Linux中DHCP安全设置有哪些

1. 防御DHCP攻击（核心安全机制）

• 抵御DHCP饿死攻击：启用DHCP Snooping功能（需交换机支持），该功能会记录DHCP客户端MAC地址与IP地址的对应关系，过滤掉伪造的DHCP请求，防止攻击者通过海量请求耗尽服务器地址池。同时可配置DHCP报文上送速率检测，超出阈值的报文将被丢弃。
• 防范DHCP服务器伪造：在交换机上配置“信任/非信任”模式，将与合法DHCP服务器直接连接的接口设为“信任”（如ip dhcp snooping trust），其余接口设为“非信任”，拒绝来自非信任接口的DHCP响应，避免非法服务器冒充。
• 防止DHCP中间人攻击：通过DHCP Snooping绑定表校验DHCP续租、释放报文的合法性（匹配成功则转发，否则丢弃）；并结合ARP防中间人攻击功能，仅允许ARP报文与绑定表信息一致的设备通信，阻断中间人篡改ARP表的企图。

2. 精细化配置管理（降低风险隐患）

• 精简配置文件：编辑/etc/dhcp/dhcpd.conf，移除不必要的选项（如domain-name-servers可注释掉，避免客户端动态更新DNS记录），仅保留必需的网络参数（子网、地址池、路由等），减少配置漏洞。
• 缩短租约时间：设置较短的default-lease-time（如600秒，1小时）和max-lease-time（如7200秒，1天），降低IP地址被恶意占用的风险，便于快速回收异常地址。
• MAC地址绑定（静态分配）：为已知设备（如服务器、打印机）配置固定IP地址，通过host语句实现（如hardware ethernet 00:11:22:33:44:55; fixed-address 192.168.1.20;），防止IP欺骗和未经授权的设备接入。

3. 网络设备协同防护（构建多层防御）

• 启用DHCP Snooping：在交换机上全局开启DHCP Snooping（ip dhcp snooping），并针对需要保护的VLAN配置（如ip dhcp snooping vlan 10），确保仅信任接口能转发DHCP响应。
• 基于802.1x的访问控制：采用802.1x标准控制网络访问，要求设备通过身份验证（如用户名/密码、数字证书）后才能连接网络并请求DHCP服务，阻止非法设备接入。
• 配置交换机静态ARP表：在交换机上为合法DHCP服务器和关键设备配置静态ARP表项，防止ARP欺骗攻击，确保IP与MAC地址的对应关系可信。

4. 系统与服务加固（提升自身安全性）

• 使用防火墙限制流量：通过iptables或firewalld配置规则，仅允许DHCP请求（UDP 67端口）和响应（UDP 68端口）通过，拒绝其他无关流量（如iptables -A INPUT -p udp --dport 67:68 -j ACCEPT; iptables -A INPUT -p udp --dport 67:68 -j DROP）。
• 配置文件与目录权限控制：设置/etc/dhcp/dhcpd.conf的权限为640（chmod 640 /etc/dhcp/dhcpd.conf），所有者为root，所属组为dhcpd；租约文件/var/lib/dhcp/dhcpd.leases的权限为640，所有者为dhcpd，防止未经授权的修改。
• 启用地址冲突检测：在DHCP配置文件中开启ping-check on;和ping-timeout 2;，服务器在分配IP前会发送ICMP ping包检测地址是否已被占用，避免IP冲突。
• 定期更新软件：使用包管理器（如apt、yum）定期更新DHCP服务器软件（如ISC DHCP、dnsmasq），修补已知安全漏洞，降低被攻击的风险。

5. 监控与审计（及时发现异常）

• 启用详细日志记录：在DHCP配置文件中设置option log-facility local7;，然后在/etc/rsyslog.conf或/etc/rsyslog.d/50-default.conf中添加local7.* /var/log/dhcpd.log，将DHCP请求、响应等日志记录到单独文件中，便于后续审计。
• 实时监控与告警：使用监控工具（如Nagios、Zabbix）实时监控DHCP服务器的状态（如CPU、内存使用率、租约数量），设置异常告警（如租约数量突然激增），及时处理潜在安全事件。