Início / server / Perguntas / 957302
Accepted
IMTheNachoMan
Asked: 2019-03-08 20:37:11 +0800 CST

protegendo/protegendo o cliente ntp em servidores Linux - arquivo de configuração

  • 772

Eu tenho uma instalação limpa do Debian com o cliente NTP. Recebi configurações para proteger a configuração do meu cliente NTP. Eu sei como adicioná-los ao /etc/ntp.confarquivo, mas não sei se as configurações precisam ser mescladas ou substituídas, se a ordem importa ou como as configurações duplicadas são tratadas.

Este é o arquivo padrão /etc/ntp.confque vem com o pacote:

cat /etc/ntp.conf | egrep -v '^#|^$'

driftfile /var/lib/ntp/ntp.drift
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
pool 0.debian.pool.ntp.org iburst
pool 1.debian.pool.ntp.org iburst
pool 2.debian.pool.ntp.org iburst
pool 3.debian.pool.ntp.org iburst
restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited
restrict 127.0.0.1
restrict ::1
restrict source notrap nomodify noquery

Estas são as configurações que me disseram para usar:

#creates file to adjust the default system clock value after a service interruption/restart
driftfile /var/lib/ntp/drift

#access controls to reduce unwanted queries (kod)
#prevent alteration of configuration file (nomodify)
#prevent nptdc from being used for control message protocol traps (notrap)
#prevent peer queries (nopeer)
#prevent ntpq and ntpdc queries from being answered (noquery)

restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery

#restrict NTP access to localhost
restrict 127.0.0.1
restrict -6 ::1

#point to NIST time servers use fastest method to collect time
server time.nist.gov iburst

#point to localhost if access is lost to NTP servers/pools
fudge 127.127.1.0 stratum 10

#mitigates CVE-2013-5211
disable monitor

Para alguns deles, como driftfile, eu descobri que eles precisam ser sobrescritos. Não tenho certeza dos que permanecem. Eles são necessários ou eu os troco? Se eu mantê-los, a ordem importa?

Com base no meu entendimento, estas são as configurações que eu sei que precisam estar lá com base na mesclagem das opções padrão e no que me foi fornecido:

# creates file to adjust the default system clock value after a service interruption/restart
driftfile /var/lib/ntp/drift

# access control configuration
restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited

# restrict NTP access to localhost
restrict 127.0.0.1
restrict -6 ::1

# point to NIST time servers use fastest method to collect time
server time.nist.gov iburst

# point to localhost if access is lost to NTP servers/pools
fudge 127.127.1.0 stratum 10

# mitigates CVE-2013-5211
disable monitor

Estas são as configurações restantes do arquivo padrão, mas não tenho certeza do que fazer com elas:

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
restrict source notrap nomodify noquery
linux

3 respostas

  1. Best Answer

    Para adicionar mais à resposta de John Mahowald: a configuração recomendada que você recebeu é antiga e não deve ser seguida. A configuração padrão fornecida pelo Debian/Ubuntu é projetada para ser o mais segura possível, dadas as vulnerabilidades do NTP que conhecemos até o momento, e você deve fazer as alterações mínimas possíveis.

    A única coisa na configuração proposta que pode ser significativa para você é a seleção dos servidores de horário do NIST. Se você quiser usá-los, você deve usar a pooldiretiva em vez de apenas server. A pooldiretiva permite ntpdparar de usar os servidores se eles não responderem ou cumprirem um tempo ruim, então você deve quase sempre usá-lo em preferência ao server.

    Portanto, no geral, a única coisa que você pode considerar adicionar à configuração padrão é:

    pool time.nist.gov iburst

    As linhas de estatísticas que você destacou não têm nenhum efeito, a menos que você descomente esta linha:

    #statsdir /var/log/ntpstats/

    E o último é muito importante, pois permite usar pools:

    restrict source notrap nomodify noquery

    Você deve certificar-se de que a linha é deixada no lugar.

    • 2

  2. Se você tiver um conjunto completo de diretivas que deseja definir, apenas substitua o ntp.conf da distro. Mas você não precisa , pois eles têm segurança equivalente:

    • Suas opções de restrição são extremamente semelhantes. O Debian usa explicitamente -4 para indicar IPv4 e impõe um limite de taxa.
    • CVE-2013-5211 é um ataque de amplificação usando monlist. O trecho do Debian e posteriores têm versões sem essa falha, e sua configuração padrão a mitigou anos antes.
    • A localização do arquivo drift tem pouco ou nenhum impacto na segurança.

    Aborrecimentos pessoais com sua configuração NTP proposta:

    Um servidor com endereço começando com 127.127.1. é o Relógio Local Indisciplinado . Seu uso não é recomendado, não acrescenta nada, confunde as pessoas e o modo órfão é melhor.

    Você não precisa usar o serviço de horário da Internet do NIST para obter um relógio confiável. Você pode, se desejar, e eles gostam de usar o balanceador de carga global time.nist.gov . No entanto, o NTP Pool Project tira a carga dos relógios de referência e funciona adequadamente para muitos casos de uso.

    • 1

  3. O conteúdo do driftfilenão adiciona/remove nenhuma segurança, é simplesmente um local para o NTP armazenar dados. Use o valor padrão de distribuição para ele.

    Caso contrário, todas as configurações deixadas de fora não são necessárias, são recursos estatísticos que não são necessários para a operação normal.

    • 0

relate perguntas