Kandu.dk - NTP (og sikkerhed)


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

NTP (og sikkerhed)
Fra : Morten Guldager

Dato : 01-08-07 19:07

Hejsa,

Jeg har lige bokset min /etc/ntp.conf på plads.
Jeg endte med at slette en flok "restrict" linjer. (SuSE default
som jeg ikke lige orkede at sætte mig ind i)

Hvorfor er man egentlig interesseret i at begrænse hvem der må
snakke med ens ntp server?

Min /etc/ntp.conf ser nu således ud:

server ntp1.tele2.dk
server ntp2.tele2.dk
server ntp3.tele2.dk
driftfile /var/lib/ntp/drift/ntp.drift
logfile /var/log/ntp

Mon jeg har sparet mig til et sikkerhedsproblem?

(og er der andet jeg har overset?)

/Morten Roterende fis i kasketten

Hans Jørgen Jakobsen (02-08-2007)

Kommentar
Fra : Hans Jørgen Jakobsen

Dato : 02-08-07 09:33

On Wed, 01 Aug 2007 18:07:08 GMT, Morten Guldager wrote:
> Jeg endte med at slette en flok "restrict" linjer. (SuSE default
> som jeg ikke lige orkede at sætte mig ind i)
Det er ikke første gang at det ikke har virket pga for skrappe
rescrict linier.

> Hvorfor er man egentlig interesseret i at begrænse hvem der må
> snakke med ens ntp server?

Vel kun at det er god karma kun at kun åbne for "det der er brug for"

>
> Min /etc/ntp.conf ser nu således ud:
>
> server ntp1.tele2.dk
> server ntp2.tele2.dk
> server ntp3.tele2.dk
> driftfile /var/lib/ntp/drift/ntp.drift
> logfile /var/log/ntp
>
> Mon jeg har sparet mig til et sikkerhedsproblem?

Jeg "plejer" at putte følgende i konfig for at forhindre remote
brug af ntpq og ntpdc underprotokoller ud fra den betragtning at
1) det er ikke nødvendigt
2) det giver mulighed for at se en del af konfig
3) det er den mindre brugte del af ntp og dermed MÅSKE en mere
sårbar del.
4) Det blev almindeligt at gøre det efter der var (måske) en buffer
exploit for nogle år siden

restrict default noquery
rescrict 127.0.0.1

Det er muligt at man burde lave restriktioner på hvem der kan
sætte klokken. (Jeg har set antydninger af at serverA
kan ensidigt tilbyde som server for serverB)
Desværre er det ikke let at lave i nuværende version af ntpd.

> (og er der andet jeg har overset?)

Der skal være 4 servere for at man kan overleve 1 falseticker.

/hjj

Peter Dalgaard (02-08-2007)

Kommentar
Fra : Peter Dalgaard

Dato : 02-08-07 11:21

Hans Jørgen Jakobsen <hjj@wheel.dk> writes:

>> Hvorfor er man egentlig interesseret i at begrænse hvem der må
>> snakke med ens ntp server?
>
> Vel kun at det er god karma kun at kun åbne for "det der er brug for"

Denne verden har åbenbart en kort hukommelse:

http://en.wikipedia.org/wiki/NTP_vandalism#D-Link_and_Poul-Henning_Kamp

--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

Søg

Reklame

Statistik

Spørgsmål :	177500
Tips :	31968
Nyheder :	719565
Indlæg :	6408518
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste