La communauté Linux a été prise au dépourvu lorsqu’en décembre 2020, dans le cadre d’un changement dans la façon dont Red Hat prend en charge et développe CentOS, Red Hat a soudainement annoncé qu’il réduisait la fenêtre de support officielle de CentOS 8 de dix ans – à seulement deux, avec support se terminant le 31 décembre 2021.
Cela a créé une situation particulière où les utilisateurs de CentOS 7 qui ont fait ce qu’il fallait et qui sont passés rapidement à CentOS 8 ont été laissés à l’aide d’un système d’exploitation avec seulement un an de support officiel restant – tandis que les utilisateurs de CentOS 7 bénéficient toujours d’un support complet jusqu’au 30 juin 2024.
Pire encore, le fait que les versions stables de CentOS aient été abandonnées en échange de la version continue de CentOS Stream signifie que pour sécuriser leurs charges de travail, la plupart des utilisateurs de CentOS 8 doivent opter pour une distribution Linux entièrement différente, avec juste un an pour choisir, évaluer et mettre en œuvre. une alternative.
La décision inattendue de Red Hat a souligné à quel point les utilisateurs de logiciels dépendent des fenêtres de support officielles pour la sécurité de leurs logiciels. D’innombrables organisations doivent désormais se démener pour sécuriser ou remplacer CentOS 8 – ou courir le risque de s’appuyer sur un système d’exploitation qui n’est plus pris en charge, sans correctifs officiels pour les nouvelles vulnérabilités.
Vous souhaitez exécuter un système d’exploitation Linux de niveau entreprise et le faire gratuitement, tout en bénéficiant d’une fenêtre d’assistance officielle et prévisible ? C’était l’accord avec CentOS.
Le projet CentOS a ses racines dans un projet indépendant qui a produit un clone compatible binaire 1:1 de Red Hat Enterprise Linux (RHEL). Chaque version CentOS correspondait parfaitement à RHEL – toutes les applications qui fonctionnent sur une version RHEL fonctionnaient également sur la version CentOS correspondante, aussi simple que cela.
CentOS a finalement été repris par Red Hat. La surveillance de Red Hat a apporté certains avantages, notamment des fenêtres de support fiables et fixes qui, pour les versions récentes, étaient fixées à dix ans. Ces fenêtres de support sont vraiment importantes : les organisations qui exécutent des milliers d’instances Linux ont besoin d’une fenêtre de support prévisible pour planifier les mises à niveau ou les migrations.
Et c’est pourquoi CentOS était une si bonne affaire. CentOS était un système d’exploitation Linux gratuit de niveau entreprise pris en charge par un grand lecteur Linux d’entreprise – y compris ce que tout le monde pensait être des engagements de support à toute épreuve.
CentOS n’est pas mort. Red Hat continuera à publier de nouvelles versions de CentOS via CentOS Stream, mais il s’agit d’une version continue : les mises à jour peuvent arriver à tout moment, et cela signifiera inévitablement que CentOS Stream est rapidement désynchronisé avec la version la plus récente de RHEL.
Les packages destinés à une future version de RHEL sont garantis d’atterrir dans CentOS Stream avant que ces packages ne soient publiés dans une version RHEL fixe.
En d’autres termes, les utilisateurs qui exécutent CentOS Stream ne sauront tout simplement pas quelles mises à jour leur arriveront, et de quelle manière ces mises à niveau casseront la compatibilité binaire avec RHEL.
La perte de la compatibilité binaire signifie que les utilisateurs perdent la garantie qu’une application certifiée pour une version RHEL fonctionnera avec une version CentOS correspondante – et pour les utilisateurs de CentOS Stream, cela peut arriver à tout moment.
Le fait que CentOS Stream rompe la compatibilité binaire avec RHEL complique les efforts pour sécuriser CentOS 8 maintenant qu’il est en fin de vie de manière inattendue. Ainsi, alors que CentOS vit sous le nom de CentOS Stream, les caractéristiques clés qui ont rendu CentOS si attrayant ont maintenant disparu.
Bien qu’il soit quelque peu compréhensible que Red Hat ne veuille pas toujours prendre en charge un système d’exploitation Linux gratuit de niveau entreprise, l’annonce de Red Hat l’année dernière a été un véritable problème, car elle laisse les utilisateurs de CentOS 8 dans une situation difficile, ayant besoin de sécuriser leur CentOS. 8 charges de travail rapidement.
La prise en charge de CentOS 8 se termine dans quelques mois, il n’y a donc pas beaucoup de temps pour penser à la sécurisation des instances CentOS 8. Ne rien faire n’est pas une option, une fois que le support officiel de Red Hat pour CentOS 8 s’arrêtera, il n’y aura plus de futures corrections de bogues ou correctifs pour les nouvelles vulnérabilités.
Un système d’exploitation non pris en charge comporte des risques importants. De nouvelles vulnérabilités, une fois dans le domaine public, peuvent rapidement conduire à des exploits dans la nature. Lorsqu’un système d’exploitation est officiellement pris en charge, un correctif du fournisseur résoudra rapidement ce problème.
Ce n’est pas le cas lorsque le support officiel est interrompu, auquel cas les utilisateurs se retrouvent avec un système d’exploitation vulnérable, à moins qu’ils n’essaient de développer eux-mêmes un correctif. Compte tenu de la rapidité avec laquelle les nouveaux CVE sont signalés, il n’y a vraiment aucune fenêtre acceptable pendant laquelle un utilisateur peut se passer de la garantie des correctifs officiels des fournisseurs.
Dans certains cas d’utilisation, l’utilisation de CentOS 8 au-delà de sa fenêtre d’assistance officielle crée également un risque de conformité, car certaines organisations enfreindront leurs obligations de conformité en s’appuyant sur un système d’exploitation non pris en charge pour les charges de travail.
La rétrogradation vers CentOS 7 pour obtenir quelques années supplémentaires de support de Red Hat semble être une solution facile, mais ce n’est pas le cas – il n’y a pas de moyen simple de restaurer une instance CentOS 8 vers CentOS 7.
La commutation, et la commutation en ce moment, est le meilleur moyen de sécuriser les charges de travail CentOS 8 en l’état. Cependant, une commutation rapide n’est possible que lorsque la distribution alternative est également binaire 1:1 compatible avec RHEL.
Le passage à une alternative Linux compatible non binaire – Ubuntu ou Debian peut-être est moins faisable pour la plupart des organisations. Dans certains cas d’utilisation, cela pourrait être relativement facile, mais la plupart des utilisateurs de CentOS devraient planifier une telle migration avec soin et l’effectuer relativement lentement. Il n’y a tout simplement pas assez de temps pour le faire.
Il existe essentiellement trois options réalisables. Le premier est RockyLinux, un clone compatible binaire 1: 1 de RHEL lancé par l’un des fondateurs du projet CentOS – Gregory Kurtzer. RockyLinux a publié avec succès une version officielle, elle est téléchargeable gratuitement et elle est compatible binaire, donc tout ce qui s’exécute sur RHEL devrait fonctionner correctement sur RockyLinux.
De même, AlmaLinux est un projet communautaire parrainé par CloudLinux. AlmaLinux a également publié un clone compatible binaire 1:1 stable de RHEL et promet de continuer à publier une nouvelle édition chaque fois qu’une nouvelle version de RHEL sort.
Oracle Linux est la troisième alternative : il est établi et (au moins actuellement) protégé par des garanties de support en fonte similaires d’Oracle. Oracle Linux 8 est également binaire 1:1 compatible avec RHEL 8.
Des scripts sont disponibles pour effectuer des migrations sur place entre ces distributions, de sorte que le processus lui-même n’est pas trop compliqué. Pour les organisations qui cherchent à migrer, les déploiements de test devraient (avoir) commencé (avoir) commencé (il y a longtemps).
Pour de nombreux utilisateurs de CentOS, la nouvelle de CentOS est apparue relativement récemment et, comme nous l’avons souligné, décider d’une alternative et se préparer à changer prend du temps, ce que les utilisateurs de CentOS 8 n’ont pas pour le moment.
Au lieu de s’éloigner de CentOS 8, les utilisateurs peuvent choisir d’acheter un support de cycle de vie étendu auprès d’un tiers. Une bonne solution inclura la couverture des corrections de bogues critiques de CentOS 8 et de tout nouveau CVE pendant une période de temps spécifiée.
Par exemple, Support du cycle de vie étendu de TuxCare pour CentOS 8 court jusqu’en 2025 et promet de fournir des correctifs pour les vulnérabilités aussi rapidement, voire plus rapidement, que la vitesse à laquelle l’équipe CentOS a déployé les mises à jour.
L’abonnement à un support étendu garantit que les charges de travail CentOS 8 restent sécurisées après 2021, y compris pour les menaces nouvelles et émergentes qui sont si courantes dans l’environnement de cybersécurité d’aujourd’hui. Le support étendu est également un moyen simple de rester conforme aux exigences réglementaires.
Les utilisateurs qui comptent actuellement sur CentOS 8 sont dans une position difficile. Il existe actuellement peu d’options viables pour sécuriser CentOS 8, y compris le passage à une alternative compatible binaire. Ces options ne sont cependant pas sans complexités. Ce dont de nombreux utilisateurs de CentOS 8 ont besoin en ce moment, c’est de temps.
L’option de prise en charge étendue sécurise immédiatement CentOS 8 et est un moyen relativement abordable d’acquérir le temps de décider d’une alternative CentOS qui répond à vos besoins – sans avoir besoin d’effectuer une migration précipitée et d’encourir les risques associés.
La seule chose qui n’est pas une option est d’ignorer la fin de vie rapide et inattendue de CentOS 8. L’exécution d’un système d’exploitation après sa fin de vie entraîne des coûts considérables. Nous avons créé ce calculatrice pour vous donner une estimation approximative de l’impact financier que cela pourrait avoir. Nous avons aussi analysé en détail les problèmes pouvant découler de l’exécution d’un système d’exploitation non pris en charge à l’intérieur de votre périmètre informatique.
À partir du 31 décembre 2021, CentOS 8 deviendra de plus en plus vulnérable aux menaces de sécurité, de même que toute charge de travail exécutée sur CentOS 8. Pour de nombreuses organisations, l’achat d’un support étendu pourrait bien être la meilleure solution actuellement.