保障CentOS DHCP安全可从服务器、客户端及网络层面入手，具体措施如下：

• 服务器端安全配置

  1. 访问控制
     • 用防火墙（firewalld/iptables）限制DHCP服务端口（67/68）仅允许可信网络访问。
     • 通过配置dhcpd.conf中的allow/deny选项，限制特定客户端IP或MAC地址请求IP。
  2. 防止欺骗攻击
     • 启用DHCP Snooping（需交换机支持），过滤非法DHCP响应。
     • 配置动态ARP检查（DAI），确保IP与MAC绑定合法。
  3. 加密与认证
     • 使用SSL/TLS或IPsec加密DHCP通信，防止数据篡改。
  4. 日志与监控
     • 记录DHCP请求、租约等日志，定期审计异常活动。
     • 监控服务状态及租约文件，及时发现异常分配。
  5. 系统加固
     • 定期更新系统和DHCP软件补丁，修复漏洞。
     • 限制DHCP服务以非root用户运行，降低权限风险。

• 客户端安全配置

  1. 限制DHCP使用
     • 通过防火墙或策略限制客户端仅向指定DHCP服务器请求IP。
  2. 配置安全选项
     • 在dhclient.conf中设置require选项，确保获取必要配置（如DNS、网关）。
     • 超时和重试次数，避免长时间等待非法响应。

• 网络架构优化

  • 部署高可用DHCP集群（如Keepalived+VIP），避免单点故障，同时通过VRRP协议防止IP劫持。
  • 对关键网络设备（如交换机）启用端口安全，绑定MAC地址防止非法设备接入。