Linux DHCP服务器如何确保网络安全

Linux DHCP服务器网络安全加固清单

基础加固

• 保持软件与系统为最新版本，及时修补漏洞（如更新 ISC DHCP）。
• 严格管控配置与租约文件权限：
  • /etc/dhcp/dhcpd.conf：chmod 640，root:dhcpd
  • /var/lib/dhcp/dhcpd.leases：chmod 640，dhcpd:dhcpd
• 仅监听指定接口（避免误监听外网口）：
  • 在 Debian/Ubuntu 的 /etc/default/isc-dhcp-server 中设置：INTERFACESv4=“eth0”
  • 在 RHEL/CentOS 的 /etc/sysconfig/dhcpd 中设置：DHCPDARGS=eth0
• 精简配置，禁用不需要的功能（如 BOOTP），并启用权威模式 authoritative; 拒绝非法地址请求。
• 启用详细日志并落盘：在 dhcpd.conf 中加入 option log-facility local7;，在 rsyslog 配置 local7. /var/log/dhcpd.log* 并定期审计。

访问控制与地址治理

• 精细化地址分配：为关键主机做 MAC 绑定静态分配，减少 IP 欺骗与滥用。
• 控制客户端范围：使用 allow/deny unknown-clients; 仅对受管设备分配地址。
• 合理设置租约：在公共或高风险网段缩短 default-lease-time / max-lease-time，降低被长期占用的风险。
• 启用 ping-check on; ping-timeout 2; 做地址冲突检测，避免重复分配。
• 防范 DHCP 饿死与伪造：在交换机启用 DHCP Snooping，仅上联/服务器端口设为 trust，其余为 untrust；启用速率检测、绑定表校验续租/释放报文，必要时限制每端口最大客户端数。

网络层与主机层防护

• 防火墙仅放行 DHCP 端口：服务器应仅接收 UDP 67（服务器）/68（客户端）。示例（iptables）：
  • 允许来自受管网段：-A INPUT -p udp -s 192.168.1.0/24 --dport 67:68 -j ACCEPT
  • 其余来源一律丢弃：-A INPUT -p udp --dport 67:68 -j DROP
• 防中间人：结合 DHCP Snooping 绑定表 启用 DAI（动态 ARP 检查） 或静态 ARP，确保 ARP 与绑定表一致才转发。
• 接入控制：在接入层启用 802.1X，未认证设备不进入 VLAN，无法获取 DHCP 地址。
• 链路加密：对跨域/不可信链路，使用 IPSec 对 DHCP 相关流量进行加密，降低嗅探与篡改风险。

监控审计与应急响应

• 持续监控与告警：集中采集并分析 /var/log/dhcpd.log，关注异常 DISCOVER/OFFER/REQUEST/ACK 洪泛、未知主机大量请求、频繁续租失败等迹象。
• 定期审计与基线化：核对 dhcpd.conf 与租约文件变更、比对接口监听状态与防火墙规则，形成配置基线并定期复核。
• 事件响应：发现仿冒 DHCP 服务器或地址池异常时，立即隔离可疑端口/设备、回滚最近配置变更、检查交换机 DHCP Snooping/DAI 策略与服务器日志，必要时缩短租约并临时收紧地址池。