CentOS7.9を何とかする話

Centos7.9をなんとかしたい

ちなみに
画像は、私が撮影した写真をChatgpt4Vに食わせて、DALL-E3に食わせるプロントを生成して、それをさらにいじって。。。生成しました。

さて、みなさんCentOS7.9をどうにかしないと思っているひとり情シスの方は多いのではないでしょうか？
私もその一人です。

何とか、サポート終了の令和６年６月末までリプレースしないと。。。
と
その前に、脆弱性対応はどうする？
というのが、今回の記事です。
結論から言うと、いまだに私も苦労していて、解決策がありません。
これまでのジタバタを報告します。

脆弱性を確認する
まずは7.9までアップデートしてみる
もう一度脆弱性を確認する
結局、早く移行するしかない

脆弱性を確認する

脆弱性を効率よく確認する方法をとして、OSSのVulsを使いました。
Vuls〜OSSの脆弱性検知ツール〜 | OSSのデージーネット
Vuls（VULnerabilityScanner）は、オープンソースソフトウェアのLinuxやFreeBSDを対象にした脆弱性診断ツールです。運用管理しているサーバにインストールされているソフトウェアの情報を自動で把握できたり、コンテナの脆弱性スキャンも行います。
www.designet.co.jp
インストールの方法は、こちらが良いかと思います。IPAのサイトにもあるのですが、ちゃんと動きません。
脆弱性検知ツールVulsの、きちんと動く構築手順
zenn.dev
上のサイトの手順でも
goval-dictionary fetch redhat 7 9でエラーになるのですが、どうやらovalのサイトがリニュアルしたようです。
https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2
www.redhat.com
こちらが新しいサイトです。
ソースちょっといじらないと、動きません。
実行
vuls scan localhost
レポート出力
vuls report -format-one-line-text
その結果
One Line Summary
================
localhost       Total: 172 (Critical:12 High:77 Medium:69 Low:13 ?:1)   0/172 Fixed     1733 installed  41 poc  0 exploits  cisa: 0, uscert: 2, jpcert: 4 alerts

tuiというコマンドで、詳細が表示されますので、まずはCriticalから潰すとしましょう。

まずは7.9までアップデートしてみる

7.4でしたので、yum updateで7.9までアップグレードします。１５分程度で終了しました。
合わせて、 yum –security update　を実行します。準備は以下のサイトがおすすめです。
CentOS7 での yum –security update 事情 «  LANCARD.LAB｜ランカードコムのスタッフブログ
www.lancard.com

もう一度脆弱性を確認する

実行
vuls scan localhost
レポート出力
vuls report -format-one-line-text
その結果は・・・・多少は減りましたが、期待するほどではありません。

結局、早く移行するしかない

Centos7.9の延命するためのサービスもあるようですが、結局早く移行するしかないという結論になりました。
しかし、vulsは脆弱性を管理するには、中々良いなと感じました。
インストールはちょっと手こずりましたが、重宝しています。