Debian DHCP安全设置有哪些要点

Debian DHCP安全设置要点如下：

1. 配置文件安全

   • 编辑 /etc/dhcp/dhcpd.conf，限制IP地址范围、子网掩码等参数，避免暴露敏感信息。
   • 使用 fixed-address 为关键设备分配静态IP，减少动态分配风险。
   • 启用 authoritative 拒绝非法IP请求，或设置 ddns-update-style none 禁用动态DNS更新。

2. 访问控制

   • 通过防火墙（如 ufw 或 iptables）限制DHCP端口（UDP 67/68）仅对信任网络开放。
   • 配置MAC地址过滤，仅允许已知设备获取IP。

3. 系统与服务加固

   • 禁用root远程登录，使用普通用户+SSH密钥认证。
   • 定期更新系统和DHCP软件，安装安全补丁。
   • 关闭未使用的系统服务，降低攻击面。

4. 日志与监控

   • 启用详细日志记录（log-facility local7），定期查看 /var/log/syslog 和租约文件 /var/lib/dhcp/dhcpd.leases。
   • 部署监控工具（如Fail2ban）检测异常访问。

5. 交换机协同

   • 在交换机上启用DHCP Snooping，防止伪造DHCP服务器攻击。