本月30日，CentOS 7將正式停服。

憑借開源免費、穩定、硬件兼容性等特性，CentOS深受中國乃至全世界廠商、開發者和用戶的青睞，應用范圍極為廣泛。

停服停更，對于廣大用戶來說也是一項巨大的考驗，這意味著用戶將無法獲得官方補丁安裝支持和系統升級，使用CentOS的用戶，也將面臨巨大的安全漏洞隱患，需要尋找應對的解決方案。

CentOS停服對用戶帶來哪些影響？

具體而言，CentOS停止服務對用戶的影響主要來源于四個方面：

安全漏洞風險：無法獲取安全補丁來修復高風險的CVE漏洞，這為漏洞攻擊留下了可乘之機；

• 軟件功能風險：不再發布新版本軟件包，缺乏新功能、新架構支持；
• 技術支持風險：CentOS停止更新后，不會再有企業級的技術支持；
• 系統遷移風險：遷移到其他版本的Linux，需要考慮如何保證業務連續性，還需應對系統安全性、軟件兼容性等一系列問題。

停服進入倒計時，用戶該如何應對？

CentOS停服進入倒計時，深信服建議用戶應抓住最后的時間窗口盡快完成系統遷移，從長遠出發盡可能規避停服帶來的不利影響。如因特殊情況暫時無法遷移，也應提前做好針對性安全加固，降低停服所帶來的安全風險。

盡快完成資產梳理

為了準確評估停服的影響面，建議用戶盡快完成本單位CentOS資產盤點，全面梳理現有的CentOS服務器操作系統使用現狀，包括在用數量、系統替代、安全加固等有關情況。

考慮到主機可能分布在多個部門、二級單位，盤點工作量往往非常巨大，且通過人工的形式非常容易留下“漏網之魚”。

對此，用戶可自行下載nmap等開源掃描工具對全網進行掃描，全面梳理單位內的CentOS資產。

針對已采購深信服MSS的用戶，也可安排深信服MSS服務經理對單位全網進行掃描，幫助發現CentOS資產，并形成相應的資產臺賬。

確定合適的遷移路線

考慮到停服的重大影響，針對滿足遷移條件的系統建議盡快完成遷移，制定專項推進計劃，在CentOS停服前，徹底完成系統切換。

在確定遷移的系統之后，需要充分考慮業務連續性及穩定性、數據一致性及完整性等要求，系統性評估遷移過程中可能導致的風險，提前籌劃雙軌運行計劃，并提前進行業務備份。

針對CentOS停服，當前主要以下三種常見的遷移路線：

• 利舊遷移：在盡量不變更底層硬件和上層業務應用的原則下，以最小化的成本，將現有應用系統中使用的 CentOS 更換為目標操作系統；
• 擴容遷移：給應用系統增加新的服務器并在其上部署目標操作系統；
• 新建部署：使用新的底層軟硬件，獨立支撐部署新開發或改造后應用系統。

以上三種遷移路線，遷移周期及相關投入存在較大的差異，用戶可結合自身情況，選擇最適合自身的路線。

有序執行遷移計劃

部分用戶波及的資產數量巨大，對遷移過程中的進程管理也是不小的考驗。如缺少專門工具，負責人為了掌握遷移進展，需要定期詢問對接人，工作量大效率低。過程中也往往面臨各部門主機管理員遷移進展慢、不按時遷移的問題，導致進程受阻，難以達成預定目標。

對此，深信服建議用戶針對梳理出來的CentOS安裝端點安全軟件，形成專項資產臺賬，并針對遷移進度做定期通報。

針對深信服aES用戶，可借助產品的的資產清點功能，自動梳理單位內的CentOS資產變化情況，針對長時間未遷移的資產，可通過aES資產隔離的方式，禁止與其他資產通信，加快遷移進展。

做好針對性安全防護

由于時間不足，以及遷移可行性和業務連續性存在特殊要求等原因，部分CentOS無法第一時間完成遷移。近年來由于使用停服后系統導致的安全事件屢見不鮮，對于到期未遷移的CentOS操作系統，用戶需要重點加強針對性安全防護，同時對漏洞進行長期監測，避免事件爆發造成影響和損失。

考慮到對CentOS的漏洞和威脅監測需要耗費大量額外的時間精力，用戶也應客觀考慮現有的安全專職人員的專業性和精力分配，并做好安全加固措施，降低系統層面漏洞攻擊風險：

• 部署終端安全軟件，并通過漏洞檢查策略功能，新增對CentOS資產的監測策略，定期導出資產的漏洞情況，并通報給各資產管理員，督促整改；
• 針對CentOS資產，通過數據中心防火墻配置策略，限制其主動外連，同時通過零信任網關進行暴露面收縮，限制外部對CentOS的非法越權訪問；
• 部署XDR平臺，通過網+端的關聯分析，生成完整的攻擊鏈，有效發現針對CentOS的漏洞利用攻擊行為；
• 針對安全專職人員不足的用戶，可通過MSS安全托管服務，實現CentOS資產的7*24小時安全監測與處置響應；
• 針對失陷的主機，通過終端安全軟件進行資產隔離，禁止與其他資產通信，避免攻擊擴大化。

為了幫助用戶順利完成CentOS遷移及安全加固，深信服可免費提供以下服務支持，掃碼即可獲?。?/strong>