笙亿网络策划

CentOS 8 停止维护后如何配置源进行安全漏洞修复

约 6 分钟读完 29 阅
文章导读
CentOS 8 已于 2021 年 12 月 31 日结束生命周期,官方主源不再提供更新。需明确:切换至 Vault 归档源仅能恢复旧包下载能力,无法修复新发现的安全漏洞。若需持续获得安全补丁,必须迁移至 AlmaLinux 或 Rocky Linux 等兼容发行版。
📋 目录
  1. A 命令速用版
  2. B 迁移前自查清单
  3. C 分步处理
  4. D 怎么验证是否生效
  5. E 迁移失败回滚方案
  6. F 常见坑
  7. G 参考来源
A A

CentOS 8 已于 2021 年 12 月 31 日结束生命周期,官方主源不再提供更新。需明确:切换至 Vault 归档源仅能恢复旧包下载能力,无法修复新发现的安全漏洞。若需持续获得安全补丁,必须迁移至 AlmaLinux 或 Rocky Linux 等兼容发行版。

先说结论:单纯配置 Vault 源无法获得 CentOS 8 的新安全更新,最稳妥方案是迁移到仍受维护的兼容系统。

  • 先判断:确认业务是否允许停机迁移,或能否承受无新补丁的安全风险
  • 优先做:使用官方迁移脚本切换到 AlmaLinux/Rocky Linux
  • 再验证:检查新系统源状态及安全更新可用性,并保留回滚备份

命令速用版

如果必须保留 CentOS 8 环境仅做维护(无新安全补丁),可切换至 Vault 源;若需安全更新,请执行迁移脚本并校验完整性。

# 方案一:切换至 Vault 归档源(无新安全补丁,仅恢复旧包下载)
sudo sed -i 's/mirror.centos.org/vault.centos.org/g' /etc/yum.repos.d/*.repo
sudo sed -i 's/#baseurl/baseurl/g' /etc/yum.repos.d/*.repo
sudo sed -i 's/metalink/#metalink/g' /etc/yum.repos.d/*.repo

# 方案二:迁移至 AlmaLinux(可获得持续安全更新)
# 1. 下载脚本
curl -o almalinux-deploy.sh -L https://raw.githubusercontent.com/AlmaLinux/almalinux-deploy/main/almalinux-deploy.sh
# 2. 校验脚本哈希(可选但推荐,防止篡改)
# sha256sum almalinux-deploy.sh 
# 3. 执行迁移
sudo bash almalinux-deploy.sh

迁移前自查清单

在执行系统级迁移前,请确认以下业务兼容性,避免迁移后服务不可用:

  • 内核依赖:检查是否有强依赖特定 CentOS 内核版本的驱动或模块
  • 第三方源:确认 Docker、Nginx 等第三方软件源是否支持目标发行版
  • 业务标识:部分软件授权绑定 CentOS 标识,迁移后可能需重新激活
  • 备份验证:确保已有完整系统快照或数据备份,且可恢复

分步处理

1. 备份当前配置

在进行任何源修改或系统迁移前,务必备份现有配置和数据。

sudo mkdir -p /root/backup_centos8
sudo cp -r /etc/yum.repos.d /root/backup_centos8/
sudo yum list installed > /root/backup_centos8/installed_packages.txt

2. 选择处理路径

如果业务无法迁移,只能切换 Vault 源维持现状;如果可以迁移,建议执行系统转换。国内服务器若访问 GitHub 超时,可尝试使用国内镜像站提供的脚本副本或配置代理。

3. 执行切换或迁移

若选择 Vault 源,执行“命令速用版”中的 sed 命令。若选择迁移,运行脚本后系统会自动重启或要求重启。

CentOS 8 停止维护后如何配置源进行安全漏洞修复

4. 配置国内镜像(可选)

迁移后若拉取更新缓慢,可替换为国内源(以 AlmaLinux 阿里云镜像为例):

cd /etc/yum.repos.d
sudo sed -i 's/mirror.almalinux.org/mirrors.aliyun.com/almalinux/g' *.repo
sudo yum clean all
sudo yum makecache

怎么验证是否生效

1. 检查源连通性

yum repolist

查看输出中是否有报错,Vault 源通常显示为 baseos、appstream 等,迁移后应显示 almalinux 或 rocky 相关标识。

2. 检查系统版本标识

cat /etc/redhat-release

迁移后该文件内容会变更为新的发行版名称。

3. 尝试检测更新

sudo yum check-update `--security`

如果切换的是 Vault 源,通常不会有新的安全更新提示;如果迁移成功,应能检测到新的安全补丁包。

CentOS 8 停止维护后如何配置源进行安全漏洞修复

迁移失败回滚方案

若迁移后出现启动失败或业务异常,需尽快回滚:

  • 未重启前:直接恢复备份的源配置 cp -r /root/backup_centos8/yum.repos.d/* /etc/yum.repos.d/ 并清理缓存。
  • 已重启且无法启动:需通过救援模式挂载原系统盘,恢复 /etc/yum.repos.d 及内核相关文件,或直接从快照恢复整机。
  • 业务异常:检查第三方软件源配置,必要时重新安装对应版本的第三方软件。

常见坑

1. 误以为 Vault 源安全

高风险:切换至 vault.centos.org 只是让 yum 命令不再报错,能安装旧软件,但并不代表系统能防御 2021 年底之后发现的新漏洞。

2. 混合使用源

不要在一个系统中同时启用 CentOS Vault 源和 AlmaLinux/Rocky 源,这会导致依赖冲突和系统不稳定。

3. 迁移脚本网络问题

部分国内服务器访问 GitHub 脚本可能超时,若下载失败,可查找国内镜像站提供的迁移脚本副本,或手动下载后上传服务器。

4. 第三方软件兼容性

迁移系统后,部分绑定 CentOS 标识的第三方软件源可能需要重新配置或调整。

参考来源

  • CentOS Blog: Future is CentOS Stream (EOL 公告) - https://blog.centos.org/2020/12/future-is-centos-stream/
  • CentOS Vault 归档站 - https://vault.centos.org/
  • AlmaLinux Deploy 迁移工具文档 - https://wiki.almalinux.org/almalinux-deploy.html
  • 阿里云 AlmaLinux 镜像站 - https://mirrors.aliyun.com/almalinux/