CentOS服务器操作系统停服应对实践指南中国软件评测中心（工业和信息化部软件与集成电路促进中心）麒麟软件有限公司统信软件技术有限公司2021年12月31日 1版权声明本指南版权属于编制单位，受法律保护。转载、摘编或其他方式使用本指南内容的，请注明出处。 2前言2020年底，红帽公司宣布2021年底停止维护CentOS8，2024年6月30日停止维护CentOS7。这意味着在全球使用广泛的开源CentOS服务器操作系统将停服，后续将无法获得官方升级和补丁。为应对CentOS停服带来的网络安全风险，保障应用系统安全稳定运行，相关操作系统厂商（如麒麟软件有限公司、统信软件技术有限公司）及开源社区已形成对CentOS进行更换或安全接管的解决方案。在此背景下，中国软件评测中心（工业和信息化部软件与集成电路促进中心）联合麒麟软件有限公司（以下简称麒麟）、统信软件技术有限公司（以下简称统信）进行专题研究，基于典型应用实践，编制形成《CentOS服务器操作系统停服应对实践指南》，梳理服务器操作系统部署应用的实践方法、关键步骤、注意事项、典型场景和主要软硬件产品及组件兼容情况等，并给出服务器操作系统安全维护策略，为面临CentOS停服风险的用户提供参考。由于编者水平所限，指南中难免有疏漏和不足之处，敬请读者批评指正。（注：本指南中凡麒麟、统信同时出现，排序均不分先后） 3参编人员（排序不分先后）：翟艳芬曾晋庄金鑫吕韬董军平姜照松张楠张鹏任紫东殷志桐詹学徐梦江 I目录一、CentOS停服影响分析及应对建议...........................................1二、服务器操作系统部署应用实践.................................................1（一）评估规划和技术准备.......................................................21.盘点评估：摸底CentOS使用情况，综合评估制定CentOS应对计划，选定拟实施迁移的应用系统.............................22.迁移准备：做好应用系统迁移工作计划，完成软硬件兼容适配，并在实验环境下进行应用系统部署.....................5（二）测试验证和迁移实施.......................................................71.实验验证：制定生产环境部署策略、数据迁移策略，进行数据迁移验证和应用系统测试.........................................72.业务切换：基于验证、测试制定迁移割接方案，稳步实施应用系统迁移和业务切换.................................................8（三）运行验证和正式上线.......................................................91.试运行：在生产环境下对应用系统进行测试验证，监测发现并解决潜在问题及异常状况.........................................92.上线运维：用户经评估后正式上线应用系统，开展日常监控运维，保障应用系统稳定运行...................................10（四）典型场景.........................................................................111.应用系统迁移类型及特点...............................................112.应用系统部署方式及迁移策略.......................................12 II三、服务器操作系统服务支持和安全保障..................................13（一）技术服务支持.................................................................13（二）系统安全维护.................................................................141.发现漏洞.............................................................................142.补丁获取.............................................................................153.补丁发布.............................................................................154.实施修复.............................................................................15（三）CentOS安全维护方案...................................................15 1一、CentOS停服影响分析及应对建议CentOS停服后将无法再得到官方的系统升级和补丁安装支持，一旦新的安全漏洞出现，易被黑客利用，将面临宕机、服务中断、数据泄露等风险，网络安全风险陡增。用户应充分认识和研判相关风险及影响，尽早谋划、主动应对，在做好调研摸底基础上，结合本单位信息化规划，制定整体应对工作计划。对于已经或将停服的CentOS版本，建议尽早更换为质量可靠、具有持续服务能力的其他服务器操作系统；对于因技术原因暂难以更换的，则需采取必要的安全维护措施，保障应用系统稳定安全运行；对于新建的应用系统，则可直接选用其他服务器操作系统。二、服务器操作系统部署应用实践对已承载应用系统的服务器操作系统进行更换部署不是简单的系统重装，而是较为复杂的系统工程，涉及到操作系统与其下层的硬件板卡和其上搭载的基础软件、应用软件及业务系统的适配、迁移甚至重构，需要在专业技术力量支持下开展。基于相关实践，可将此过程划分为“评估规划和技术准备”、“测试验证和迁移实施”、“运行验证和正式上线”3个阶段，包括“盘点评估”、“迁移准备”、“实验验证”、“业务切换”、“试运行”、“上线运维”6个环节。 2（一）评估规划和技术准备1.盘点评估：摸底CentOS使用情况，综合评估制定CentOS应对计划，选定拟实施迁移的应用系统（1）工作内容1）对应用系统进行细致调研盘点。用户在操作系统厂商和应用开发商协助下，全面梳理本单位内使用CentOS的信息化应用系统（如开发测试系统、办公OA系统、一般业务系统、关键业务系统等）建设使用情况，包括全栈软硬件、运行环境、系统重要程度、业务运行（性能、并发量、业务量等）、建设及运营方等情况。2）制定CentOS停服应对计划，选定拟实施迁移的应用系统。综合考虑应用系统应用情况、架构、软硬件兼容性等因素，分析将应用系统及相关软硬件（如有需要）迁移至其他操作系统的可行性，遵循由易到难、尽早应对的原则，结合整体信息化规划，统筹制定开展CentOS更换的工作计划，并选定下一步拟进行CentOS更换的应用系统。对于受系统架构、软件接口绑定等因素影响，短期内难以进行更换的CentOS，用户可依托相关产业力量，做好安全接管服务和应急响应，保障存量系统稳定安全运行（详见本指南第三部分）。应用系统迁移可行性主要考虑如下六方面因素，若同时满足各相关因素，则该应用系统具备良好的迁移条件；若仅部分满足，则可根据具体情况按照难度、工作量衡量可行性。 3a.应用系统是否为典型业务系统。典型业务系统是具有一定用户规模、频繁并长期使用的系统，对其进行迁移更利于发现迁移过程中的潜在问题、验证迁移后的效果、改进迁移方法，更具示范意义。b.应用系统是否为独立系统或与其他应用系统耦合较少。此类应用系统的迁移能够避免迁移过程中多系统间的联调测试工作，更易于迁移。c.是否能够得到应用系统开发方的技术支持。应用系统若由用户IT部门自研，或其开发商能够积极配合，则能够更好掌握代码和接口情况，便于更好开展适配改造，加快测试验证过程，缩短迁移工作周期。若得不到开发方的支持，应用系统的改造将面临较大困难和更多工作量。此外，应用系统若为用户统建，则能获得更好的决策支持以及更多的资源投入。d.应用系统是否为B/S架构。B/S架构（浏览器/服务器）相较于C/S架构（客户端/服务器），基本仅需做服务器端适配改造而无需做客户端改造（部分依赖ActiveX控件开发的前端浏览器页面仍涉及一定改造工作），能够减少工作量。若是C/S架构，则涉及到更多的客户端改造调试工作。e.应用系统开发语言是否具备较好的跨平台属性。如，Java语言具有“一次编译，到处运行”的跨平台特性和对以往版本良好的兼容性，其开发的应用程序基于Java虚拟机运行，大部分情况下可实现从原运行环境平滑迁移至新运行环境，代码层 4面适配改造工作量较少。对于C/C++、Python等开发语言开发的应用系统，对操作系统的依赖包及接口调用可能存在差异，加之开发语言版本间兼容性问题，需借助迁移适配评估工具等评估代码改造工作量（详见“迁移准备”环节）。f.应用系统使用的基础硬件（CPU、内存、网卡、显卡、FC卡、硬盘等）和开发组件、中间件、数据库、专用软件等软件是否与拟采用的服务器操作系统适配兼容。参考操作系统厂商或社区提供的软硬件适配清单（如附件提供的部分软硬件产品及组件兼容性列表），对应用系统使用的软硬件进行初步的兼容性评估。若相关软硬件已适配兼容，则适配改造工作量将大大减少。若存在尚未适配的软硬件，则需要应用开发商、操作系统厂商等结合实际情况进一步评估（详见“迁移准备”环节）。3）规划匹配应用系统迁移所需的软硬件资源及团队。根据其迁移时实际需要，规划匹配所需的实验环境资源、备份资源或新增的软硬件资源，如整机、云/虚拟化/容器资源池、所需软件及组件、运行环境（备份容灾、安全防护）等。同时，由操作系统厂商、应用开发商、用户等各方组建固定的专项工作团队，明确各方工作职责，确保在后续工作中能稳定投入、协作配合。4）提前进行风险评估并制定应对策略。用户、操作系统厂商、应用开发商结合应用系统特点，共同评估迁移中可能遇到的风险，针对业务连续性及稳定性、数据一致性及完整性等要 5求，提前筹划双轨运行、在线数据保护、数据备份、数据一致性及完整性验证等方面策略。（2）各参与方任务【用户IT部门】开展应用系统调研，制定CentOS停服应对计划，针对拟实施迁移的应用系统，规划匹配所需的软硬件资源。【操作系统厂商】提供应用系统迁移建议，进行软硬件兼容性评估。【应用开发商】配合提供应用系统运行环境及参数。2.迁移准备：做好应用系统迁移工作计划，完成软硬件兼容适配，并在实验环境下进行应用系统部署（1）工作内容1）确定迁移类型和部署方式。根据用户信息化规划、预算和拟迁移应用系统实际情况，确定迁移类型和部署方式。迁移类型包括利旧、扩容和新建三类；部署方式包括分布式集群、主备、单机三类。不同迁移类型、部署方式的特点、适用情况或注意事项详见“（四）典型场景”部分。2）制定应用系统迁移工作计划。根据应用系统盘点结果，结合用户实际需求，对软硬件兼容适配、系统部署及测试、系统迁移及切换、试运行及上线等方面进行统筹考虑，形成迁移工作计划。3）搭建迁移验证实验环境。按照尽可能接近最终生产环境 6的原则，搭建应用系统迁移验证所需的基础设施、运行环境等实验环境，操作系统厂商部署目标操作系统和迁移适配评估工具。4）开展软硬件兼容适配。对应用系统所涉及的硬件、软件、组件与操作系统进行适配验证和改造优化。操作系统厂商、开源社区提供的迁移