Debian DHCP安全设置要点如下:
-
配置文件安全
- 编辑
/etc/dhcp/dhcpd.conf,限制IP地址范围、子网掩码等参数,避免暴露敏感信息。 - 使用
fixed-address为关键设备分配静态IP,减少动态分配风险。 - 启用
authoritative拒绝非法IP请求,或设置ddns-update-style none禁用动态DNS更新。
- 编辑
-
访问控制
- 通过防火墙(如
ufw或iptables)限制DHCP端口(UDP 67/68)仅对信任网络开放。 - 配置MAC地址过滤,仅允许已知设备获取IP。
- 通过防火墙(如
-
系统与服务加固
- 禁用root远程登录,使用普通用户+SSH密钥认证。
- 定期更新系统和DHCP软件,安装安全补丁。
- 关闭未使用的系统服务,降低攻击面。
-
日志与监控
- 启用详细日志记录(
log-facility local7),定期查看/var/log/syslog和租约文件/var/lib/dhcp/dhcpd.leases。 - 部署监控工具(如Fail2ban)检测异常访问。
- 启用详细日志记录(
-
交换机协同
- 在交换机上启用DHCP Snooping,防止伪造DHCP服务器攻击。