在Linux系统中检查软件包是否存在安全更新，主要依赖于你使用的发行版和对应的包管理工具。下面介绍几种主流Linux系统中的常用方法。

Ubuntu/Debian：使用 apt-check 或 apt list

Debian系系统提供了多种方式来识别待安装的安全更新。

方法一：使用 check-security 工具（需安装）

sudo apt install unattended-upgrades

安装后可直接运行以下命令查看安全更新：

sudo /usr/share/unattended-upgrades/unattended-upgrade-shutdown –dry-run

方法二：使用 apt list 筛选可更新包

apt list –upgradable

输出中会列出所有可升级的包。若想重点关注安全更新，可结合源配置判断——通常安全更新来自

security.ubuntu.com

源。

方法三：查看安全更新源是否启用

grep -r security /etc/apt/sources.list /etc/apt/sources.list.d/

确保类似

http://security.ubuntu.com

的源存在并启用。

VisDoc

ai文生图表工具

29

查看详情

CentOS/RHEL/Fedora：使用 dnf 或 yum-plugin-security

Red Hat系系统可通过插件专门查询安全更新。

对于 CentOS 8 / RHEL 8 / Fedora 使用 dnf：

sudo dnf updateinfo list sec

该命令列出所有安全相关的更新。加上

--sec-severity=Critical

可过滤高危补丁：

sudo dnf updateinfo list sec –sec-severity=Critical

查看具体某个包是否有安全更新：

sudo dnf updateinfo info <package-name>

旧版本使用 yum 时需先安装插件：

sudo yum install yum-plugin-security sudo yum –security check-update

通用方法：通过脚本或监控工具自动化检测

生产环境中建议定期自动检查并通知管理员。

• 编写定时任务（cron）调用上述命令并发送邮件提醒
• 使用监控工具如 Nagios、Zabbix 配置安全更新检查插件
• 部署自动化运维工具（如 Ansible）批量扫描多台服务器

例如一个简单的检查脚本：

#!/bin/bash
if command -v dnf > /dev/null; then
  dnf updateinfo list sec | grep -v “No security updates”
elif command -v yum > /dev/null; then
  yum –security check-update
elif command -v apt > /dev/null; then
  apt list –upgradable 2>/dev/null | grep -i security
fi

基本上就这些。关键是根据你的系统选择合适的工具，并保持更新源配置正确。安全更新信息通常只在启用了对应仓库时才能获取。