/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
NTP (og sikkerhed)
Fra : Morten Guldager


Dato : 01-08-07 19:07

Hejsa,

Jeg har lige bokset min /etc/ntp.conf på plads.
Jeg endte med at slette en flok "restrict" linjer. (SuSE default
som jeg ikke lige orkede at sætte mig ind i)

Hvorfor er man egentlig interesseret i at begrænse hvem der må
snakke med ens ntp server?

Min /etc/ntp.conf ser nu således ud:

server ntp1.tele2.dk
server ntp2.tele2.dk
server ntp3.tele2.dk
driftfile /var/lib/ntp/drift/ntp.drift
logfile /var/log/ntp

Mon jeg har sparet mig til et sikkerhedsproblem?

(og er der andet jeg har overset?)


/Morten

 
 
Hans Jørgen Jakobsen (02-08-2007)
Kommentar
Fra : Hans Jørgen Jakobsen


Dato : 02-08-07 09:33

On Wed, 01 Aug 2007 18:07:08 GMT, Morten Guldager wrote:
> Jeg endte med at slette en flok "restrict" linjer. (SuSE default
> som jeg ikke lige orkede at sætte mig ind i)
Det er ikke første gang at det ikke har virket pga for skrappe
rescrict linier.

> Hvorfor er man egentlig interesseret i at begrænse hvem der må
> snakke med ens ntp server?

Vel kun at det er god karma kun at kun åbne for "det der er brug for"

>
> Min /etc/ntp.conf ser nu således ud:
>
> server ntp1.tele2.dk
> server ntp2.tele2.dk
> server ntp3.tele2.dk
> driftfile /var/lib/ntp/drift/ntp.drift
> logfile /var/log/ntp
>
> Mon jeg har sparet mig til et sikkerhedsproblem?

Jeg "plejer" at putte følgende i konfig for at forhindre remote
brug af ntpq og ntpdc underprotokoller ud fra den betragtning at
1) det er ikke nødvendigt
2) det giver mulighed for at se en del af konfig
3) det er den mindre brugte del af ntp og dermed MÅSKE en mere
   sårbar del.
4) Det blev almindeligt at gøre det efter der var (måske) en buffer
   exploit for nogle år siden

restrict default noquery
rescrict 127.0.0.1

Det er muligt at man burde lave restriktioner på hvem der kan
sætte klokken. (Jeg har set antydninger af at serverA
kan ensidigt tilbyde som server for serverB)
Desværre er det ikke let at lave i nuværende version af ntpd.

> (og er der andet jeg har overset?)

Der skal være 4 servere for at man kan overleve 1 falseticker.

/hjj

Peter Dalgaard (02-08-2007)
Kommentar
Fra : Peter Dalgaard


Dato : 02-08-07 11:21

Hans Jørgen Jakobsen <hjj@wheel.dk> writes:

>> Hvorfor er man egentlig interesseret i at begrænse hvem der må
>> snakke med ens ntp server?
>
> Vel kun at det er god karma kun at kun åbne for "det der er brug for"

Denne verden har åbenbart en kort hukommelse:

http://en.wikipedia.org/wiki/NTP_vandalism#D-Link_and_Poul-Henning_Kamp

--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste