新浪新闻客户端

CentOS系统停服进入倒计时,用户该如何应对?

CentOS系统停服进入倒计时,用户该如何应对?
2024年06月17日 17:10

  本月30日,CentOS 7将正式停服。

  凭借开源免费、稳定、硬件兼容性等特性,CentOS深受中国乃至全世界厂商、开发者和用户的青睐,应用范围极为广泛。

  停服停更,对于广大用户来说也是一项巨大的考验,这意味着用户将无法获得官方补丁安装支持和系统升级,使用CentOS的用户,也将面临巨大的安全漏洞隐患,需要寻找应对的解决方案。

  一、CentOS停服对用户带来哪些影响?

  具体而言,CentOS停止服务对用户的影响主要来源于四个方面:

  安全漏洞风险:无法获取安全补丁来修复高风险的CVE漏洞,这为漏洞攻击留下了可乘之机;

  软件功能风险:不再发布新版本软件包,缺乏新功能、新架构支持;

  技术支持风险:CentOS停止更新后,不会再有企业级的技术支持;

  系统迁移风险:迁移到其他版本的Linux,需要考虑如何保证业务连续性,还需应对系统安全性、软件兼容性等一系列问题。

  二、停服进入倒计时,用户该如何应对?

  CentOS停服进入倒计时,深信服建议用户应抓住最后的时间窗口尽快完成系统迁移,从长远出发尽可能规避停服带来的不利影响。如因特殊情况暂时无法迁移,也应提前做好针对性安全加固,降低停服所带来的安全风险。

  1.尽快完成资产梳理

  为了准确评估停服的影响面,建议用户尽快完成本单位CentOS资产盘点,全面梳理现有的CentOS服务器操作系统使用现状,包括在用数量、系统替代、安全加固等有关情况。

  考虑到主机可能分布在多个部门、二级单位,盘点工作量往往非常巨大,且通过人工的形式非常容易留下“漏网之鱼”。

  对此,用户可自行下载nmap等开源扫描工具对全网进行扫描,全面梳理单位内的CentOS资产。

  针对已采购深信服MSS的用户,也可安排深信服MSS服务经理对单位全网进行扫描,帮助发现CentOS资产,并形成相应的资产台账。

  2.确定合适的迁移路线

  考虑到停服的重大影响,针对满足迁移条件的系统建议尽快完成迁移,制定专项推进计划,在CentOS停服前,彻底完成系统切换。

  在确定迁移的系统之后,需要充分考虑业务连续性及稳定性、数据一致性及完整性等要求,系统性评估迁移过程中可能导致的风险,提前筹划双轨运行计划,并提前进行业务备份

  针对CentOS停服,当前主要有以下三种常见的迁移路线:

  旧迁移:在尽量不变更底层硬件和上层业务应用的原则下,以最小化的成本,将现有应用系统中使用的 CentOS 更换为目标操作系统;

  扩容迁移:给应用系统增加新的服务器并在其上部署目标操作系统;

  新建部署:使用新的底层软硬件,独立支撑部署新开发或改造后应用系统。

  以上三种迁移路线,迁移周期及相关投入存在较大的差异,用户可结合自身情况,选择最适合自身的路线。

  3.有序执行迁移计划

  部分用户波及的资产数量巨大,对迁移过程中的进程管理也是不小的考验。如缺少专门工具,负责人为了掌握迁移进展,需要定期询问对接人,工作量大效率低。过程中也往往面临各部门主机管理员迁移进展慢、不按时迁移的问题,导致进程受阻,难以达成预定目标。

  对此,深信服建议用户针对梳理出来的CentOS安装端点安全软件形成专项资产台账,并针对迁移进度做定期通报。

  针对深信服aES用户,可借助产品的资产清点功能,自动梳理单位内的CentOS资产变化情况,针对长时间未迁移的资产,可通过aES资产隔离的方式,禁止与其他资产通信,加快迁移进展。

  4.做好针对性安全防护

  由于时间不足,以及迁移可行性和业务连续性存在特殊要求等原因,部分CentOS无法第一时间完成迁移。近年来由于使用停服后系统导致的安全事件屡见不鲜,对于到期未迁移的CentOS操作系统,用户需要重点加强针对性安全防护,同时对漏洞进行长期监测,避免事件爆发造成影响和损失。

  考虑到对CentOS的漏洞和威胁监测需要耗费大量额外的时间精力,用户也应客观考虑现有的安全专职人员的专业性和精力分配,并做好安全加固措施,降低系统层面漏洞攻击风险

  部署终端安全软件,并通过漏洞检查策略功能,新增对CentOS资产的监测策略,定期导出资产的漏洞情况,并通报给各资产管理员,督促整改;

  针对CentOS资产,通过数据中心防火墙配置策略,限制其主动外连,同时通过零信任网关进行暴露面收缩,限制外部对CentOS的非法越权访问;

  部署XDR平台,通过网+端的关联分析,生成完整的攻击链,有效发现针对CentOS的漏洞利用攻击行为;

  针对安全专职人员不足的用户,可通过MSS安全托管服务,实现CentOS资产的7*24小时安全监测与处置响应;

  针对失陷的主机,通过终端安全软件进行资产隔离,禁止与其他资产通信,避免攻击扩大化。

  (来源:News快报)

责任编辑:何奎良

资产centos深信服

举报邮箱:jubao@vip.sina.com

Copyright © 1996-2024 SINA Corporation

All Rights Reserved 新浪公司 版权所有