CentOS 8: wertlose Langzeitunterstützung

Seit gestern ist CentOS 8.2 (genaugenommen »CentOS Linux 8 (2004)«) verfügbar. CentOS 8 ist eine von Red Hat Enterprise Linux (RHEL) abgeleitete Distribution, die in der Vergangenheit über einen Zeitraum von 10 Jahre Updates versprach. Mittlerweile sind auf https://centos.org keine klaren Aussagen zum Life Cycle mehr zu finden. Stattdessen weisen die FAQs darauf hin, dass man versucht, Minor Releases von RHEL innerhalb von vier bis acht Wochen nachzubilden.

Dessen ungeachtet hat die Update-Versorgung für CentOS 7 immer ziemlich gut funktioniert, auch wenn es zwischen den Minor Releases zu einer Lücke in der Update-Versorgung von üblicherweise 4 bis 5 Wochen kam.

Deutlich schlechter sieht die Aktualisierung von CentOS 8 aus. Seit CentOS 8.0 im Sep. 2019 erschienen ist (von heute aus gerechnet vor 266 Tagen), hat es über 147 Tage Updates gegeben, während zwei Zeiträumen von insgesamt 119 Tagen aber keine Updates.

Update-Versorgung seit dem Release von CentOS 8.0, Stand 16.6.2020. Der ganze Kreis entspricht dem Zeitraum eines Jahres.

Technische Hintergründe

Wo ist eigentlich das Problem? Dass CentOS 8.2 erst 48 Tage nach RHEL 8.2 fertig wurde, wäre den meisten CentOS-Anwendern vermutlich ziemlich egal. Allerdings kann CentOS im Zeitraum zwischen dem RHEL-Minor-Release und dem entsprechenden CentOS-Minor-Release auch keine Updates zur Verfügung stellen. Die Update-Versorgung setzt voraus, dass das gesamte Minor Release nachgebaut werden kann — und das ist (auch wegen der mit RHEL 8 eingeführten Modularisierung) aufwändig.

Anders formuliert: Jedes Mal, wenn RHEL ein neues Minor Release vorstellt, unterbricht CentOS (und übrigens auch Oracle Linux) die Update-Versorgung, bis die eigene Variante des Minor Release fertig ist. CentOS-Anwender mussten ihre Systeme deswegen von Nov. 2019 bis Jän. 2020 (71 Tage) und von April 2020 bis Juni 2020 (48 Tage) ohne Updates betreiben.

Dass es schneller geht, beweist Oracle. Das Minor-Release 8.1 wurde innerhalb von 10 Tagen veröffentlicht, jenes für 8.2 innerhalb von 8 Tagen.

Verzögerungen in Tagen zwischen den Releases von RHEL, CentOS und Oracle Linux

Anmerkung: Eigentlich gibt es gar kein »CentOS 8.1« oder »CentOS 8.2«. Stattdessen heißen die Versionen »CentOS Linux 8 (1911)« bzw. »CentOS Linux 8 (2004)«, wobei sich die Nummer 1911 oder 2004 auf Jahr und Monat des entsprechenden RHEL-Release beziehen. Der Einfachheit halber bleibe ich in diesem Artikel aber bei den durch RHEL vorgegebenen Versionsbezeichnungen.

Firmenpolitik

Red Hat hat sich das CentOS-Entwicklerteam 2014 einverleibt. Das kann man positiv sehen (Red Hat zahlt die CentOS-Entwickler), oder kritisch.

Mein persönlicher Eindruck ist, dass Red Hat (inzwischen genaugenommen IBM) CentOS zu Tode spart. Gleichzeitig müssen die wenigen Kapazitäten auch noch für neue Aufgaben (CentOS Stream) ausreichen.

Die unausgesprochene Wahrheit lautet: Wer Red Hat produktiv einsetzen will, soll dafür zahlen und nicht in Versuchung geführt werden, CentOS zu verwenden. Möglicherweise wird das dem anderen noch verfügbaren RHEL-Klon, nämlich Oracle Linux, neuen Auftrieb schaffen.

Fazit: Für den Produktiveinsatz nicht mehr geeignet

Der wochenlange Betrieb eines Servers ohne Update ist aus Sicherheitsgründen nicht zu empfehlen. Nun muss natürlich jeder Administrator für sich entscheiden, was zu lange ist: Zwei Tage ohne Updates? Zwei Wochen? Zwei Monate?

Wer Server für milliardenschwere Unternehmen oder für kritische Infrastruktur betreibt, ist diesbezüglich schon bisher keine Kompromisse eingegangen und hat eben eine Lizenz für RHEL erworben. Aber für eine kleinere Firmenwebsite war CentOS 7 in der Vergangenheit aus meiner Sicht ein tragbarer Kompromiss (und ist es bis heute). Für CentOS 8 ist das nicht mehr der Fall.

Damit wurde CentOS 8 zur Test- und Unterrichts-Plattform degradiert.

Quellen

Update 19.6.2020

Nachdem Nicolas Kovacs eine Zusammenfassung und einen Link zu diesem Artikel in die CentOS-Mailingliste gesendet hat, wurde das Thema auch dort diskutiert — allerdings ohne nennenswerte Resultate. Die langen Update-Lücken werden zwar bedauert, aber es hätte auch in der Vergangenheit keine Garantie für schnelle Updates gegeben.

Bei CentOS 8 sei alles noch komplizierter, und das CentOS-Team arbeite hart daran, das bestmögliche CentOS zu liefern. Mehr geht nicht. Johnny Hughes vom CentOS-Team: I am working my butt off everyday to make CentOS Linux the best it can be.

Johnny Hughes sieht die Zukunft in CentOS Stream, einer Art Rolling-Release-Development-Version von RHEL. Tatsächlich könnte das die Update-Lücken beheben. Allerdings ist CentOS Stream keine stabile Langzeit-Distribution, sondern ein Angebot für Entwickler. Vielleicht nicht so experimentell wie Fedora, aber eben auch nichts für den den Produktivbetrieb.

Andere Diskutanten sagen sinngemäß: Wer CentOS produktiv verwendet, ist eben selbst schuld.

https://lists.centos.org/pipermail/centos/2020-June/thread.html