CLOUD技术笔记CentOS 7 与 CentOS 8.2 在网络配置和安全策略方面的主要区别如下:
一、网络配置差异
-
网络管理工具
- CentOS 7:默认使用
network-scripts(/etc/sysconfig/network-scripts/ifcfg-*),通过systemctl管理network服务。 - CentOS 8.2:默认推荐使用
NetworkManager,并逐步弃用network-scripts(仍可安装但不再默认提供)。nmcli和nmtui成为主要配置工具。
- CentOS 7:默认使用
-
网络栈与性能
- CentOS 8.2 内核版本更高(基于 Linux 4.18+),支持:
- eBPF 增强网络过滤和性能分析。
- TCP BBR 拥塞控制(需手动启用)。
- 改进的 Wi-Fi 和 IPv6 支持。
- CentOS 8.2 内核版本更高(基于 Linux 4.18+),支持:
-
DNS 配置
- CentOS 7:DNS 配置通常写在
/etc/resolv.conf或ifcfg文件中。 - CentOS 8.2:默认由
NetworkManager管理 DNS,支持每连接 DNS 配置,避免手动修改/etc/resolv.conf被覆盖。
- CentOS 7:DNS 配置通常写在
-
网络服务管理
- CentOS 8.2 引入
cockpit作为可选 Web 管理界面,提供图形化网络配置(默认端口 9090)。
- CentOS 8.2 引入
二、安全策略差异
-
防火墙管理
- CentOS 7:默认使用
firewalld(动态防火墙),替代旧版iptables。 - CentOS 8.2:继续使用
firewalld,但版本更新,支持:- 更灵活的
nftables后端(CentOS 8 默认使用nftables替代iptables)。 - 改进的 区域规则和富规则语法。
- 更灵活的
- CentOS 7:默认使用
-
SELinux 增强
- CentOS 8.2 更新了 SELinux 策略模块,支持更多应用(如容器环境)。
- 默认策略更严格,并优化了性能。
-
安全工具与库
- CentOS 8.2 提供:
- OpenSSL 1.1.1+(支持 TLS 1.3)。
- Libreswan 3.3+(IPsec XX 实现)。
scap-security-guide更新,支持更多安全基线(如 CIS 基准)。
- CentOS 8.2 提供:
-
身份验证与加密
- CentOS 8.2 默认使用 SHA-512 密码哈希(CentOS 7 为 SHA-256)。
- 支持 智能卡和生物识别认证(通过
pam-u2f等模块)。
-
容器安全
- CentOS 8.2 集成 Podman 和 Buildah(无需守护进程),默认启用用户命名空间隔离,安全性优于 Docker 传统模式。
三、其他关键变化
-
软件包管理
- CentOS 7:使用
yum(基于 Python 2)。 - CentOS 8.2:使用
dnf(基于 Python 3,性能更好),保留yum作为兼容性别名。
- CentOS 7:使用
-
内核实时补丁
- CentOS 8.2 支持
kpatch动态内核补丁(需订阅),减少重启需求。
- CentOS 8.2 支持
-
系统生命周期
- CentOS 7 支持至 2024 年 6 月。
- CentOS 8.2 支持至 2021 年 12 月(因 CentOS 8 战略调整提前结束,建议迁移至 CentOS Stream 或替代发行版)。
四、迁移注意事项
- CentOS 7 → 8.2:
- 网络配置需转换为
NetworkManager(可使用nmcli导入)。 - 防火墙规则需检查
nftables兼容性。 - 安全策略需重新评估(如 SELinux 上下文、加密协议)。
- 网络配置需转换为
总结
CentOS 8.2 在网络配置上更现代化(NetworkManager + nftables),安全功能更强(TLS 1.3、容器安全等),但因其生命周期已结束,建议新部署选择 CentOS Stream、Rocky Linux 或 AlmaLinux 等后续替代发行版。
