众所周知,Rocky Linux 是基于 Redhat Enterprise Linux 的下游发行版,一般情况下,在 Redhat Enterprise Linux 发布一些系统或软件的更新之后,Rocky Linux 都会跟进更新,但因为之前 Rocky Linux 的运行和更新机制,在发现某些高风险漏洞之后,Rocky Linux 通常要等待 Redhat 方面进行修复,过一段时间之后,Rocky Linux才能够把相关的软件包同步到自己的仓库里面,这样就可能会导致某些漏洞在公开之后,Rocky Linux 因为未能及时获得安全更新补丁包,导致相关的设备暴露在风险之中。另外,在有些时候 Redhat Enterprise Linux 和 Rocky Linux 均发现一些安全漏洞,而 Redhat 因为一些原因,不对外提供这些补丁包,或者压根就不想修复,在这种情况下,相关安全漏洞已经公开了,但 Rocky Linux 方面无法正常地获得这些补丁包,这样可能也会导致使用 Rocky Linux 的使用者暴露在风险之中。
为了解决这种风险,在最新版的 Rocky Linux 8.x/9.x/10.x 中,内置了一个新的应急安全仓库。这是 Rocky Linux 在 2026 年 5 月 14 日新推出的,目的是为了应对像 “Dirty Frag” 这类高危漏洞。核心用途是在官方上游(主要是 Redhat Enterprise Linux )补丁发布前,提供紧急的、临时性的安全修复,作为官方发布流程之外的一个“应急桥梁”。不过这个仓库默认是关闭的,如果想开启的话,由两个办法:
执行以下命令:
sudo dnf --enablerepo=security update这个命令执行之后,会检查更新,如果发现有临时补丁可以使用,则执行更新操作。
二、永久启用:
修改 /etc/yum.repos.d/rocky-security.repo 文件,把“[security]”段落下面的 “enable=0”修改为 “enable=1”

需要说明的是,因为这个仓库中的包是临时的。一旦上游(如 Red Hat)发布官方修复,DNF 会自动用官方包替换掉临时包,确保系统最终回到标准轨道。仓库里面的这些更新不会出现在常规的安全更新列表中(dnf update –security 命令不会列出这些更新),Rocky Linux 方面也不提供正式的勘误表,因为它不是一个永久支持的修复方案,所以,Rocky Linux 官方并不推荐永久启用应急安全仓库,一般只建议在出现高危漏洞、且 Redhat 方面未及时推出相应的补丁更新的时候,才执行临时使用命令进行更新。
除了应急安全仓库之外,在更早的时候,Rocky Linux 也推出过一个安全SIG仓库,但默认情况下,系统并未安装这个仓库。这个仓库主要由Rocky Linux 安全特别兴趣小组维护,提供上游系统中不存在的额外安全软件包,或提供经过安全加固的替代版本(覆盖包),例如:Linux 内核runtime防护模块LKRG、密码强度检查和策略执行工具passwdqc、加固版 glibc 和 OpenSSH等等。安全SIG仓库内的软件包不替代官方包,而是提供增强或额外的选择。其中的“覆盖包”会替换系统标准版本以提供更强的安全防护。根据Rocky Linux官方安全SIG的公告,其明确职责就包括了:“包含/回溯尚未包含在上游EL软件包中的其他安全修复”。简单来说,当一个高危漏洞被发现,但Rocky Linux的上游(如RHEL)还没有发布官方补丁时,安全SIG仓库就可能会先行提供修复方案。
因为默认情况下安全SIG仓库并未安装到系统里面,如果对系统安全方面有要求,需要启用这个仓库的,可以执行以下命令进行安装:
sudo dnf install rocky-release-security然后执行以下命令,查看仓库是否已经安装成功:
dnf repolist | grep security如果看到类似下面截图的提示,则表示已经安装成功:

随后,编辑/etc/yum.repos.d/rocky-release-security.repo文件,找到 [security-common] 段落面的 “enable=0”修改为 “enable=1”,或者执行以下命令启用:
sudo dnf config-manager --set-enabled security-common最后,执行 sudo dnf update 执行一次更新(第一次执行的时候可能会提示是否导入GPG 公钥,按“y”导入即可)。
注意,启用安全SIG仓库之后,仓库中的 glibc、openssh 等覆盖包会替换系统基础包,启用后 dnf update 会将其作为常规更新源。此外,安全SIG仓库也可以用于其它 RHEL 衍生版,例如AlmaLinux 等,但AlmaLinux官方仓库并未内置Rocky Linux的安全SIG仓库,需要另外安装。相关的安装方法如下:
根据你的 AlmaLinux 版本选择对应的包
AlmaLinux 8:
sudo dnf install https://download.rockylinux.org/pub/rocky/8/extras/x86_64/os/Packages/r/rocky-release-security-8-3.el8.noarch.rpmAlmaLinux 9:
sudo dnf install https://download.rockylinux.org/pub/rocky/9/extras/x86_64/os/Packages/r/rocky-release-security-9-4.el9.noarch.rpm注:笔者目前暂未找到适用于RHEL 10系列的SIG仓库安装包,如果日后找到,且笔者记得的话,会在这里更新。
安装之后的后续配置跟Rocky Linux的一样。

本文出处:IT人的工作生活网站 www.cntse.com(笔者的博客),原文可点击“阅读原文”查看。
-----------------
(创作不易,如果觉得本文能够帮助您解决问题的,欢迎大家移步到本文最后,点击“喜欢作者”进行赞赏,感谢大家!)
与 Rocky Linux 相关的部分历史文章:
在考虑自用的 Rocky Linux 9 要不要直接升级到 Rocky Linux 10
AlmaLinux 9、Rocky Linux 9 升级 10
---------------
更多内容可以点击下方搜索栏进行搜索: