centos hostname安全设置建议

CentOS Hostname安全设置建议

一、命名规范：遵循简洁、描述性且无敏感信息的原则

• 字符与长度限制：主机名仅能包含小写字母、数字和连字符（-），禁止使用特殊字符（如下划线_、空格）或大写字母（系统会自动转换为小写）；长度需控制在1-63个字符之间（符合RFC 1123 DNS命名规范）。
• 避免易猜名称：禁用默认主机名（如localhost、www、server），防止攻击者通过猜测主机名定位目标。
• 描述性命名：采用“角色-环境-序号”格式（如web-prod-01、db-backup-02），清晰标识主机用途（web/数据库）、环境（生产/测试）和序号，便于运维管理与审计。

二、持久化配置：确保主机名重启后不变

• 使用hostnamectl命令（推荐）：通过hostnamectl set-hostname <新主机名>命令设置静态主机名（存储于/etc/hostname文件），该操作会同步更新systemd主机名状态，无需重启系统即可生效。
• 手动编辑配置文件：若无法使用hostnamectl，可直接编辑/etc/hostname文件（覆盖原有内容），修改后需重启系统生效。
• 同步更新/etc/hosts文件：修改主机名后，需编辑/etc/hosts文件，将127.0.1.1（或127.0.0.1）后的旧主机名替换为新主机名（如127.0.1.1 web-prod-01），避免本地解析异常（如MySQL、Postfix等服务启动失败）。

三、权限与访问控制：限制非授权修改

• 配置文件权限控制：通过chmod 444 /etc/hostname /etc/hosts命令设置/etc/hostname和/etc/hosts文件权限为只读（root用户仍可修改），防止非授权用户篡改主机名。
• sudo权限管理：通过visudo命令编辑sudoers文件，限制仅运维人员（如admin组）可使用hostnamectl或修改/etc/hostname文件的权限（如%admin ALL=(ALL) NOPASSWD: /usr/bin/hostnamectl set-hostname *）。

四、变更管理：监控与审计未授权更改

• 定期审计主机名：使用自动化工具（如Ansible）批量检查所有主机的/etc/hostname文件内容，确保符合命名规范；或通过journalctl -u systemd-hostnamed命令查看主机名变更日志，识别未授权操作。
• 监控系统日志：通过auditd工具记录对/etc/hostname文件的访问和修改（如-w /etc/hostname -p wa -k hostname_change），当主机名被篡改时触发告警，及时响应安全事件。

五、安全增强：结合网络与服务配置降低风险

• 锁定主机名（可选）：若系统支持，可通过hostnamectl set-hostname --static <新主机名>命令设置静态主机名，避免DHCP或其他服务动态修改主机名。
• 网络与服务配置：结合防火墙（如firewalld）限制对主机名相关端口（如DNS的53端口、SSH的22端口）的访问，仅开放必要IP段；在SSH配置（/etc/ssh/sshd_config）中启用密钥认证，避免密码泄露导致的主机名关联账户被攻破。