2020年12月，作为Red Hat支持和开发CentOS方式变化的一部分，Red Hat突然宣布将CentOS 8的官方支持窗口从10年缩短，Linux社区对此措手不及；只有两个，支持结束2021年12月31日。

这造成了一种特殊的情况，即CentOS 7用户做了正确的事情，并迅速升级到CentOS 8，而他们只剩下一年的官方支持了&ndash；而CentOS 7的用户在2024年6月30日之前仍能获得全面支持。

更糟糕的是，CentOS的稳定版本被停止，以换取滚动版本CentOS流，这意味着为了确保其工作负载的安全，大多数CentOS 8用户必须选择完全不同的Linux发行版，只有一年时间来选择、评估和实施替代版本。

Red Hat出人意料的决定突显了软件用户在多大程度上依赖官方支持窗口来确保软件安全。现在，无数组织都在争先恐后地保护或更换CentOS 8&ndash；或者冒着依赖不再受支持的操作系统的风险，没有针对新漏洞的正式修复。

人人都喜欢的免费企业级Linux操作系统

想运行企业级Linux操作系统并免费运行，同时享受官方的、可预测的支持窗口吗？这就是与CentOS的交易。

CentOS项目源于一个独立的项目，该项目产生了一个1:1二进制兼容的Red Hat Enterprise Linux（RHEL）克隆。CentOS的每一次发布都与RHEL&ndash完美匹配；任何在RHEL版本上工作的应用程序也在相应的CentOS版本上工作，就这么简单。

CentOS最终被Red Hat接管。Red Hat的监管带来了一些好处，包括固定可靠的支持窗口，最近的版本将其设置为10年。这些支持窗口真的很重要：运行数千个Linux实例的组织需要一个可预测的支持窗口来规划升级或迁移。

这就是为什么CentOS是一笔很好的交易。CentOS是一款由大型企业Linux播放器&ndash；包括所有人都认为是防弹的支持承诺。

CentOS还活着&ndash；但交易已经不复存在

森托斯没有死。Red Hat将继续通过CentOS Stream发布CentOS的新版本，但这是一个滚动发布：随时都可以更新，这将不可避免地意味着CentOS Stream很快与最新的RHEL版本不同步。

用于未来RHEL版本的软件包在发布到固定RHEL版本之前，保证首先进入CentOS Stream。

换句话说，运行CentOS Stream的用户根本不知道会有哪些更新，以及这些升级会以何种方式破坏与RHEL的二进制兼容性。

失去二进制兼容性意味着用户无法保证经过RHEL版本认证的应用程序将与匹配的CentOS版本配合使用&ndash；对于CentOS Stream用户来说，这种情况随时都可能发生。

CentOS Stream破坏了与RHEL的二进制兼容性，这一事实使CentOS 8的安全工作变得更加复杂，因为它已经出人意料地结束了生命。因此，尽管CentOS以CentOS Stream的形式存在，但让CentOS如此吸引人的关键特征现在已经不复存在。

虽然红帽可能不想永远支持免费的企业级Linux操作系统，这在某种程度上是可以理解的，但红帽去年的声明中有一个真正的刺痛，因为它让CentOS 8用户陷入了困境，需要快速保护他们的CentOS 8工作负载。

保护CentOS 8舰队的安全变得至关重要

CentOS 8支持将在几个月后结束，因此没有太多时间考虑保护CentOS 8实例。什么都不做不是一个选项，一旦Red Hat对CentOS 8的官方支持停止，未来就不会有针对新漏洞的错误修复或补丁。

不受支持的操作系统会带来重大风险。新的漏洞一旦进入公共领域，就会迅速导致在野外进行攻击。如果一个操作系统得到官方支持，一个供应商补丁会很快解决这个问题。

官方支持中断的情况并非如此，在这种情况下，用户只能使用易受攻击的操作系统，除非他们试图自己开发补丁。考虑到新CVE报告的速度有多快，用户在没有官方供应商补丁保证的情况下真的没有可接受的窗口。

在某些使用案例中，使用CentOS 8超过其官方支持窗口也会产生合规风险，因为一些组织会违反其合规义务，依赖不受支持的操作系统来处理工作负载。

Options for securing CentOS 8

降级到CentOS 7以从Red Hat获得额外几年的支持看起来是一个简单的解决方案，但它不是&ndash；没有简单的方法可以将CentOS 8实例回滚到CentOS 7。

切换，现在就切换，是目前保护CentOS 8工作负载的最佳方式。然而，只有在替代分布也与RHEL 1:1二进制兼容的情况下，才能快速切换。

对于大多数组织来说，不太可行的做法是转向非二进制兼容的Linux替代方案&ndash；Ubuntu，或者Debian。在某些用例中，这可能相对容易，但大多数CentOS用户需要仔细规划这种迁移&ndash；并相对缓慢地执行。只是时间不够了。

Distributions that are binary compatible with CentOS 8

基本上有三种可行的选择。首先是RockyLinux，它是CentOS项目创始人之一&ndash；格雷戈里·库尔泽。RockyLinux成功发布了一个官方版本，可以免费下载，并且它是二进制兼容的，所以在RHEL上运行的所有东西在RockyLinux上都应该运行良好。

类似地，AlmaLinux是CloudLinux赞助的社区驱动项目。AlmaLinux还发布了一个稳定的、1:1二进制兼容的RHEL克隆版本，并承诺在每次发布新的RHEL版本时都会继续发布新版本。

甲骨文Linux是第三种选择：它已经建立，并且（至少目前）受到甲骨文提供的类似铁一般的支持保证的保护。Oracle Linux 8也与RHEL 8 1:1二进制兼容。

有脚本可以在这些发行版之间执行就地迁移，因此过程本身并不过于复杂。对于希望迁移的组织来说，测试部署应该在现在（很久以前）开始。

争取时间决定CentOS的替代方案

对于许多CentOS用户来说，有关CentOS的消息是最近才出现的，正如我们所概述的&ndash；决定替代方案并准备切换需要时间，这是CentOS 8用户目前所没有的。

作为放弃CentOS 8的替代方案，用户可以选择从第三方购买扩展生命周期支持。一个好的解决方案将包括在指定的时间段内覆盖关键的CentOS 8错误修复和任何新的CVE。

例如，TuxCare对CentOS 8的延长生命周期支持将持续到2025年，并承诺尽快提供漏洞补丁；如果不超过&ndash；CentOS团队发布更新的速度。

订阅扩展支持确保CENTOS 8的工作负载保持安全超过2021，包括在当今的网络安全环境中如此普遍的新的和新出现的威胁。扩展支持也是一种保持法规遵从性的简单方法。

在DEC 2021之前确保CITOS 8是关键的

目前依赖CentOS 8的用户处境艰难。目前几乎没有可行的选项来保护CentOS 8，包括转向二进制兼容的替代方案。然而，这些选择并非没有复杂性。许多CentOS 8用户现在需要的是时间。

选择扩展支持可以立即确保CentOS 8的安全，而且是一种相对廉价的方式，可以获得时间来决定满足您需求的CentOS替代方案&ndash；无需执行仓促迁移并承担相关风险。

唯一不可选择的是忽略CentOS 8的快速而意外的生命终结。在操作系统生命周期结束后运行操作系统会产生相当大的成本。我们创建这个计算器是为了粗略估计它可能带来的财务影响。我们还详细分析了在IT周边运行不受支持的操作系统时可能出现的问题。

从2021年12月31日开始，CCENOS 8将变得越来越容易受到安全威胁。CentOS 8上运行的任何工作负载也是如此。对于许多组织来说，购买扩展支持可能是目前最好的解决方案。