如何在Amazon Linux AMI EC2实例上安装安全更新？

如Amazon Linux AMI基础操作指南中的安全更新部分所述，Amazon Linux AMI已配置为在启动时下载并安装安全更新, 即使有些安全更新可能在启动时仍然可用。您可以简单地使用最新更新的Amazon Linux AMI重新启动新实例来代替旧实例（详见产品生命周期部分），但这只包括关键或重要的安全更新。如AWS团队对Amazon Linux镜像安全更新最佳实践的响应所示。
因此，如果您想安装所有安全更新或确实需要保存运行中的Amazon Linux AMI实例上的数据或自定义信息，则必须通过Amazon Linux AMI yum存储库维护这些实例。具体来说，您需要使用Yum更新机制进行操作，如yum-security插件所述。

# yum update --security

请注意：如果仅选择安全更新，则此方法不起作用，因为CentOS和Amazon Linux中的安全更新未正确标记。这可能是Redhat将安全性作为付费功能的原因，说实话，这很荒谬。 要使此方法起作用，您必须更新yum-cron配置文件以安装所有更新。这会降低安全更新的可靠性，从而使每个人都更加不安全。

update_cmd = default

当Amazon Linux主机首次启动时，会运行更新。如果您计划长期使用主机，您可能还希望启用自动安全更新。我建议使用yum-cron：

sudo yum install yum-cron

配置文件在这里：（您可能只想运行安全更新）

/etc/yum/yum-cron.conf

您可以这样启用yum-cron：

sudo service yum-cron start

以下是一条有用的评论，经过编辑后提供给你：

如果您正在使用自动扩展组创建/销毁实例等操作，那么在用户数据中应该使用类似以下命令："sudo yum update -y"。

上面的答案是正确的，这里有4个命令可以复制并粘贴来运行：

# Install the package yum-cron
sudo yum install yum-cron -y
# Change the config file /etc/yum/yum-cron.conf and modify the line apply_updates from no to yes
sudo sed -i "s/apply_updates = no/apply_updates = yes/" /etc/yum/yum-cron.conf
# Enable the yum-cron service to start automatically upon system boot
sudo systemctl enable yum-cron
# Start the yum-cron service now
sudo systemctl start yum-cron

这些命令也适用于Red Hat 7和CentOS 7。
如果您是以root用户身份运行，可以直接运行这些命令，无需sudo：

yum install yum-cron -y
sed -i "s/apply_updates = no/apply_updates = yes/" /etc/yum/yum-cron.conf
systemctl enable yum-cron
systemctl start yum-cron

了解更多信息，请查看https://linuxize.com/post/configure-automatic-updates-with-yum-cron-on-centos-7/和https://www.howtoforge.com/tutorial/how-to-setup-automatic-security-updates-on-centos-7/