대상 OS: Rocky Linux 9
패치를 미루는 조직은 결국 ‘언젠가’가 아니라 ‘어느 날 새벽’에 비용을 치르게 됩니다.
그렇다고 운영 서버에서 무작정 자동 업데이트를 켜면, 예기치 못한 재시작/의존성 변화로 장애가 날 수 있습니다.
그래서 중요한 건 자동화 자체가 아니라, 자동화에 운영 안전장치를 함께 심는 것입니다.
Rocky Linux 9에서는 dnf-automatic을 이용해 보안 업데이트를 자동 적용하고, 창구 시간(maintenance window)과 재부팅 정책을 함께 묶어 “운영형 자동 패치”를 만들 수 있습니다.
이 글은 Rocky Linux 9에서 dnf-automatic을 보안 업데이트 중심으로 운영하고, 로그/실패 점검/재부팅 필요 판단까지 포함한 실전 구성을 정리합니다.
---
1) 목표를 먼저 고정하기(정책)
1) 자동 적용 범위는 “보안(security) 업데이트”로 제한한다
2) 실행 시간은 새벽 등 영향이 적은 시간대로 고정한다
3) 재부팅은 자동으로 하지 않거나, 필요 시에만 별도 절차로 통제한다
4) 실패는 조용히 넘어가지 않게 로그/알림 경로를 확보한다
자동 패치의 목적은 “사람이 깜빡해도 중요한 보안 패치가 들어가게” 하는 것입니다. 그 목적을 벗어나면 운영 리스크만 커집니다.
---
2) 설치 및 구성 파일 위치 확인
1) 패키지 설치
sudo dnf -y install dnf-automatic2) 설정 파일 확인
rpm -ql dnf-automatic | sed -n '1,160p'
ls -la /etc/dnf
ls -la /etc/dnf/automatic.conf3) 기본 타이머 확인
systemctl list-timers --all | grep -E 'dnf-automatic|dnf' || true
systemctl status dnf-automatic.timer --no-pager || trueRocky/RHEL 계열은 보통 `dnf-automatic.timer`가 자동 실행을 담당합니다.
---
3) “보안 업데이트만” 적용하도록 automatic.conf 설정
dnf-automatic은 적용 범위를 설정으로 줄일 수 있습니다.
1) 백업
sudo cp -a /etc/dnf/automatic.conf /etc/dnf/automatic.conf.bak.$(date +%F_%H%M%S)2) 핵심 설정(예시)
sudo tee /etc/dnf/automatic.conf >/dev/null