Linux DHCP安全设置指南

Linux DHCP安全设置指南

一 基础加固

• 保持软件与系统为最新版本，及时修补漏洞（如更新 ISC DHCP 软件包）。
• 严格管控配置文件与租约文件权限：
  • /etc/dhcp/dhcpd.conf：chmod 640 /etc/dhcp/dhcpd.conf；chown root:dhcpd /etc/dhcp/dhcpd.conf
  • /var/lib/dhcp/dhcpd.leases：chmod 640 /var/lib/dhcp/dhcpd.leases；chown dhcpd:dhcpd /var/lib/dhcp/dhcpd.leases
• 仅监听指定接口（避免暴露到不该提供服务的网段）：
  • 在 Debian/Ubuntu 的 /etc/default/isc-dhcp-server 中设置：INTERFACESv4=“eth0”
• 启用权威模式，拒绝非法地址请求：authoritative;
• 精简配置，移除不必要的 option 与参数，降低攻击面。
• 启用详细日志并落盘：在 dhcpd.conf 中加入 option log-facility local7;，在 /etc/rsyslog.conf 增加 local7. /var/log/dhcpd.log*，随后重启 rsyslog。

二 网络与交换机侧防护

• 启用 DHCP Snooping：将与合法 DHCP 服务器相连的接口设为信任，其余接口设为非信任，丢弃来自非信任端口的 DHCP 响应，阻断伪装服务器。
• 防御 DHCP 报文洪泛/饿死攻击：开启 DHCP 报文速率检测，超出速率的报文直接丢弃。
• 防止 DHCP 报文伪造：用 Snooping 绑定表校验 DHCP REQUEST/RELEASE 的 IP/MAC/VLAN/端口一致性，不匹配则丢弃。
• 限制接入的 DHCP 客户端数量，达到上限后拒绝新的地址申请，缓解资源耗尽。
• 防中间人：结合 DHCP Snooping 绑定表 + DAI（动态 ARP 检测） 或静态 ARP，只有与绑定表一致的 ARP 报文才转发。
• 接入控制：在接入层启用 802.1X，仅允许认证通过的设备发起 DHCP 请求。

三 防火墙与访问控制

• 仅允许 DHCP 流量进入服务器：
  • iptables 示例：
    • 允许来自受管网段的 DHCP 报文：iptables -A INPUT -p udp --dport 67 -s 192.168.1.0/24 -j ACCEPT；iptables -A INPUT -p udp --dport 68 -s 192.168.1.0/24 -j ACCEPT
    • 丢弃其他来源的 DHCP 报文：iptables -A INPUT -p udp --dport 67 -j DROP；iptables -A INPUT -p udp --dport 68 -j DROP
  • 如使用 UFW，仅对受管网段放行 UDP 67/68。
• 将 DHCP 服务与管理系统隔离到管理 VLAN，减少来自用户侧的直接访问。

四 配置示例与验证

• 最小安全配置示例（/etc/dhcp/dhcpd.conf，按需调整网段与地址池）：

  authoritative;
  option log-facility local7;
  
  subnet 192.168.1.0 netmask 255.255.255.0 {
      range 192.168.1.100 192.168.1.200;
      option routers 192.168.1.1;
      option subnet-mask 255.255.255.0;
      option domain-name-servers 192.168.1.3;
      default-lease-time 21600;   # 6小时
      max-lease-time 43200;     # 12小时
  }
  
  # 已知设备静态绑定（防IP欺骗）
  host important-client {
      hardware ethernet 00:1a:2b:3c:4d:5e;
      fixed-address 192.168.1.100;
  }
  

• 应用与验证：
  • 重启服务并确认监听接口与权威模式生效；
  • 查看日志：tail -f /var/log/dhcpd.log；
  • 检查租约分配：cat /var/lib/dhcp/dhcpd.leases；
  • 在交换机上核对 DHCP Snooping 绑定表是否生成正确的 IP/MAC/VLAN/端口 记录。

五 运维与持续监控

• 持续更新系统与 ISC DHCP，定期审计配置与日志，发现异常及时处置。
• 实时监控 DHCP 运行状态与日志，关注异常请求速率、非法服务器响应、地址池消耗等迹象。
• 结合网络侧的 DHCP Snooping/DAI/802.1X 策略，形成多层防护闭环。