centos dhcp如何安全加固
导读:CentOS DHCP 安全加固清单 一 服务端加固 限制可分配地址与启用白名单 在 /etc/dhcp/dhcpd.conf 中仅定义必要的 subnet/range,对已知设备使用 host 主机声明做固定绑定,未授权设备一律拒绝:...
CentOS DHCP 安全加固清单
一 服务端加固
- 限制可分配地址与启用白名单
- 在 /etc/dhcp/dhcpd.conf 中仅定义必要的 subnet/range,对已知设备使用 host 主机声明做固定绑定,未授权设备一律拒绝:
deny unknown-clients; host server01 { hardware ethernet 00:11:22:33:44:55; fixed-address 192.168.1.10; } - 固定绑定示例与批量脚本在生产中便于审计与回收,变更后执行
systemctl restart dhcpd生效。
- 在 /etc/dhcp/dhcpd.conf 中仅定义必要的 subnet/range,对已知设备使用 host 主机声明做固定绑定,未授权设备一律拒绝:
- 仅监听必要接口
- 编辑 /etc/sysconfig/dhcpd,将
DHCPDARGS设为内网接口(如 ens33),避免暴露到不受信任网络:DHCPDARGS="ens33"
- 编辑 /etc/sysconfig/dhcpd,将
- 精细化租约与网络参数
- 合理设置 default-lease-time / max-lease-time,仅下发必要的 routers、subnet-mask、domain-name-servers 等选项,减少信息暴露面。
- 动态 DNS 的安全更新
- 如启用 DDNS,建议使用 TSIG 密钥并限制更新范围:
ddns-update-style interim; ignore client-updates; update-static-leases on; key "rndc-key" { algorithm hmac-md5; secret "c3Ryb25nLWVuY3J5cHRlZC1rZXkK"; } zone example.com. { primary 192.168.1.1; key rndc-key; }
- 如启用 DDNS,建议使用 TSIG 密钥并限制更新范围:
- 访问控制与最小权限
- 通过 firewalld 仅放行 UDP 67/68(DHCP 服务器/客户端端口),避免对全网开放:
firewall-cmd --permanent --add-service=dhcp firewall-cmd --reload - 保持 SELinux 为 enforcing,仅在排障时临时切换为 permissive 验证问题,切勿长期关闭。
- 通过 firewalld 仅放行 UDP 67/68(DHCP 服务器/客户端端口),避免对全网开放:
- 日志、备份与变更管控
- 启用并集中日志:使用
journalctl -u dhcpd -f或查看 /var/log/messages;定期备份 /etc/dhcp/dhcpd.conf 与 /var/lib/dhcpd/dhcpd.leases,变更前后做差异比对与回滚预案。
- 启用并集中日志:使用
二 客户端加固
- 最小配置与必要校验
- 在 /etc/dhcp/dhclient.conf 中使用 require 强制获取关键参数,用 supersede 覆盖不安全或不应由服务器下发的选项,并设置合理的 timeout/retry:
supersede domain-name-servers 8.8.8.8, 8.8.4.4; supersede domain-name "example.com"; require subnet-mask, domain-name-servers; timeout 30; retry 5;
- 在 /etc/dhcp/dhclient.conf 中使用 require 强制获取关键参数,用 supersede 覆盖不安全或不应由服务器下发的选项,并设置合理的 timeout/retry:
- 静态地址替代
- 对不需要动态地址的主机,直接在网卡配置中使用 BOOTPROTO=static,减少 DHCP 依赖与攻击面。
- 日志与更新
- 将 dhclient 日志纳入 rsyslog 统一审计;定期更新系统与 DHCP 客户端组件,修复已知漏洞。
三 网络层防护
- 启用 DHCP Snooping(接入交换机)
- 将与合法 DHCP 服务器直连的端口设为 信任,其余端口设为 非信任,丢弃来自非信任端口的 DHCP 响应,阻断伪装服务器。
- 启用 DHCP 报文速率限制 与 绑定表校验,防御报文洪泛与伪造(续租/释放报文需与绑定表匹配才转发)。
- 基于绑定表生成 静态 MAC 表项 并限制接口可接入的 最大 DHCP 客户端数量,缓解拒绝服务风险。
- 结合 ARP 防中间人能力,仅允许与绑定表一致的 ARP 报文通过,降低 ARP 欺骗 影响。
四 快速核查清单
| 检查项 | 期望状态/做法 |
|---|---|
| 仅白名单分配 | 配置 deny unknown-clients; 与 host 固定绑定 |
| 监听接口最小化 | /etc/sysconfig/dhcpd 中设置 DHCPDARGS 为内网接口 |
| 端口与协议 | 仅放行 UDP 67/68(firewalld 放行 dhcp 服务) |
| DDNS 安全 | 启用 TSIG 密钥、限制更新范围、尽量 ignore client-updates |
| 日志与审计 | 集中记录 dhcpd 日志,定期审计 dhcpd.leases 与配置 |
| 客户端加固 | require 关键参数、supersede 不安全选项、必要时用 静态 IP |
| 网络侧防护 | 交换机启用 DHCP Snooping/速率限制/绑定表校验/ARP 防护 |
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: centos dhcp如何安全加固
本文地址: https://pptw.com/jishu/760694.html