centos dhcp如何安全加固

CentOS DHCP 安全加固清单

一 服务端加固

• 限制可分配地址与启用白名单
  • 在 /etc/dhcp/dhcpd.conf 中仅定义必要的 subnet/range，对已知设备使用 host 主机声明做固定绑定，未授权设备一律拒绝：

    deny unknown-clients;
    host server01 {
      hardware ethernet 00:11:22:33:44:55;
      fixed-address 192.168.1.10;
    }
    

  • 固定绑定示例与批量脚本在生产中便于审计与回收，变更后执行 systemctl restart dhcpd 生效。
• 仅监听必要接口
  • 编辑 /etc/sysconfig/dhcpd，将 DHCPDARGS 设为内网接口（如 ens33），避免暴露到不受信任网络：

    DHCPDARGS="ens33"
    

• 精细化租约与网络参数
  • 合理设置 default-lease-time / max-lease-time，仅下发必要的 routers、subnet-mask、domain-name-servers 等选项，减少信息暴露面。
• 动态 DNS 的安全更新
  • 如启用 DDNS，建议使用 TSIG 密钥并限制更新范围：

    ddns-update-style interim;
    ignore client-updates;
    update-static-leases on;
    
    key "rndc-key" {
      algorithm hmac-md5;
      secret "c3Ryb25nLWVuY3J5cHRlZC1rZXkK";
    }
    zone example.com. {
      primary 192.168.1.1;
      key rndc-key;
    }
    

• 访问控制与最小权限
  • 通过 firewalld 仅放行 UDP 67/68（DHCP 服务器/客户端端口），避免对全网开放：

    firewall-cmd --permanent --add-service=dhcp
    firewall-cmd --reload
    

  • 保持 SELinux 为 enforcing，仅在排障时临时切换为 permissive 验证问题，切勿长期关闭。
• 日志、备份与变更管控
  • 启用并集中日志：使用 journalctl -u dhcpd -f 或查看 /var/log/messages；定期备份 /etc/dhcp/dhcpd.conf 与 /var/lib/dhcpd/dhcpd.leases，变更前后做差异比对与回滚预案。

二 客户端加固

• 最小配置与必要校验
  • 在 /etc/dhcp/dhclient.conf 中使用 require 强制获取关键参数，用 supersede 覆盖不安全或不应由服务器下发的选项，并设置合理的 timeout/retry：

    supersede domain-name-servers 8.8.8.8, 8.8.4.4;
    supersede domain-name "example.com";
    require subnet-mask, domain-name-servers;
    timeout 30;
    retry 5;
    

• 静态地址替代
  • 对不需要动态地址的主机，直接在网卡配置中使用 BOOTPROTO=static，减少 DHCP 依赖与攻击面。
• 日志与更新
  • 将 dhclient 日志纳入 rsyslog 统一审计；定期更新系统与 DHCP 客户端组件，修复已知漏洞。

三 网络层防护

• 启用 DHCP Snooping（接入交换机）
  • 将与合法 DHCP 服务器直连的端口设为 信任，其余端口设为 非信任，丢弃来自非信任端口的 DHCP 响应，阻断伪装服务器。
  • 启用 DHCP 报文速率限制 与 绑定表校验，防御报文洪泛与伪造（续租/释放报文需与绑定表匹配才转发）。
  • 基于绑定表生成 静态 MAC 表项 并限制接口可接入的 最大 DHCP 客户端数量，缓解拒绝服务风险。
  • 结合 ARP 防中间人能力，仅允许与绑定表一致的 ARP 报文通过，降低 ARP 欺骗 影响。

四 快速核查清单