技术博客

    技术博客  >  CentOS系统停服进入倒计时,用户该如何应对?
    CentOS系统停服进入倒计时,用户该如何应对?
    背景图 2024-06-11 10:52:41

    本月30日,CentOS 7将正式停服。

    凭借开源免费、稳定、硬件兼容性等特性,CentOS深受中国乃至全世界厂商、开发者和用户的青睐,应用范围极为广泛。

    停服停更,对于广大用户来说也是一项巨大的考验,这意味着用户将无法获得官方补丁安装支持和系统升级,使用CentOS的用户,也将面临巨大的安全漏洞隐患,需要寻找应对的解决方案。

    CentOS停服对用户带来哪些影响?

    具体而言,CentOS停止服务对用户的影响主要来源于四个方面:

    安全漏洞风险:无法获取安全补丁来修复高风险的CVE漏洞,这为漏洞攻击留下了可乘之机;

    • 软件功能风险:不再发布新版本软件包,缺乏新功能、新架构支持;
    • 技术支持风险:CentOS停止更新后,不会再有企业级的技术支持;
    • 系统迁移风险:迁移到其他版本的Linux,需要考虑如何保证业务连续性,还需应对系统安全性、软件兼容性等一系列问题。

    停服进入倒计时,用户该如何应对?

    CentOS停服进入倒计时,深信服建议用户应抓住最后的时间窗口尽快完成系统迁移,从长远出发尽可能规避停服带来的不利影响。如因特殊情况暂时无法迁移,也应提前做好针对性安全加固,降低停服所带来的安全风险。

    尽快完成资产梳理

    为了准确评估停服的影响面,建议用户尽快完成本单位CentOS资产盘点,全面梳理现有的CentOS服务器操作系统使用现状,包括在用数量、系统替代、安全加固等有关情况。

    考虑到主机可能分布在多个部门、二级单位,盘点工作量往往非常巨大,且通过人工的形式非常容易留下“漏网之鱼”。

    对此,用户可自行下载nmap等开源扫描工具对全网进行扫描,全面梳理单位内的CentOS资产。

    针对已采购深信服MSS的用户,也可安排深信服MSS服务经理对单位全网进行扫描,帮助发现CentOS资产,并形成相应的资产台账。

    确定合适的迁移路线

    考虑到停服的重大影响,针对满足迁移条件的系统建议尽快完成迁移,制定专项推进计划,在CentOS停服前,彻底完成系统切换。

    在确定迁移的系统之后,需要充分考虑业务连续性及稳定性、数据一致性及完整性等要求,系统性评估迁移过程中可能导致的风险,提前筹划双轨运行计划,并提前进行业务备份

    针对CentOS停服,当前主要以下三种常见的迁移路线:

    • 利旧迁移:在尽量不变更底层硬件和上层业务应用的原则下,以最小化的成本,将现有应用系统中使用的 CentOS 更换为目标操作系统;
    • 扩容迁移:给应用系统增加新的服务器并在其上部署目标操作系统;
    • 新建部署:使用新的底层软硬件,独立支撑部署新开发或改造后应用系统。

    以上三种迁移路线,迁移周期及相关投入存在较大的差异,用户可结合自身情况,选择最适合自身的路线。

    有序执行迁移计划

    部分用户波及的资产数量巨大,对迁移过程中的进程管理也是不小的考验。如缺少专门工具,负责人为了掌握迁移进展,需要定期询问对接人,工作量大效率低。过程中也往往面临各部门主机管理员迁移进展慢、不按时迁移的问题,导致进程受阻,难以达成预定目标。

    对此,深信服建议用户针对梳理出来的CentOS安装端点安全软件形成专项资产台账,并针对迁移进度做定期通报。

    针对深信服aES用户,可借助产品的的资产清点功能,自动梳理单位内的CentOS资产变化情况,针对长时间未迁移的资产,可通过aES资产隔离的方式,禁止与其他资产通信,加快迁移进展。

    做好针对性安全防护

    由于时间不足,以及迁移可行性和业务连续性存在特殊要求等原因,部分CentOS无法第一时间完成迁移。近年来由于使用停服后系统导致的安全事件屡见不鲜,对于到期未迁移的CentOS操作系统,用户需要重点加强针对性安全防护,同时对漏洞进行长期监测,避免事件爆发造成影响和损失。

    考虑到对CentOS的漏洞和威胁监测需要耗费大量额外的时间精力,用户也应客观考虑现有的安全专职人员的专业性和精力分配,并做好安全加固措施,降低系统层面漏洞攻击风险

    • 部署终端安全软件,并通过漏洞检查策略功能,新增对CentOS资产的监测策略,定期导出资产的漏洞情况,并通报给各资产管理员,督促整改;
    • 针对CentOS资产,通过数据中心防火墙配置策略,限制其主动外连,同时通过零信任网关进行暴露面收缩,限制外部对CentOS的非法越权访问;
    • 部署XDR平台,通过网+端的关联分析,生成完整的攻击链,有效发现针对CentOS的漏洞利用攻击行为;
    • 针对安全专职人员不足的用户,可通过MSS安全托管服务,实现CentOS资产的7*24小时安全监测与处置响应;
    • 针对失陷的主机,通过终端安全软件进行资产隔离,禁止与其他资产通信,避免攻击扩大化。

     

    为了帮助用户顺利完成CentOS迁移及安全加固,深信服可免费提供以下服务支持,扫码即可获取:

    • 免费aES软件测试资源支持
    • 免费提供30天云备份服务
    • 免费提供一年期10C信创超融合授权