Seu teste parece correto, mas o problema é que os principais repositórios do CentOS infelizmente não vêm com as informações necessárias para suportar atualizações somente de segurança da mesma forma que o RHEL. Por favor, consulte esta discussão para mais detalhes:
No CentOS, parece que você só pode realmente usar o yum-cron para upgrades automáticos como em:
update_cmd = default
caso contrário, você só recebe atualizações de segurança de quaisquer repositórios externos que você use (como, por exemplo, EPEL).
Em nossos próprios servidores CentOS 7, usamos esse padrão combinado com regras de download e somente de notificação, nas quais atuamos manualmente.
Como solução alternativa, você provavelmente poderia manter um repositório yum local com apenas as atualizações de segurança e aplicar atualizações automáticas a partir daí. Ele ainda exigiria a manutenção manual desse repositório de segurança, mas pelo menos todos os seus servidores poderiam fazer o upgrade automático de lá.