本月30日，CentOS 7将正式停服。

凭借开源免费、稳定、硬件兼容性等特性，CentOS深受中国乃至全世界厂商、开发者和用户的青睐，应用范围极为广泛。

停服停更，对于广大用户来说也是一项巨大的考验，这意味着用户将无法获得官方补丁安装支持和系统升级，使用CentOS的用户，也将面临巨大的安全漏洞隐患，需要寻找应对的解决方案。

一、CentOS停服对用户带来哪些影响？

具体而言，CentOS停止服务对用户的影响主要来源于四个方面：

安全漏洞风险：无法获取安全补丁来修复高风险的CVE漏洞，这为漏洞攻击留下了可乘之机；

软件功能风险：不再发布新版本软件包，缺乏新功能、新架构支持；

技术支持风险：CentOS停止更新后，不会再有企业级的技术支持；

系统迁移风险：迁移到其他版本的Linux，需要考虑如何保证业务连续性，还需应对系统安全性、软件兼容性等一系列问题。

二、停服进入倒计时，用户该如何应对？

CentOS停服进入倒计时，深信服建议用户应抓住最后的时间窗口尽快完成系统迁移，从长远出发尽可能规避停服带来的不利影响。如因特殊情况暂时无法迁移，也应提前做好针对性安全加固，降低停服所带来的安全风险。

1.尽快完成资产梳理

为了准确评估停服的影响面，建议用户尽快完成本单位CentOS资产盘点，全面梳理现有的CentOS服务器操作系统使用现状，包括在用数量、系统替代、安全加固等有关情况。

考虑到主机可能分布在多个部门、二级单位，盘点工作量往往非常巨大，且通过人工的形式非常容易留下“漏网之鱼”。

对此，用户可自行下载nmap等开源扫描工具对全网进行扫描，全面梳理单位内的CentOS资产。

针对已采购深信服MSS的用户，也可安排深信服MSS服务经理对单位全网进行扫描，帮助发现CentOS资产，并形成相应的资产台账。

2.确定合适的迁移路线

考虑到停服的重大影响，针对满足迁移条件的系统建议尽快完成迁移，制定专项推进计划，在CentOS停服前，彻底完成系统切换。

在确定迁移的系统之后，需要充分考虑业务连续性及稳定性、数据一致性及完整性等要求，系统性评估迁移过程中可能导致的风险，提前筹划双轨运行计划，并提前进行业务备份。

针对CentOS停服，当前主要有以下三种常见的迁移路线：

利旧迁移：在尽量不变更底层硬件和上层业务应用的原则下，以最小化的成本，将现有应用系统中使用的 CentOS 更换为目标操作系统；

扩容迁移：给应用系统增加新的服务器并在其上部署目标操作系统；

新建部署：使用新的底层软硬件，独立支撑部署新开发或改造后应用系统。

以上三种迁移路线，迁移周期及相关投入存在较大的差异，用户可结合自身情况，选择最适合自身的路线。

3.有序执行迁移计划

部分用户波及的资产数量巨大，对迁移过程中的进程管理也是不小的考验。如缺少专门工具，负责人为了掌握迁移进展，需要定期询问对接人，工作量大效率低。过程中也往往面临各部门主机管理员迁移进展慢、不按时迁移的问题，导致进程受阻，难以达成预定目标。

对此，深信服建议用户针对梳理出来的CentOS安装端点安全软件，形成专项资产台账，并针对迁移进度做定期通报。

针对深信服aES用户，可借助产品的资产清点功能，自动梳理单位内的CentOS资产变化情况，针对长时间未迁移的资产，可通过aES资产隔离的方式，禁止与其他资产通信，加快迁移进展。

4.做好针对性安全防护

由于时间不足，以及迁移可行性和业务连续性存在特殊要求等原因，部分CentOS无法第一时间完成迁移。近年来由于使用停服后系统导致的安全事件屡见不鲜，对于到期未迁移的CentOS操作系统，用户需要重点加强针对性安全防护，同时对漏洞进行长期监测，避免事件爆发造成影响和损失。

考虑到对CentOS的漏洞和威胁监测需要耗费大量额外的时间精力，用户也应客观考虑现有的安全专职人员的专业性和精力分配，并做好安全加固措施，降低系统层面漏洞攻击风险：

部署终端安全软件，并通过漏洞检查策略功能，新增对CentOS资产的监测策略，定期导出资产的漏洞情况，并通报给各资产管理员，督促整改；

针对CentOS资产，通过数据中心防火墙配置策略，限制其主动外连，同时通过零信任网关进行暴露面收缩，限制外部对CentOS的非法越权访问；

部署XDR平台，通过网+端的关联分析，生成完整的攻击链，有效发现针对CentOS的漏洞利用攻击行为；

针对安全专职人员不足的用户，可通过MSS安全托管服务，实现CentOS资产的7*24小时安全监测与处置响应；

针对失陷的主机，通过终端安全软件进行资产隔离，禁止与其他资产通信，避免攻击扩大化。