ubuntu dhcp如何安全防护

Ubuntu DHCP 安全防护指南

一 基础加固

• 限定监听接口与最小权限运行：在 /etc/default/isc-dhcp-server 中仅保留需要监听的接口（如 INTERFACESv4=“ens33”），以 dhcpd 专用低权账户运行，避免以 root 直接暴露服务。
• 精确配置地址池与静态保留：在 /etc/dhcp/dhcpd.conf 中仅开放必要的地址段，避开网关、DNS、管理地址；对关键设备使用 host 静态绑定（hardware ethernet + fixed-address），减少地址被抢占空间。
• 合理设置租约：办公网建议 default-lease-time 600–1800（10–30 分钟）、max-lease-time 7200（2 小时）；访客/无线可按需更短，便于快速回收。
• 精简与校验配置：删除不必要的全局选项，核对子网掩码、网关、DNS 一致性；变更前先备份 /etc/dhcp/dhcpd.conf 并使用 dhcpd -t 做语法检查。
• 日志与审计：启用系统日志（如 rsyslog）集中采集 DHCP 日志，定期审计异常租约、频繁续租与未知 MAC。
• 及时更新：保持 Ubuntu 与 ISC DHCP 补丁为最新，修复已知漏洞。

二 网络层防护

• 启用 DHCP Snooping：在接入/汇聚交换机上将上联到合法 DHCP 服务器 的端口设为 信任，其余接入端口设为 非信任，非信任端口的 DHCP 响应报文将被丢弃，从根本上阻断“假冒 DHCP 服务器”。
• 防 DHCP 耗尽与洪泛：在 Snooping 基础上开启 DHCP 报文速率检测/限速 与 最大客户端数量 限制，抑制伪造请求导致的地址池枯竭与 DoS。
• 绑定表校验与 ARP 防护：基于 Snooping 绑定表对 DHCP 续租/释放 报文进行合法性校验，并联动 DAI（Dynamic ARP Inspection） 只允许与绑定表一致的 ARP 转发，降低中间人风险。
• 接入控制：结合 802.1X 或 NAC 对接入终端做身份认证，未通过认证的设备不授予网络访问与 DHCP 服务。

三 主机与边界防护

• 防火墙最小化放行：仅允许来自受控 VLAN/网段的 UDP 67/68（服务器 67、客户端 68），并限制源/目的地址与接口；使用 UFW 示例：sudo ufw allow from 192.168.1.0/24 to any port 67 proto udp、sudo ufw allow in on ens33 to any port 68 proto udp。
• 端口与协议安全：在交换机上对非信任端口限制 UDP 67/68 的入站访问，仅放通上联/服务器端口，减少恶意主机注入 DHCP 报文的机会。
• 服务器加固：关闭不必要的服务与端口，启用 AppArmor/SELinux（如可用），对配置文件与租约数据库设置严格的文件权限与完整性校验。

四 监控与应急响应

• 实时监控与告警：监控 可用地址数、租约使用率、异常请求速率 等指标，接近阈值或出现异常增长时及时告警并处置。
• 日志分析与取证：集中收集并保留 DHCP 请求/ACK/NAK 日志，结合 MAC/IP/VLAN/端口 信息溯源可疑终端与伪造服务器。
• 快速处置流程：
  1. 立即隔离可疑端口或设备（关闭/阻断 VLAN/端口）；
  2. 在交换机上临时收紧或关闭相关 DHCP Snooping/DAI 策略以止血，再恢复为安全基线；
  3. 检查并修正 dhcpd.conf（地址池、静态绑定、租约），必要时回滚到备份；
  4. 重启 isc-dhcp-server 并验证：sudo systemctl restart isc-dhcp-server、sudo systemctl status isc-dhcp-server；
  5. 更新系统与软件补丁，复盘事件并完善监控/ACL/NAC 策略。

五 最小化配置示例

• 示例 /etc/dhcp/dhcpd.conf（按需调整网段与地址）：

  default-lease-time 600;     # 10 分钟
  max-lease-time 7200;     # 2 小时
  
  subnet 192.168.1.0 netmask 255.255.255.0 {
    range 192.168.1.100 192.168.1.200;
    option routers 192.168.1.254;
    option domain-name-servers 192.168.1.254;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.1.255;
  
    # 关键设备静态绑定示例
    host printer01 {
      hardware ethernet aa:bb:cc:dd:ee:ff;
      fixed-address 192.168.1.10;
    }
  }
  

• 启动与验证要点：
  • 指定监听接口：INTERFACESv4="ens33"（编辑 /etc/default/isc-dhcp-server）
  • 语法检查：dhcpd -t
  • 重启与状态：sudo systemctl restart isc-dhcp-server、sudo systemctl status isc-dhcp-server
  • 客户端验证：dhclient <接口名> 或重启网络，确认获取到 192.168.1.100–200 范围内的地址。