如何在Ubuntu上配置DHCP安全设置

Ubuntu 上配置 DHCP 安全设置

一 基础安全配置

• 安装与最小配置：仅安装必要组件，配置最小地址池与合理租约，避免资源被长期占用或频繁续租放大攻击面。
  • 安装：sudo apt update & & sudo apt install isc-dhcp-server -y
  • 配置示例 /etc/dhcp/dhcpd.conf：
    • subnet 192.168.1.0 netmask 255.255.255.0 {
      • range 192.168.1.100 192.168.1.200;
      • option routers 192.168.1.1;
      • option domain-name-servers 8.8.8.8, 8.8.4.4;
      • default-lease-time 600; max-lease-time 7200;
      • }
• 指定监听接口：编辑 /etc/default/isc-dhcp-server，仅监听内网接口（避免误监听公网）。
  • INTERFACESv4=“eth0”
• 主机访问控制：通过 host 声明仅允许受管设备获取地址（白名单）。
  • host office-pc { hardware ethernet AA:BB:CC:DD:EE:FF; fixed-address 192.168.1.50; }
• 防火墙最小化放行：仅开放 UDP 67/68（服务器/客户端），并限制来源网段（示例为 192.168.1.0/24）。
  • sudo ufw allow from 192.168.1.0/24 to any port 67,68 proto udp
  • sudo ufw reload
• 服务加固与日志：确保服务仅以最小权限运行，开启日志并持续监控异常。
  • sudo systemctl restart isc-dhcp-server & & sudo systemctl enable isc-dhcp-server
  • 查看状态：sudo systemctl status isc-dhcp-server
  • 实时日志：sudo journalctl -u isc-dhcp-server -f
  • 传统日志：tail -f /var/log/syslog | grep dhcpd
• 系统与安全维护：保持系统与 DHCP 组件更新，及时修补漏洞。
  • sudo apt update & & sudo apt upgrade

二 防范常见攻击

• 防 DHCP 饿死与滥用：限制地址池规模、设置合理租约（如默认 10 分钟、最大 2 小时），并启用主机白名单，降低被耗尽风险。
• 防仿冒 DHCP 服务器：在接入交换机启用 DHCP Snooping，将上联/合法 DHCP 接口设为 信任，其余设为 非信任，阻断伪造 DHCP 响应。
• 端口与协议安全：仅允许受控网段访问 UDP 67/68，并在边界防火墙做精细化策略，避免全网可达。
• 监控与预警：持续监控已分配地址数、租约使用率与异常请求频率，出现大量请求或地址紧张时及时告警与处置。

三 进阶与网络侧措施

• 动态 DNS 与一致性：启用 DDNS 保持 DHCP 分配与 DNS 记录一致，减少因地址变化导致的访问中断与服务异常。
• 多子网与中继：跨网段部署时，在三层交换机/路由器配置 DHCP 中继（ip helper），将请求转发至合法 DHCP 服务器，减少部署多台服务器带来的风险暴露面。
• 服务器冗余与分区：关键网络建议部署 主备 DHCP 或按 VLAN/区域 划分作用域，缩小故障域与攻击影响范围。

四 快速验证与排错

• 服务与连通性：确认服务运行、端口监听与租约发放正常。
  • sudo systemctl status isc-dhcp-server
  • ss -ulnp | grep :67
  • 客户端：dhclient -v eth0 或重启网络，检查是否获取到 192.168.1.100–200 范围内的地址
• 日志与审计：实时查看 DHCP 分配与错误日志，定位异常 MAC、重复请求与拒绝原因。
  • sudo journalctl -u isc-dhcp-server -f
  • tail -f /var/log/syslog | grep dhcpd
• 防火墙与网络侧：核对仅放通必要来源与端口，交换机侧确认 DHCP Snooping 策略生效。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！