Linux下配置完整安全的DHCP服務(wù)器詳解

1、DHCP是動(dòng)態(tài)主機(jī)配置協(xié)議。這個(gè)協(xié)議用于向計(jì)算機(jī)自動(dòng)提供IP地址,子網(wǎng)掩碼和路由信息。網(wǎng)絡(luò)管理員通常會(huì)分配某個(gè)范圍的IP地址來(lái)分發(fā)給局域網(wǎng)上的客戶機(jī)。當(dāng)設(shè)備接入這個(gè)局域網(wǎng)時(shí)，它們會(huì)向 DHCP服務(wù)器請(qǐng)求一個(gè) IP地址。然后DHCP服務(wù)器為每個(gè)請(qǐng)求的設(shè)備分配一個(gè)地址，直到分配完該范圍內(nèi)的所有 IP地址為止。已經(jīng)分配的IP地址必須定時(shí)地延長(zhǎng)借用期。這個(gè)延期的過(guò)程稱作leasing，確保了當(dāng)客戶機(jī)設(shè)備在正常地釋放IP地址之前突然從網(wǎng)絡(luò)斷開(kāi)時(shí)被分配的地址可以歸還給服務(wù)器。本文以Redhat Linux 9.0為例，介紹如何建立一個(gè)完整和安全的DHCP服務(wù)器。一、建立DHCP服務(wù)器配置文件可以使用Red

2、hat Linux 9.0自身攜帶rpm包安裝。安裝結(jié)束后, DHCP端口監(jiān)督程序 dhcpd配置文件是/etc目錄中的名為dhcpd.conf的文件。下面手工建立/etc/dhcpd.conf文件。/etc/dhcpd.conf通常包括三部分：parameters、declarations、option。1.DHCP配置文件中的parameters（參數(shù)）：表明如何執(zhí)行任務(wù)，是否要執(zhí)行任務(wù)，或?qū)⒛男┚W(wǎng)絡(luò)配置選項(xiàng)發(fā)送給客戶。主要內(nèi)容見(jiàn)表1參數(shù)解釋ddns-update-style配置DHCP-DNS互動(dòng)更新模式。default-lease-time指定確省租賃時(shí)間的長(zhǎng)度，單位是秒。max-le

3、ase-time指定最大租賃時(shí)間長(zhǎng)度，單位是秒。hardware指定網(wǎng)卡接口類型和MAC地址。server-name通知DHCP客戶服務(wù)器名稱。get-lease-hostnames flag檢查客戶端使用的IP地址。fixed-address ip分配給客戶端一個(gè)固定的地址。authritative拒絕不正確的IP地址的要求。2. DHCP配置文件中的declarations（聲明）：用來(lái)描述網(wǎng)絡(luò)布局、提供客戶的IP地址等。主要內(nèi)容見(jiàn)表2：聲明解釋shared-network用來(lái)告知是否一些子網(wǎng)絡(luò)分享相同網(wǎng)絡(luò)。subnet描述一個(gè)IP地址是否屬于該子網(wǎng)。range起始IP終止IP提供動(dòng)態(tài)分配

4、IP的范圍。host主機(jī)名稱參考特別的主機(jī)。group為一組參數(shù)提供聲明。allow unknown-clients;deny unknown-client是否動(dòng)態(tài)分配IP給未知的使用者。allow bootp;deny bootp是否響應(yīng)激活查詢。allow booting;deny booting是否響應(yīng)使用者查詢。filename開(kāi)始啟動(dòng)文件的名稱，應(yīng)用于無(wú)盤工作站。next-server設(shè)置服務(wù)器從引導(dǎo)文件中裝如主機(jī)名，應(yīng)用于無(wú)盤工作站。3. DHCP配置文件中的option（選項(xiàng)）：用來(lái)配置DHCP可選參數(shù)，全部用option關(guān)鍵字作為開(kāi)始，主要內(nèi)容包括見(jiàn)表3：選項(xiàng)解釋subnet-

5、mask為客戶端設(shè)定子網(wǎng)掩碼。domain-name為客戶端指明DNS名字。domain-name-servers為客戶端指明DNS服務(wù)器IP地址。host-name為客戶端指定主機(jī)名稱。routers為客戶端設(shè)定默認(rèn)網(wǎng)關(guān)。broadcast-address為客戶端設(shè)定廣播地址。ntp-server為客戶端設(shè)定網(wǎng)絡(luò)時(shí)間服務(wù)器IP地址。timeoffset為客戶端設(shè)定和格林威治時(shí)間的偏移時(shí)間，單位是秒。注意：如果客戶端使用的是視窗操作系統(tǒng)，不要選擇host-name選項(xiàng)，即不要為其指定主機(jī)名稱。下面是一個(gè)筆者使用的DHCP配置文件，這是一個(gè)類網(wǎng)絡(luò)，共126個(gè)IP地址可以分配的例子。讀者可以復(fù)制后

6、使用，注意紅色部分是必須要修改的。ddns-update-style interim; ignore client-updates;subnet netmask option routers 54; option subnet-mask ; option broadcast-address 55; option domain-name-servers ; option domain-name ;#DNS名稱# option domain-name-servers ; option time-offset -18000; range dynamic-bootp 28 55; default-le

7、ase-time 21600; max-lease-time 43200; host ns hardware ethernet 52:54:AB:34:5B:09;#運(yùn)行DHCP的網(wǎng)絡(luò)接口的MAC地址# fixed-address ; 二、建立客戶租約文件運(yùn)行DHCP服務(wù)器還需要一個(gè)名為 dhcpd.leases的文件，保持所有已經(jīng)分發(fā)出去的 IP地址。在Redhat Linux發(fā)行版本中，該文件位于 /var/lib/dhcp/目錄中。如果您通過(guò) RPM安裝 ISC DHCP，那么該目錄應(yīng)該已經(jīng)存在。dhcpd.leases的文件格式為：Leases addressstatement一個(gè)典型

8、的文件內(nèi)容如下：lease 55 #DHCP服務(wù)器分配的IP地址# starts 1 2005/05/02 03:02:26; # lease開(kāi)始租約時(shí)間# ends 1 2005/05/02 09:02:26; # lease結(jié)束租約時(shí)間# binding state active; next binding state free; hardware ethernet 00:00:e8:a0:25:86;#客戶機(jī)網(wǎng)卡MAC地址# uid %content%01%content%00%content%00350240%206;#用來(lái)驗(yàn)證客戶機(jī)的UID標(biāo)示# client-hostname cj

9、h1;#客戶機(jī)名稱#注意lease開(kāi)始租約時(shí)間和lease結(jié)束租約時(shí)間是格林威治標(biāo)準(zhǔn)時(shí)間（GMT），不是本地時(shí)間。第一次運(yùn)行DHCP服務(wù)器時(shí)dhcpd.leases是一個(gè)空文件，也不用手工建立。如果不是通過(guò) RPM安裝 ISC DHCP，或者 dhcpd 已經(jīng)安裝，那么您應(yīng)該試著確定 dhcpd將其 lease文件寫(xiě)到何處，并確保該文件存在。也可以手工建立一個(gè)空文件：#touch /var/lib/dhcp/dhcpd.leases三、啟動(dòng)和檢查DHCP服務(wù)器使用命令啟動(dòng)DHCP服務(wù)器：#service dhcpd start使用ps命令檢查dhcpd進(jìn)程：#ps -ef | grep dhc

10、pdroot 2402 1 0 14:25 ?00:00:00 /usr/sbin/dhcpdroot 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd使用檢查dhcpd運(yùn)行的端口：# netstat -nutap | grep dhcpdudp 0 0 :67 :* 2402/dhcpd四、配置DHCP客戶端通常網(wǎng)管員使用選擇手工配置 DHCP客戶，需要修改 /etc/sysconfig/network文件來(lái)啟用聯(lián)網(wǎng)；并修改 /etc/sysconfig/network-scripts目錄中每個(gè)網(wǎng)絡(luò)設(shè)備的配置文件。在該目錄中，每個(gè)設(shè)備都有一個(gè)叫做 ifc

11、fg-eth？的配置文件，eth？是網(wǎng)絡(luò)設(shè)備的名稱。如eth0等。如果你想在引導(dǎo)時(shí)啟動(dòng)聯(lián)網(wǎng)，NETWORKING變量必須被設(shè)為 yes。除了此處之外/etc/sysconfig/network文件應(yīng)該包含以下行：NETWORKING=yesDEVICE=eth0BOOTPROTO=dhcpONBOOT=yes五、DHCP配置常見(jiàn)錯(cuò)誤排除通常配置DHCP服務(wù)器很容易，不過(guò)，在這里有一些技巧可以幫助您避免出現(xiàn)問(wèn)題。對(duì)服務(wù)器而言，要確保網(wǎng)卡正常工作，并具備廣播功能。對(duì)客戶機(jī)而言，還要確?？蛻魴C(jī)的網(wǎng)卡正常工作。最后，要考慮網(wǎng)絡(luò)的拓?fù)洌⒖紤]客戶機(jī)向 DHCP服務(wù)器發(fā)出的廣播消息是否會(huì)受到阻礙。另外如果

12、dhcpd進(jìn)程沒(méi)有啟動(dòng)，那么可以瀏覽 syslog消息文件來(lái)確定是哪里出了問(wèn)題。這個(gè)消息文件通常是 /var/log/messages。典型故障：1.DHCP服務(wù)器配置完成，沒(méi)有語(yǔ)法錯(cuò)誤。但是網(wǎng)絡(luò)中的客戶機(jī)卻沒(méi)辦法取得IP地址。通常是Linux DHCP服務(wù)器沒(méi)有辦法接收來(lái)自55的 DHCP客戶機(jī)的Request封包造成的。一般是Linux DHCP服務(wù)器的網(wǎng)卡沒(méi)有設(shè)置具有MULTICAST功能。為了讓dhcpd(dhcp程序的守護(hù)進(jìn)程)能夠正常的和DHCP客戶機(jī)溝通，dhcpd必須傳送封包到55這個(gè)IP地址，但是有些Linux系統(tǒng)里55這個(gè)IP地址被用來(lái)做為監(jiān)聽(tīng)區(qū)域子網(wǎng)域（local sub

13、net）廣播的IP地址，所以需要在路由表（routing table）里加入55以激活MULTICAST功能；使用命令：route add -host 55 dev eth0如果報(bào)告錯(cuò)誤消息：55：Unkown host 那么請(qǐng)先修改/etc/hosts加入一行：55 dhcp 2. DHCP客戶端程序和DHCP服務(wù)器不兼容由于Linux有許多發(fā)現(xiàn)版本，不同版本使用DHCP客戶端程序和DHCP服務(wù)器也不相同。Linux提供了四種DHCP客戶端程序：pump, dhclient, dhcpxd,和dhcpcd。了解不同Linux發(fā)行版本的服務(wù)器端和客戶端程序?qū)τ诔Ｒ?jiàn)錯(cuò)誤排除是必要的。筆者曾經(jīng)遇到

14、過(guò)使用SuSE Linux 9.1 DHCP服務(wù)器和使用Mandrake Linux 9.0客戶機(jī)不兼容的情況。此時(shí)就必須更換客戶端程序。方法是先停止客戶機(jī)的網(wǎng)絡(luò)服務(wù)，卸載原程序，安裝和服務(wù)器端兼容程序。附表：主要Linux發(fā)行版使用的DHCP客戶端。發(fā)行版本缺省 DHCP客戶端可選 DHCP客戶端DHCP客戶端啟動(dòng)腳本附加配置文件Red Hat Linux 9.0dhclient無(wú)/sbin/ifup/etc/sysconfig/network/etc/sysconfig/network-scripts/ifcfg-eth0Debian Linux 3.0dhclient無(wú)/sbin/ifu

15、p/etc/network/interfaces/etc/dhclient.confMandrake Linux 9.1dhclientdhcpcd, dhcpxd, pump/sbin/ifup/etc/sysconfig/network/etc/sysconfig/network-scripts/ifcfg-eth0/etc/dhclient-eth0.confSuSE Linux 9.1dhcpcddhclient/sbin/ifup-dhcp/etc/sysconfig/network/dhcp/etc/sysconfig/network/ifcfg-eth0六、DHCP服務(wù)器的安全1

16、.在指定網(wǎng)絡(luò)接口啟動(dòng)DHCP服務(wù)器如果你的Linux系統(tǒng)連接了不止一個(gè)網(wǎng)絡(luò)界面，但是你只想讓 DHCP服務(wù)器啟動(dòng)其中之一，你可以配置 DHCP服務(wù)器只在那個(gè)設(shè)備上啟動(dòng)。在 /etc/sysconfig/dhcpd中，把界面的名稱添加到 DHCPDARGS的列表中：DHCPDARGS=eth0或者直接使用命令：Echo DHCPDARGS=eth0 /etc/ sysconfig/dhcpd這樣對(duì)于帶有兩個(gè)網(wǎng)卡的防火墻機(jī)器，更加安全：一個(gè)網(wǎng)卡可以被配置成 DHCP客戶來(lái)從互聯(lián)網(wǎng)上檢索 IP地址；另一個(gè)網(wǎng)卡可以被用作防火墻之后的內(nèi)部網(wǎng)絡(luò)的 DHCP服務(wù)器。僅指定連接到內(nèi)部網(wǎng)絡(luò)的網(wǎng)卡使系統(tǒng)更加安全，

17、因?yàn)橛脩魺o(wú)法通過(guò)互聯(lián)網(wǎng)來(lái)連接它的守護(hù)進(jìn)程。2.讓DHCP服務(wù)器在監(jiān)牢中運(yùn)行所謂監(jiān)牢就是指通過(guò)chroot機(jī)制來(lái)更改某個(gè)軟件運(yùn)行時(shí)所能看到的根目錄，即將某軟件運(yùn)行限制在指定目錄中，保證該軟件只能對(duì)該目錄及其子目錄的文件有所動(dòng)作，從而保證整個(gè)服務(wù)器的安全。這樣即使出現(xiàn)被破壞或被侵入，所受的損失也較小。將軟件chroot化的一個(gè)問(wèn)題是該軟件運(yùn)行時(shí)需要的所有程序、配置文件和庫(kù)文件都必須事先安裝到chroot目錄中，通常稱這個(gè)目錄為chroot jail（chroot監(jiān)牢）。如果要在監(jiān)牢中運(yùn)行dhcpd，而事實(shí)上根本看不到文件系統(tǒng)中那個(gè)真正的目錄。因此需要事先創(chuàng)建目錄，并將dhcpd復(fù)制到其中。同時(shí)dh

18、cpd需要幾個(gè)庫(kù)文件，可以使用ldd（library Dependency Display縮寫(xiě)）命令，ldd作用是顯示一個(gè)可執(zhí)行程序必須使用的共享庫(kù)。ldd dhcpd libc.so.6 = /lib/tls/libc.so.6 (0 x42000000) /lib/ld-linux.so.2 = /lib/ld-linux.so.2 (0 x40000000)style=font-family:宋體這意味著還需要在監(jiān)牢中創(chuàng)建lib目錄，并將庫(kù)文件復(fù)制到其中。手工完成這一工作是非常麻煩的，此時(shí)可以用jail軟件包來(lái)幫助簡(jiǎn)化chroot監(jiān)牢建立的過(guò)程。(1)Jail軟件的編譯和安裝Jail官方

19、網(wǎng)站是： HYPERLINK ，最新版本：1.9a。#Wget HYPERLINK /static/dwn/projects/jail/jail_1.9a.tar.gz #tar xzvf jail.tar.gz; cd jail/src#make; make install(2)用jail創(chuàng)建監(jiān)牢jail軟件包提供了幾個(gè)Perl腳本作為其核心命令，包括mkjailenv、addjailuser和addjailsw。mkjailenv：創(chuàng)建chroot監(jiān)牢目錄，并且從真實(shí)文件系統(tǒng)中拷貝基本的軟件環(huán)境。addjailsw：從真實(shí)文件系統(tǒng)中拷貝二進(jìn)制可執(zhí)行文件及其相關(guān)的其它文件（包括庫(kù)文件、輔助性

20、文件和設(shè)備文件）到該監(jiān)牢中。addjailuser：創(chuàng)建新的chroot監(jiān)牢用戶。首先停止目前dhcpd服務(wù)，然后建立chroot目錄：#/sbin/service dhcpd start#mkjailenv /chroot/mkjailenvA component of Jail (version 1.9 for linux)Juan M. Casillas Making chrooted environment into /chroot Doing preinstall() Doing special_devices() Doing gen_template_password() Doing postinstall()Done.下面的例子展示為監(jiān)牢添加dhcpd程序的過(guò)程：# addjailsw /chroot/ -P /usr/sbin/dhcpdaddjailswA component of Jail (version 1.9 for linux)Juan M. Casillas Guessing dhcpd args(0)Warnin