Недавно я заметил, что люди пытались атаковать ntpd отражением на моем сервере. рвер. Итак, мои вопросы: насколько необходимо, чтобы ntpd оставался включенным, и как я могу его включать и отключать?
Стандартная установка Ubuntu 16.04 или 18.04 для настольных ПК не включает ntpd
. (Установщик сервера по умолчанию также не применяет его, хотя некоторые облачные образы включают его.) Скорее, systemd-timesyncd
является клиентом SNTP по умолчанию. Поскольку это всего лишь клиент SNTP (а не сервер NTP), он вообще не отвечает на запросы извне (исключая потенциальные ошибки в systemd-timesyncd
). Вы можете увидеть, что делает systemd-timesyncd
, используя timedatectl
.
Другие интересные моменты:
Конфигурация по умолчанию ntpd
в Ubuntu 16.04 включает специальные средства защиты для предотвращения его использования в атаках отражения.
В Ubuntu 18.04 сервер NTP по умолчанию (предварительно запеченный в некоторые образы) был переключен на chronyd
, который имеет лучшую историю безопасности и более безопасный codebase, согласно недавнему отчету .
Нет необходимости, чтобы ntpd оставался включенным. Хорошо проводить время, но не обязательно. Большинство текущих конфигураций по умолчанию должны ограничивать доступ к серверу ntp для защиты от атак отражения.
Для включения и отключения для следующей перезагрузки:
systemctl enable ntpd
systemctl disable ntpd
Для немедленного запуска и остановки
systemctl start ntpd
systemctl stop ntpd
В дополнение к тому, что сказал Ральф Фридл, также стоит отметить, что некоторые программы полагаются на синхронизацию часов. Обычно это используется для ситуации с лицензированием или с парой ключей (иногда это также требуется для 2FA).
Просто осознавайте, чем вы занимаетесь и что для этого требуется. Если вы начнете видеть странные ошибки с лицензированием или сертификатами, я сначала дважды проверю NTP.
Что касается атак отражения NTP, я вполне уверен, хотя вы можете избежать нежелательных посетителей, запрашивающих данные NTP, закрыв порт * 123 для входящего трафика. Таким образом, вы все еще можете делать исходящие запросы NTP, получать их ответы и блокировать входящие атаки. Вам действительно не нужен этот порт для входящего трафика, если вы не используете сервер NTP. Вы также можете отключить такие вещи, как команда монитора в NTP, чтобы укрепить свой сервер NTP. (этот пост старый, но может помочь: https: //isc.sans.edu / форумы / дневник / NTP + отражение + атака / 17300 / )
Надеюсь, это ответ на ваш вопрос: D
*: Отредактируйте для ясности