Нормально ли пользоваться системами Линукс, которые уже официально сняты с поддержки?

Нет, ненормально (но в крайних случаях можно).

Миграция на поддерживаемый дистрибутив.

Вообще, мне надо обновить Gogs на Centos 7.

Тебе не это надо.

Зависит от разного.

Для новых установок общего назначение – не стоит.

Если уже стоит, работает и новое ПО не надо ставить – пусть продолжает работать.

Если ПО заточено именно под данную версию ОС – придется ставить, даже если не хочется.

Всегда есть вариации: chroot, container, vm, …

Если уже стоит, работает и новое ПО не надо ставить – пусть продолжает работать.

Если торчит голой попой и сервисами в интернет, то не «пусть», опасно.

в ВТБ используют WIndows 1607 как «золотой образ». Так что вполне Ынтырпрайз. Только firewall настрой

Только firewall настрой

Файрволл никак не поможет, если наружу торчит сервис с известными уязвимостями, и торчит не по ошибке (тут бы помог), а потому что должен.

в ВТБ используют WIndows 1607 как «золотой образ»

То есть, если хреновые практики применяет крупная контора, то они становятся менее хреновыми?

Старое ПО != дырявое

Как админ энтерпрайза с 2019 года скажу – это обычная практика в случае, если обновление невозможно. Но в любом минимально адекватном месте их держат в изолированных от Интернета сетях, и часто защищают даже внутри локальной сети компании внешними файрволлами, работающими по белым спискам.

Если есть возможность обновить, то обновлять, иначе поступать неправильно. Если торчит в Интернет – еще и опасно, причем очень.

Рассмотри варианты миграции, например на 1 из 3 клонов RHEL:

У набирающей популярность Alma можно без переустановки (хотя честно скажу, что Leapp нетривиален и нужен бекап на случай неудачи): https://wiki.almalinux.org/elevate/ELevating-CentOS7-to-AlmaLinux-9.html

У Oracle Linux тоже это есть, это более старый и широко используемый в энтерпрайзе клон: https://blogs.oracle.com/scoter/post/upgrade-centos-7-to-oracle-linux-8

https://blogs.oracle.com/linux/post/upgrade-oracle-linux-8-to-oracle-linux-9-using-leapp

Rocky конечно тоже может, но не нашел официальной инструкции: https://phoenixnap.com/kb/migrate-centos-to-rocky-linux

Ну и понятное дело, с 0 можно любой поддерживаемый Linux поставить.

За редким исключением - дырявое.

На rocky по этой инструкции переезжал. Дополнительно потребовалось снести mariadb, nginx, php, openvpn, certbot перед переездом. Короче практически все вручную установленные пакеты. А после апгрейда заново их накатил. Осталось ощущение что проще было бы не заниматься этой ерундой, а просто перенакатить базовую ось, доставить нужные пакеты и развернуть для них из бэкапа конфиги с данными

Я долго, очень долго сидел на седьмой Красношапке, и слез с неё только потому, что комп физически умер. Обновлял вручную. Но мой опыт — это мой опыт, повторять его я не рекомендую.

Я долго, очень долго сидел на седьмой Красношапке

Обновлял вручную

yum update что ли? :))

Это было до юма. Компилял на самом локалхосте.

Старое ПО != дырявое

Любое ПО дырявое. Если это ПО реализует какой-то сетевой сервис, то для старых версий каталогизированы все уязвимости и можно найти готовые шелл-коды.

rpm собирали от следующих версий RH, или вобще make install?

make install. Вообще, припоминаю, целый квест был.

а я сидел на винде лет 10 без антивируса, пока его не встроили… вирусню как правило надо запустить самому: как, зачем, для чего - этими вопросы, конечно, интересны, но исчерпываются чем-то типа «человеческая глупость неизмерима»

Смотря для чего нужно. Если ради новых версий софта, которые закрывают сетевые дыры или расширяют возможности, то лучше поискать замену дистру, пока есть время. Если все работает и софт хочется обновить ради циферок новых версий, то нет. Для всякой встройки миграции-обновления бывают вообще противопоказанными.

Всем спасибо за ответы.

Нет, не нормально. Но если в локалке, то пофиг.

а я сидел на винде лет 10 без антивируса

Да все сидели, на компах из 90-х и ранних 00-х какой в пень антивирус. Просто переустанавливали шиндошс периодически. Потом правда пошли жесткие эпидемии, и стало тяжко без антивирусни. Тогда народ и потянулся к десктопному линуксу.

всеволод линуксоид админ ънтерпрайза.
этот мир уже не спасти

Какие дыры есть в текущей версии sshd в Centos7?

Можно еще ELS для CentOS купить.

Какие дыры есть в текущей версии sshd в Centos7?

А какая там текущая версия?

Вот что сходу нашлось (но возможно это успели починить, так как поддержка закончилась в июне): https://community.centminmod.com/threads/openssh-terrapin-attack-and-mitigation-for-centos-7-openssh-7-4p1.25045/

To perform the Terrapin attack in practice, we require MitM capabilities at the network layer (the attacker must be able to intercept and modify the connection’s traffic). Additionally, the connection must be secured by either ChaCha20-Poly1305 or CBC with Encrypt-then-MAC.

Проще вирус пропатчить, скомпилировать, отладить и запустить из под root’a

а я сидел на винде лет 10 без антивируса, пока его не встроили…

вирусню как правило надо запустить самому

Наглое, бесстыжее 4.2. И те, кто действительно в описанный временной период пользовался виндой, прекрасно это знают.

Достаточно было выйти в сеть с включённым JS на уязвимом браузере (привет IE, Opera, ранний FF), либо с плагинами флеша или акpобатридера. Даже необязательно было ходить по каким–то мутным помойкам, фрейм с эксплойтом можно было поймать банально из баннерных сетей, висящих на крупных и известных сайтах.

А ещё чуть раньше, в 2004, была эпидемия Sasser — там даже этого было не нужно. Хватало просто выйти в сеть и получить вредоносный пакет.

Ну, вирусы — это отдельная тема, интересная очень. Впрочем, кому как.

Когда центос в 2021 году продался, я сразу выбрал для своих серверов дебиан (их немного. 2 железных гипервизора и штук 10 виртуальных) и не спеша переводил всё на него.

Это как кариес. Чем дольше ты оттягиваешь поход к стоматологу, тем хуже.

А в недоисторические времена, то есть, не плагины на флэше и не 2004 год, а вот в предыдущие 10 лет, были ли такие уязвимости, чтобы реально что-то можно было подхватить без всяких совпадений по типу в пятницу в полночь при полной луне зайти на китайский сайт и 3 раза кликнуть на баннер с (большими) сиськами?

После W7SP1-W8 винда подтянула безопасность — UAC, пользовательские права по умолчанию, маркировка скачиваемых экзешников как небезопасные, виртуализация системных директорий, цифровые подписи для дров. Антивирус встроенный опять же (начиная с W8).

Аналогично и с браузерами — массовый отказ от флеша и плагинов, переход IE на хромиум, разделение процессов, дроп привелегий, SOP, систематический аудит и программы багбаунти. Низковисящие плоды закончились и проектирование эксплоитов для уязвимостей в браузерах становилось всё сложнее и сложнее, требуя всё большей квалификации от атакующего.

Малварь перебралась в юзермод и порядком утратила персистентность. Поэтому массовые кампании того периода — это социал инжиниринг, шифровальщики, построенные на «легальных» компонентах (python, а то и вовсе батники или powershell, дистрибутив GnuPG) и криптомайнеры. Ботоводство ушло в IoT.

Уязвимости были (та же CVE-2022-4262, например), но, в силу вышеописанных причин, это уже скорее штучный товар, продающийся за немыслимые килобаксы на чёрном рынке для целевых атак, либо приберегаемый к Pwn2Own.

На центоси без особых на то причин вообще херово сидеть, особенно вне ынтерпрайза, говорю как действующий пользователь centos 6. Но на момент инсталляции я был не очень умным.

он вспоминает времена, когда все сидели на xp, но его поддержка была прекращена… такое было, но если заходить на ютубы и нормальные сайты, то ничего кроме яндекс бара словить не получалось

на момент инсталляции я был не очень умным.

Обожаю когда люди сами себя критикуют…=)

Если мне надо на этом сервере устанавливать какое-то новое ПО

Не всегда это и в цикле поддержки возможно

И как теперь мне быть?

Вообще, мне надо обновить Gogs на Centos 7.

Используй контейнеры. Но если есть возможность - лучше перейди на поддерживаемый дистрибутив.

Переходи на репозиторий от Rackspace https://ius.io/setup Можешь прочитать страницу about https://ius.io/about

IUS is a yum repository that provides newer versions of select software for RHEL and CentOS. It started as an internal experiment at Rackspace before being transitioned into a community project

говорю как действующий пользователь centos 6.

Действующий?!? Не знаю, ИМХО, на десятилетнем CentOS'е сидеть легче, чем на 10-летней Федорой.

я был не очень

А потом что мешало установить другой дистрибутив, если раньше ставили убунту и альтлинукс?

У нас как-то в одной из контор на внешку торчал очень древний дистрибутив, в том числе там был древний bind, так регулярно его ломали. Помнится, даже админы отшучивались, что дескать это машина-линкор, бойцовская груша, которая агрит крякеров на себя, убирая их от остальной инфраструктуры.

И сменить эту машину там чето было связано с какими-то сложностями. Легче было ее поднимать каждый раз из образа.

Короче, я про что, старые дистры содержат старый софт, дыры в котором уже известны. Поэтому поломают.