ubuntu dhcp如何安全加固

Ubuntu DHCP 安全加固清单

一 基础加固

• 限定监听接口与最小权限
  • 仅让 DHCP 服务绑定到需要提供服务的接口，避免误监听其他网段。编辑 /etc/default/isc-dhcp-server，设置例如：INTERFACESv4=“eth0”。
• 配置最小化地址池与合理租约
  • 仅分配必要的地址段，避免过大地址池被滥用；结合业务设置租约，建议 default-lease-time 600（10 分钟）、max-lease-time 7200（2 小时），并在高峰期适当缩短租约以便快速回收。
• 启用主机白名单
  • 通过 host 声明仅允许受管设备获取地址，例如：
    • host pc01 { hardware ethernet AA:BB:CC:DD:EE:FF; fixed-address 192.168.1.10; }
• 加固系统与持续更新
  • 保持系统与 DHCP 软件包更新（如 isc-dhcp-server），及时修补漏洞；最小化安装、关闭不必要的服务与端口，降低攻击面。

二 网络层防护

• 启用 DHCP Snooping 阻断伪造服务器与耗尽攻击
  • 在接入/汇聚交换机上开启 DHCP Snooping，将上联/服务器所在端口设为 信任，其他接入端口设为 非信任；限制每个端口的 DHCP 报文速率，并对异常 MAC 进行隔离/告警。
• 控制 DHCP 端口访问
  • 在边界与接入防火墙仅放行 UDP 67/68（服务器 67、客户端 68），禁止其他来源/目的端口的 DHCP 流量跨网段传播。
• 部署端口安全与动态 ARP 检测
  • 结合 Port Security 限制每端口学习到的 MAC 数量，启用 DAI 校验 ARP 报文合法性，配合 Snooping 形成多层防护。

三 日志监控与审计

• 集中化日志与实时告警
  • 使用 journalctl -u isc-dhcp-server 与 /var/log/syslog 监控 DHCP 分配、拒绝与异常请求；对“大量 Discover/Request”“租约异常增长”“未知 MAC 集中出现”等设定阈值告警。
• 租约与地址池可视化
  • 定期导出与审查 租约文件（默认 /var/lib/dhcp/dhcpd.leases），关注地址池使用率、重复/冲突租约与异常续租行为。

四 配置示例与核对

• 示例 dhcpd.conf（最小安全基线）
  • 建议将 DNS 指向受控内网 DNS，网关指向受控三层设备；按需加入 host 白名单与更严格的租约策略。
    • default-lease-time 600;
    • max-lease-time 7200;
    • subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.100 192.168.1.200; option routers 192.168.1.1; option domain-name-servers 192.168.1.1; option subnet-mask 255.255.255.0; option broadcast-address 192.168.1.255; }
    • host pc01 { hardware ethernet AA:BB:CC:DD:EE:FF; fixed-address 192.168.1.10; }
• 核对清单
  • 服务仅监听指定接口（INTERFACESv4）；防火墙仅放行 UDP 67/68；交换机已启用 DHCP Snooping 且正确设置信任端口；日志与租约文件定期审查；系统与安全补丁保持最新。