The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4

26.03.2015 10:17

Представлен релиз переносимой редакции системы синхронизации точного времени OpenNTPD 5.7p4, развиваемой проектом OpenBSD. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от специального оборудования через sensorsd(8). Настройка осуществляется через файл конфигурации ntpd.conf. Работа OpenNTPD 5.7p4 проверена в Linux , FreeBSD, Solaris и OS X.

В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код). Для дополнительной защиты в OpenNTPD применяется механизм разделения привилегий, разделяющий работу непривилегированного кода обработки сетевых соединений от привилегированного кода установки времени. Демон ntpd запускается в отдельном изолированном chroot-окружении. Реализация кода определения имён через DNS работает в асинхронном режиме, т.е. определение имени будет выполнено даже если демон стартовал в момент, когда не было доступно сетевое соединение.

Новый выпуск примечателен возможностью косвенной аутентификации серверов NTP путём проверки ответов от NTP-сервера через обращение к заслуживающим доверия HTTPS-серверам, время на которых синхронизировано со временем проверяемого NTP-сервера. Суть метода сводится к отправке дополнительного запроса к HTTPS-серверу и использовании значения HTTP-заголовка Date в качестве приблизительного времени, которое заслуживает доверия. Если фиксируется аномальное отклонение от значения, полученного при обращении к NTP-серверу, то синхронизация времени может быть отклонена в подозрении подмены NTP-сервера в результате MITM-атаки. Из-за сетевых задержек точности передачи времени через заголовок Date недостаточно для использования в качестве источника для синхронизации времени, но данное время вполне пригодно для оценки степени отклонения от параметров, выдаваемых по NTP.

Кроме того в новом выпуске добавлен обходной путь решения проблем с наводнением лога сообщениями о ресинхронизации в Solaris и реализована защита от переполнения 32-разрядных счётчиков с типом time_t в случае ошибочной установки системных часов на дату позднее 2036 года.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Проект OpenBSD выпустил переносимую редакцию OpenNTPD
  3. OpenNews: DDoS-атака в 400 Гбит/с была совершена с привлечением всего 4529 NTP-серверов
  4. OpenNews: В ntpd выявлена уязвимость, которая может привести к удалённому выполнению кода
  5. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/41914-openntpd
Ключевые слова: openntpd, ntp
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Нанобот (ok), 10:30, 26/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >обладает только самым необходимым набором возможностей

    ага, особенно это: "примечателен возможностью косвенной аутентификации серверов NTP путём проверки ответов от NTP-сервера через обращение к заслуживающим доверия HTTPS-серверам, время на которых синхронизировано со временем проверяемого NTP-сервера". самый необходимый набор, чё?

     
     
  • 2.2, Аноним (-), 10:44, 26/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это скорее всего хак, чтобы не поддерживать ntp аутентификацию (жесточайший ад).
     
     
  • 3.3, cmp (ok), 12:15, 26/03/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    конечно, это проще чем добавить подпись в пакет
     
     
  • 4.4, Аноним (-), 14:07, 26/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    срочно сообщите разработчикам, а то может они не в курсе?.. люди они, всё-таки, западные.
     
     
  • 5.9, Аноним (-), 20:00, 26/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > срочно сообщите разработчикам, а то может они не в курсе?.. люди они, всё-таки, западные.

    Полагаю, они в курсе, просто не любят простых и очевидных решений.

     
  • 4.5, Аноним (-), 17:32, 26/03/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > конечно, это проще чем добавить подпись в пакет

    В ntpd добавили, блин. Универсально и на все случаи жизни, максимально энтерпрайзно. Так что по зависимостям чуть ли не керберос идет.

     
     
  • 5.7, Аноним (-), 19:55, 26/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В ntpd добавили, блин. Универсально и на все случаи жизни, максимально энтерпрайзно.
    > Так что по зависимостям чуть ли не керберос идет.

    ntp
      Зависит: adduser
      Зависит: lsb-base
      Зависит: netbase
      Зависит: libc6
      Зависит: libcap2
      Зависит: libedit2
      Зависит: libopts25
      Зависит: libssl1.0.0

    Ага. Всякая ненужная блоатварь типа libc и openssl. Надеюсь, в openntpd такой фигни нет.

     
     
  • 6.10, Аноним (-), 02:44, 27/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага. Всякая ненужная блоатварь типа libc и openssl. Надеюсь, в openntpd такой фигни нет.

    OpenSSL мне в зависимостях точно ни к чему. Это г-но должно умереть жестокой смертью.

    Зачем мне в сетевом сервисе либа от тех кто нишиша не смыслит в криптографии, наворачивают уйму кода, забывая вытряхнуть легаси и несекурные алгоритмы, городят совсем ни разу не failsafe апи, которым почти никто в результате не умеет пользоваться сколь-нибудь секурно, в которой каждый месяц чинят по несколько злобных дыр, где кода в 20 раз больше чем во всем openntpd вместе взятом? Да и сам TLS по большей части одна сплошная профанация из-за схем с удостоверяющими центрами.

     
     
  • 7.14, Anonim (??), 18:26, 29/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А есть какие-нибудь другие альтернативы openSSL, не считая libreSSL?
     
  • 3.6, Аноним (-), 19:53, 26/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Это скорее всего хак, чтобы не поддерживать ntp аутентификацию

    Скорее, хак ради хака.

    > (жесточайший ад).

    Так кажется только на первый взгляд.

     
     
  • 4.8, Аноним (-), 20:00, 26/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это скорее всего хак, чтобы не поддерживать ntp аутентификацию
    > Скорее, хак ради хака.

    Насколько я помню, точность установки времени на HTTPS-серверах определяется главным образом сроками действия сертификата (для клиентов тоже актуально). Так как сроки обычно исчисляются годами, плюс-минус пара дней роли не играет :)

     
     
  • 5.11, Аноним (-), 02:45, 27/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Зато потом при взломе например и forensic - плюс-минус пара дней может добавить работенки...
     

  • 1.12, Аноним (-), 07:35, 27/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Недавно попробовали поднять свой набор публичных серверов, пока тестируем, но вроде работает ) http://ntp.od.ua/?lang=ru
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру