以下是Debian DHCP服务器的安全配置要点:
-
安装与基础配置
- 安装ISC DHCP服务器:
sudo apt update && sudo apt install isc-dhcp-server。 - 编辑配置文件
/etc/dhcp/dhcpd.conf,设置IP地址池、子网掩码、网关、DNS等参数,限制租约时间(如default-lease-time 600; max-lease-time 7200;)。
- 安装ISC DHCP服务器:
-
访问控制与认证
- MAC地址过滤:在配置文件中通过
host指令绑定特定MAC地址与IP地址,限制非法设备接入。 - 静态IP保留:为服务器、打印机等设备配置固定IP,避免动态分配带来的安全隐患。
- 防火墙规则:使用
ufw或iptables限制DHCP服务端口(67/UDP、68/UDP)仅对受信任网络开放。
- MAC地址过滤:在配置文件中通过
-
安全增强功能
- 启用DHCP Snooping:在交换机上配置该功能,防止DHCP欺骗攻击(需交换机支持)。
- IP Source Guard:结合交换机配置,基于MAC地址过滤IP流量,防止IP伪造。
- 禁用不必要的服务:通过修改
/etc/default/isc-dhcp-server,限制DHCP服务仅监听必要接口。
-
系统与日志管理
- 定期更新:执行
sudo apt update && sudo apt upgrade,确保系统和软件包包含最新安全补丁。 - 日志监控:启用详细日志记录(
log-facility local7;),定期分析/var/log/syslog和/var/lib/dhcp/dhcpd.leases,及时发现异常。 - SSH安全加固:禁用root远程登录,使用SSH密钥认证,修改默认端口(可选)。
- 定期更新:执行
-
其他安全措施
- 精简配置文件:移除不必要的选项,降低配置复杂度带来的风险。
- 备份配置:定期备份
/etc/dhcp/dhcpd.conf,便于快速恢复。
参考来源: