vlambda博客
学习文章列表

在CentOS 8 EOL之后继续前进

文章来源:https://thehackernews.com

原文链接:

https://thehackernews.com/2021/09/moving-forward-after-centos-8-eol.html


Linux 社区措手不及,在 2020 年 12 月,作为 Red Hat 支持和开发 CentOS 方式的改变的一部分,Red Hat 突然宣布将官方的 CentOS 8 支持窗口从十年缩短至仅两年,并提供支持截至 2021 年 12 月 31 日。

它造成了一种特殊情况,即做出正确的事情并迅速升级到 CentOS 8 的 CentOS 7 用户使用的操作系统只剩下一年的官方支持——而 CentOS 7 的用户在 2024 年 6 月 30 日之前仍将获得全面支持。


更糟糕的是,CentOS 的稳定版本被停止以换取滚动发布的 CentOS Stream 的事实意味着为了保护他们的工作负载,大多数 CentOS 8 用户必须选择完全不同的 Linux 发行版,只有一年的时间来选择、评估和实施替代。


红帽的意外决定突显了软件用户在多大程度上依赖官方支持窗口来确保其软件安全。无数组织现在都在争先恐后地保护或更换 CentOS 8——或者冒着依赖不再受支持的操作系统的风险,没有针对新漏洞的官方修复程序。


每个人都喜欢的免费的企业级 Linux 操作系统


想要免费运行企业级 Linux 操作系统,同时享受官方的、可预测的支持窗口吗?这就是与 CentOS 的交易。


CentOS 项目起源于一个独立项目,该项目生成了 Red Hat Enterprise Linux (RHEL) 的 1:1 二进制兼容克隆。每个 CentOS 版本都与 RHEL 完美匹配——任何在 RHEL 版本上运行的应用程序也可以在匹配的 CentOS 版本上运行,就这么简单。


CentOS 最终被 Red Hat 接管。Red Hat 的监督带来了一些好处,包括固定的可靠支持窗口,对于最近的版本,设置为 10 年。这些支持窗口确实很重要:运行数千个 Linux 实例的组织需要一个可预测的支持窗口来计划升级或迁移。


这就是 CentOS 如此划算的原因。CentOS 是一个由大型企业 Linux 播放器支持的免费企业级 Linux 操作系统——包括每个人都认为是防弹支持的承诺。


CentOS 还活着——但交易已经消失

在CentOS 8 EOL之后继续前进

CentOS 没有死。Red Hat 将继续通过 CentOS Stream 发布新版本的 CentOS,但它是一个滚动发布:更新随时可能到来,这将不可避免地意味着 CentOS Stream 很快就会与最新的 RHEL 版本不同步。


用于未来 RHEL 发行版的软件包在发布到固定的 RHEL 发行版之前,必须首先登陆 CentOS Stream。


换句话说,运行 CentOS Stream 的用户根本不知道他们会遇到哪些更新,以及这些升级会以何种方式破坏与 RHEL 的二进制兼容性。


失去二进制兼容性意味着用户失去了针对 RHEL 版本认证的应用程序将与匹配的 CentOS 版本一起工作的保证——而对于 CentOS Stream 用户来说,这可能在任何时间点发生。


CentOS Stream 破坏了与 RHEL 的二进制兼容性这一事实使保护 CentOS 8 的努力变得复杂,因为它出乎意料地结束了生命周期。因此,虽然 CentOS 以 CentOS Stream 的形式存在,但使 CentOS 如此吸引人的关键特征现在已经不复存在。


虽然 Red Hat 可能不想永远支持免费的企业级 Linux 操作系统,这在一定程度上是可以理解的,但 Red Hat 去年的公告确实令人痛心,因为它让 CentOS 8 用户陷入困境,需要保护他们的 CentOS 8 工作负载迅速。


保护 CentOS 8 机群变得至关重要


CentOS 8 支持将在短短几个月内结束,因此没有太多时间考虑保护 CentOS 8 实例。什么都不做不是一种选择,一旦 Red Hat 对 CentOS 8 的官方支持停止,将来就不会再有错误修复或新漏洞的补丁。


不受支持的操作系统会带来重大风险。新的漏洞一旦进入公共领域,就会迅速导致漏洞利用。在官方支持操作系统的地方,供应商补丁将快速解决该问题。

在CentOS 8 EOL之后继续前进

在官方支持停止的情况下并非如此,在这种情况下,用户将使用易受攻击的操作系统,除非他们尝试自己开发补丁。鉴于报告新 CVE 的速度有多快,在没有官方供应商补丁保证的情况下,用户确实无法接受。


在某些用例中,使用 CentOS 8 超过其官方支持窗口也会产生合规风险,因为一些组织将通过依赖不受支持的操作系统来处理工作负载而违反其合规义务。


保护 CentOS 8 的选项


降级到 CentOS 7 以从 Red Hat 获得额外几年的支持看起来是一个简单的解决方案,但事实并非如此——没有简单的方法可以将 CentOS 8 实例回滚到 CentOS 7。


切换和立即切换是保护 CentOS 8 工作负载的最佳方式。但是,只有在替代发行版也与 RHEL 1:1 二进制兼容的情况下,才能快速切换。


对于大多数组织来说不太可行的是切换到非二进制兼容的 Linux 替代方案——Ubuntu 或 Debian。在某些可能相对容易的用例中,但大多数 CentOS 用户需要仔细计划这样的迁移——并且执行它的速度相对较慢。只是没有足够的时间来做到这一点。


与 CentOS 8 二进制兼容的发行版


基本上有三个可行的选择。首先是 RockyLinux,它是 RHEL 的 1:1 二进制兼容克隆,由 CentOS 项目的创始人之一 Gregory Kurtzer 推出。RockyLinux 成功发布了正式版本,可以免费下载,并且二进制兼容,因此在 RHEL 上运行的所有内容在 RockyLinux 上都应该可以正常运行。


同样,AlmaLinux 是一个由 CloudLinux 赞助的社区驱动项目。AlmaLinux 还发布了一个稳定的、1:1 二进制兼容的 RHEL 克隆,并承诺每次发布新的 RHEL 版本时都会继续发布新版本。

Oracle Linux 是第三种选择:它已经建立,并且(目前至少)受到来自 Oracle 的类似铸铁支持保证的保护。Oracle Linux 8 也与 RHEL 8 1:1 二进制兼容。


有一些脚本可用于在这些发行版之间执行就地迁移,因此过程本身并不过分复杂。对于希望迁移的组织,测试部署应该(已经)现在(很久以前)开始(ed)。


争取时间来决定 CentOS 的替代品


对于许多 CentOS 用户来说,关于 CentOS 的消息是最近才出现的,正如我们所概述的——决定替代方案和准备切换需要时间,而 CentOS 8 用户现在没有这些。


作为脱离 CentOS 8 的替代方案,用户可以选择从第三方购买扩展生命周期支持。一个好的解决方案将包括在指定时间段内对关键 CentOS 8 错误修复和任何新 CVE 的覆盖。


例如,TuxCare 对 CentOS 8 的扩展生命周期支持将持续到 2025 年,并承诺以与 CentOS 团队推出更新的速度一样快(如果不是更快)的速度提供漏洞补丁。


订阅扩展支持可确保 CentOS 8 工作负载在 2021 年之后保持安全,包括应对当今网络安全环境中非常常见的新兴威胁。扩展支持也是保持符合监管要求的一种简单方法。


在 2021 年 12 月之前保护 CentOS 8 至关重要


目前依赖 CentOS 8 的用户处境艰难。目前几乎没有可行的选择来保护 CentOS 8,包括转向二进制兼容的替代方案。然而,这些选项并非没有其复杂性。许多 CentOS 8 用户现在需要的是时间。


选择扩展支持可立即确保 CentOS 8 的安全,并且是一种相对实惠的方式,可以让您有时间决定满足您要求的 CentOS 替代方案 - 无需执行仓促迁移并招致相关风险。


唯一不能选择的是忽略 CentOS 8 的快速和出乎意料的生命终结。运行超过生命周期的操作系统会产生相当大的成本。我们创建了这个计算器,让您粗略估计它可能产生的财务影响。我们还详细分析了在您的 IT 边界内运行不受支持的操作系统可能引起的问题。

从 2021 年 12 月 31 日起,CentOS 8 将越来越容易受到安全威胁的影响——在 CentOS 8 上运行的任何工作负载也是如此。对于许多购买扩展支持的组织来说,现在可能是最好的解决方案。


转载侵删