证明为什么要使用它，更不用说它可能没有解决实际的漏洞。对于https://access.redhat.com/errata/RHSA-2020:4060，如果在ELREPO的更新中没有解决这个问题(他们关注的是增强的硬件支持)或其他任何人，那么他们的更新对您没有好处；不要仅仅因为它是一个“更新”而从第三方获取一个更新，除非它确实解决了当前的问题。你得调查一下。

因此，要客观地回答我的问题:如何以100%的官方方式更新我的CentOS内核以消除这个漏洞？香草CentOS:我们需要ElRepo存储库吗？我有一个CentOS SFTP服务器，它对我公司的业务至关重要。

• 您的系统上只有正式的CentOS存储库存储库处于活动状态。
• 在/etc/yum.conf中启用GPG以使用该保护机制。
• 只有从官方的centos存储库获得内核更新，这是在安装和自由分布的自动激活 of CentOS linux时创建的。

当然，这取决于您真正的意思是香草，但不，您将不需要/要求ELREPO，甚至EPEL只是SFTP，如果这是服务器的唯一功能。在我看来，对我公司的运营至关重要的话，你应该只使用官方的centos回购，甚至不应该使用epel或elrepo，除非那些涉及特定的业务/安全问题。Wwhat已经说过: CentOS维护人员需要一段时间才能获取RedHat源代码，并为CentOS构建它们是真的。内核更新，特别是从RHEL/CentOS7.8到7.9的更新，在CentOS方面需要时间。CentOS来自RHEL，RHEL总是先发布一些东西，然后CentOS的人拿到它，让它发生，但有一个延迟。这就是免费发行的价格。要么拔掉你的CentOS服务器，等待更新出来，如果它是那么严重将是官方的方式。如果这种延迟是不能接受的，那么您的公司应该使用付费的RHEL订阅，而不是免费的CentOS。

在研究的基础上，很多文章指出了为内核更新添加ElRepo存储库的想法。不过，我想知道为何要这样做呢？

底部的centos回购链接如下:一个例子什么不做，请不要遵循这样的例子。在添加(并可能破坏)您的系统之前，请使用批判性的眼光和一些想法来查看所建议的内容。我有点脱离了上下文，因为ELREPO是一个很好的第三方回购，它有它的位置，但这是它的原则。

https://wiki.centos.org/AdditionalResources/Repositories