Мне удалось интегрировать обновления безопасности RHEL в настраиваемый образ кикстарта, используя следующую процедуру:
Настроить зеркало RHEL с глубиной истории 1.
При создании образа кикстарта скопируйте данные репо в собственный каталог на диске.
Псевдокод сценария сборки ISO:
#! / Bin / bash псевдокод
# делаем копию образа системы RHEL
смонтировать rhel-7-server-dvd.iso / tmp / rhelbaseiso
cp -a / tmp / rhelbaseiso / tmp / rheliso
# добавить свои собственные файлы кикстарта
cp myimage / ks.cfg / tmp / rheliso /.
cp -f myimage / isolinux.bin /tmp/rheliso/isolinux/isolinux.bin
# копируем файлы с репо зеркала
mkdir / tmp / rheliso / rhelUpdatePackages
cp -a / myrhelmirror / repos / rhel7 / rhel-7-server-rpms / * rhelUpdatePackages
# TODO добавить любые пользовательские пакеты в их собственный каталог и запустить в нем createrepo
# строим iso-образ
mkisofs -rDfJV "ИМЯ ДИСКА" -b isolinux / isolinux.bin \
-c изолинукс / boot.cat \
-no-emul-boot \
-boot-load-size 4 \
-boot-информация-таблица \
-graft-точки \
-eltorito-alt-boot \
-e images / efiboot.img \
-no-emul-boot \
-o custom_rhel.iso / tmp / rheliso
# TODO размонтировать и очистить
Скажите кикстарту, чтобы он использовал репозиторий обновлений в качестве дополнительного репо:
...
репо --name = "rhel_update" --baseurl = "file: /// run / install / repo / rhelUpdatePackages"
repo --name = "your_own_software" --baseurl = "file: /// run / install / repo / customPackages"
...
Похоже, этого достаточно, чтобы Yum / Anaconda подтянул соответствующим образом обновленные пакеты во время установки системы. После установки система будет иметь обновленное программное обеспечение «из коробки», без необходимости подключаться к репозиторию обновлений.
(Это работает для загрузочной установки BluRay, USB-HD или через локальную сеть. Требуются дополнительные усилия, чтобы уменьшить размер образа, если вам нужно поместить его на загрузочный DVD.)
Запись Wireshark показывает, что и источник, и место назначения являются локальными IP-адресами.
Итак, это только запись трафика между вашим компьютером и Raspberry Pi. Это обычный DNS-трафик. Зашифрованный трафик проходит между Raspberry Pi и преобразователем ns0.dnscrypt.is
, то есть тем, что идет в Интернет.
Здесь вы должны выполнить захват пакетов.
В качестве альтернативы, если вы хотите аутентифицировать трафик между вашим компьютером и Raspberry Pi, на вашем компьютере должен работать прокси-сервер клиента, а на Raspberry Pi вам необходимо запустить сервер DNSCrypt (dnscrypt-wrapper или dnsdist).