The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Первый стабильный релиз NTPsec, защищённого форка NTPD

10.10.2017 08:28

Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative), представил первый стабильный выпуск NTPsec 1.0, форка эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированного на переработке кодовой базы с целью повышения безопасности. В развитии NTPsec участвуют некоторые разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Исходные тексты NTPsec размещены в репозитории на GitLab.

NTPsec 1.0 подвёл итог двух с половиной лет работы над проектом и позиционируется как первый выпуск, пригодный для промышленного внедрения. В ходе работы кодовая база была сокращена на 76% от состояния в момент форка - число строк кода уменьшилось со 178 тысяч до 55 тысяч, в основном за счёт чистки устаревших возможностей, неактуальных платформ и необязательных инструментов. Уменьшение кодовой базы позволило избавиться от кода, связанного с 75% из уязвимостей, выявленных в классическом NTPD. При этом проект остался полностью совместим с классическим пакетом NTP и использует те же алгоритмы.

Кроме чистки также проведена переработка внутренностей и внедрены передовые техники предотвращения атак. Совместно с организацией IETF ведётся работа по разработке нового стандарта NTS (Network Time Security) для безопасной синхронизации времени. Из улучшений отмечается работа по увеличению точности учёта времени, расширение средств мониторинга и статистики, модернизация синтаксиса файла конфигурации, сокращение времени запуска.

В выпуске NTPsec 1.0 также представлен режим автономной работы, при котором используются только локальные источники времени без обращения к внешним серверам и GPS. Новый режим позволяет создавать самодостаточные серверы для окружений повышенной защищённости, которые никак не контактируют в внешним миром и исключают проведение атаки в момент синхронизации с другими NTP-серверами.

Среди других особенностей проекта:

  • Все функции работы с памятью и строками заменены на защищённые аналоги, не допускающие переполнения буфера.
  • Поставляемые в комплекте экземпляры libevent2 заменены на внешние зависимости.
  • Удалены неиспользуемые компоненты библиотек ISC.
  • Осуществлён переход к манипуляции наносекундными отрезками времени вместо микросекунд.
  • Исправлены ошибки, выявленные при использовании статических анализаторов.
  • C целью унификации их имён изменены названия утилит: sntp переименован в ntpdig, ntp-keygen в ntpkeygen, ntp-wait в ntpwait, update-leap в ntpleapfetch;
  • Из состава исключён демон ntpsnmpd, который не соответствует RFC 5907;
  • Удалены утилиты ntpdc, вместо которых следует использовать ntpq;
  • Прекращена поддержка устаревших типов эталонных часов;
  • Добавлена новая утилита ntpfrob, предоставляющая средства для диагностики и тонкой настройки локального хронометра.
  • Вместо программы ntpdate предложена shell-обвязка над утилитой ntpdig.
  • Вывод часов приведён в соответствие с форматом ISO8601.


  1. Главная ссылка к новости (https://blog.ntpsec.org/2017/1...)
  2. OpenNews: Компания Mozilla распределила 539 тысяч долларов на гранты открытым проектам
  3. OpenNews: Выпуск NTPsec 0.9.7, защищённого форка NTPD
  4. OpenNews: В рамках проекта NTPsec создан защищённый форк NTPD
  5. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
  6. OpenNews: Проект OpenBSD опубликовал выпуски NTP-сервера OpenNTPD 6.1 и 6.2
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47362-ntpsec
Ключевые слова: ntpsec, ntp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, бедный буратино (ok), 09:13, 10/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    openntpd - 5000 строк :)
     
     
  • 2.2, пох (?), 09:42, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > openntpd - 5000 строк

    так это типичный openbsd-way - рассказать как у других все плохо, и что мы щас научим весь мир как надо, написать 1/10 функционала, и ту - в режиме "works for me", игнорируя принятый стандарт, обосраться, вместо доработки - заняться FUD-company.
    А, да - и стереть с сайта страницу, где написано, почему поделка не является не то что полноценной заменой настоящему ntpd, а вообще крайне сомнительна - как только из общего доступа исчезла статья с детальным разбором полета. Но веб-архив-то всьо помнит:

    https://web.archive.org/web/20050304032724/http://bradknowles.typepad.com/cons

    (с тех пор кое-как решена проблема со stratum2, которая вообще йо..ный стыд неосиляторский, остальные где были, там и остались)

     
     
  • 3.3, лютый жабист__ (?), 09:59, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Статья от 2004 года. Не интересовался этим вопросом, но кажется ты как обычно пургонишь...

    Если посмотреть релизы в 2004 было 3.6.1 весом 19КБ
    Сейчас 6.2 весом с полмегабайта.

    Ну ваще ничего не поменялось....

     
     
  • 4.4, A.Stahl (ok), 10:04, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +9 +/
    >6.2 весом с полмегабайта

    И всё те же 5000 строк?
    Ах, ты просто забыл о чём разговор -- слишком уж он длинный и со множеством неожиданных поворотов.

     
     
  • 5.7, бедный буратино (ok), 10:09, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > И всё те же 5000 строк?

    нативная - 5000 строк, я специально посмотрел сейчас, взяв из транка

     
     
  • 6.37, Аноим (?), 16:37, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> И всё те же 5000 строк?
    > нативная - 5000 строк, я специально посмотрел сейчас, взяв из транка

    Если нативная в два раза короче портируемой, назревает предположение, что часть функциональность просто вынесена в ядро :-)
    Вполне вписывается в концепцию Security by OpenBSD.

     
     
  • 7.41, Аноним (-), 17:11, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>> И всё те же 5000 строк?
    >> нативная - 5000 строк, я специально посмотрел сейчас, взяв из транка
    > Если нативная в два раза короче портируемой, назревает предположение, что часть функциональность
    > просто вынесена в ядро :-)

    Или наоборот, вынужденная обвязка для пингвинячьих "минимальных требываний" - дыбас, системд, гуй, "добавькомбайнповкусу".

     
     
  • 8.47, Аноноим (?), 22:46, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Отсутствие в ядре NTP-сервера В ISC ntpd всего этого нет, но на линуксе он чуде... текст свёрнут, показать
     
  • 5.8, Аноним (-), 10:12, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    code cloc openntpd-3 6 1p1 60 text files 44 unique files ... большой текст свёрнут, показать
     
  • 4.5, Аноним (-), 10:04, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да у него все кругом неосиляторы всего. Непонятно только, почему сам великий осилятор ничего толкового не делает, а исключительно пердит в лужу.
     
     
  • 5.6, Andrey Mitrofanov (?), 10:09, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Да у него все кругом неосиляторы всего. Непонятно только, почему сам великий
    > осилятор ничего толкового не делает, а исключительно пердит в лужу.

    Перепись же братьев жабиста_ по "разуму".   "Не стоим! Записываемся!!"

     
     
  • 6.13, Аноним (-), 13:45, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не брат ты мне... ©
     
  • 5.12, пох (?), 13:29, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Да у него все кругом неосиляторы всего. Непонятно только, почему сам великий
    > осилятор ничего толкового не делает, а исключительно пердит в лужу.

    ага, а живу на деньги из тумбочки.

    просто мне платят зарплату за, в том числе, умение отличать какашку в красивом "модно, опенсорсно, бе-бе-бе-зопастно" фантике от конфеты, а не за работу на кондитерской фабрике.

     
     
  • 6.14, Аноним (-), 14:03, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по твоим комментам, зря платят.
     
     
  • 7.17, пох (?), 14:33, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    канеш зря. Модно вот так-  даже когда вас носом ткнут в статью с детальным разбором - "аа, старье", букв прочитать - не, не ваш метод (да и мозгов на это явно не хватит), проверить что с тех пор изменилось и изменилось ли что-то, кроме зачистки истории на сайте - тем более не для вас. Гораздо лучше искренне верить, что уж у openbsd все зашибись, "двадцать лет без секьюрити эксплойтов выключенной и разобранной системы".

    А если даже не все зашибись - вот сейчас-то уж автор великой статьи (и одного уродливого скрипта для обработки почты, устаревшего сразу в момент написания) уж точно сделает как надо. Он уже успел заменить все strcpy на strncpy, офигенная секьюрить же ж.

     
     
  • 8.18, Аноним (-), 14:42, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты бредишь Какое отношение openntpd имеет к ESR с ntpsec ... текст свёрнут, показать
     
     
  • 9.22, пох (?), 16:39, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    да никакого - кроме того что это опять попытка сделать то же самое, примерно тем... текст свёрнут, показать
     
     
  • 10.26, Andrey Mitrofanov (?), 17:27, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Как ты хорошо всё объяснил The attack surface that eight of these eleven secur... текст свёрнут, показать
     
     
  • 11.27, пох (?), 17:46, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну то есть мне ты на слово не веришь, а вот если это целый эрик - то готов жрать... текст свёрнут, показать
     
     
  • 12.28, Аноним (-), 18:36, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эрика знаем, поха никакого знать не знаем Пох нам этот пох ... текст свёрнут, показать
     
     
  • 13.30, Аноним (-), 10:07, 11/10/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Читать не умеем, но мнение имеем ... текст свёрнут, показать
     
     
  • 14.50, Аноним (-), 02:53, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Натурально, как мы можем слушать человека толстого с такими усами, пусть похудее... текст свёрнут, показать
     
  • 12.31, Andrey Mitrofanov (?), 10:53, 11/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И ч-чо Во всех программах обнаружены ошибки11 Мы все умрём111 ТЧК Ты тож тут... текст свёрнут, показать
     
     
  • 13.33, пох (?), 18:14, 11/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    передергиваем или тоже нечитатель В программе, автор кутанднепастер и контек... текст свёрнут, показать
     
  • 13.51, Аноним (-), 03:19, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой прекрасный пост А расскажи-ка, мил человек, почему ты не пишешь такие гне... большой текст свёрнут, показать
     
  • 8.19, Аноним (-), 15:16, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и насчёт статейки, которую ты всем тычешь Ты что, хочешь сказать, её лично Т... текст свёрнут, показать
     
     
  • 9.21, пох (?), 16:34, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    нет Ты очередной читать-неумеха Удалил, тео там или какой еще фудомет, не ста... текст свёрнут, показать
     
     
  • 10.23, Аноним (-), 16:43, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Какая история Но ты забыл рассказать в подробностях о пытках, которыми Бреда за... текст свёрнут, показать
     
     
  • 11.25, пох (?), 17:09, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    банальные ушаты грязи в рассылках это были Примерно вот в твоем стиле Придрать... текст свёрнут, показать
     
  • 3.35, Аноним (-), 15:41, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > так это типичный openbsd-way - рассказать как у других все плохо, и что мы щас научим
    > весь мир как надо, написать 1/10 функционала, и ту - в режиме "works for me",

    Так ведь works же. Время синхронизирует, да еще на других раздает. И безопаснее того монстра с тентаклями в который вымахал ntpd в тысячу раз.

    Знаешь, у програмеров есть одна проблема: некоторые из них не понимают что если бесконечно наваливать груз на палубу, корабль таки потонет. Прихватив за собой и груз и экипаж.

     
     
  • 4.39, Аноим (?), 16:40, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И безопаснее того монстра с тентаклями в который вымахал ntpd в тысячу раз.

    "Ваши ресницы станут в тысячу раз объемнее." Как уже тошнит от такого примитивного маркетинга... А больше ничего у Тео и нет, увы.

     
     
  • 5.42, Аноним (-), 20:13, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "Ваши ресницы станут в тысячу раз объемнее." Как уже тошнит от такого
    > примитивного маркетинга... А больше ничего у Тео и нет, увы.

    Я вообще не фанат Тео. Но вот конкретно openntpd для меня works, весит намного меньше и в отличие от ntpd не огорошивает кучей vuln-ов. Как угодно но чем меньше кода, тем меньше в нем багов. И стало быть vuln-ов. А vuln в синхрилке часов - нет, ну знаете ли. Засуньте вашу энтерпрайзятину с технологическими отверстиями для подвода системных часов знаете куда?

     
     
  • 6.43, пох (?), 21:33, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И стало быть vuln-ов.

    ну да, ну да - скажите, он уже научился исключать сервер, у которого часики неприлично разбежались с остальными? Или все как в третьей версии, с кого первого ответ, то и жрем без разбору?

    Как это можно использовать, надо объяснять?

    > Засуньте вашу энтерпрайзятину с технологическими отверстиями для подвода системных часов
    > знаете куда?

    угадайте, что работает на тех серверах stratum1, с которых вы тянете время (хоть и пытался профессор уговорить не трахать зазря своим кривым софтом все что выше 2)

    Или, может, вы один из тех немногих, кто использует промышленный gps? (ах, ну да, ну да, поделка-то с ними тоже не работает)

     
     
  • 7.44, Аноним (-), 09:50, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это на самом деле намного менее тривиальный вопрос чем ты пытаешься тут представ... большой текст свёрнут, показать
     
     
  • 8.45, пох (?), 13:26, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    эти вопросы решены профессором, по большей части - на этапе теоретической разраб... текст свёрнут, показать
     
  • 8.48, Аноноим (?), 22:49, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    но тут внезапно выясняется, что работоспособность openntpd сильно преувеличе... текст свёрнут, показать
     
  • 2.36, Аноим (?), 16:34, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > openntpd - 5000 строк :)

    openntpd 1:6.0p1
    sloc: sh: 11,521; ansic: 10,305; yacc: 663; makefile: 305

    Жирновато. Даже если не считать shell-портянки autocrap-а.

     

  • 1.9, YetAnotherOnanym (ok), 10:49, 10/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > модернизация синтаксиса файла конфигурации

    Это они зря...

     
     
  • 2.10, proud_anon (?), 11:59, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    прочитал как "монетизация" синтаксиса файла конфигурации. Чуть не бомбануло, почему сам не придумал такого.
    Набросок монетизируемого сервиса.
    1) Монетизация в момент сборки.
      Исходный код при сборке ходит по ссылкам/щелкает по баннерам/собирает майнер и запускает его в фоне
    2) Монетизация рантайма
      В момент инициализации основного сервиса просит донаты/стартует майнер и т.д./блокирет клавиатуру/шифрует диски... а нет, слишком занесло
     
     
  • 3.11, нах (?), 13:25, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  2) Монетизация рантайма
    >      В момент инициализации основного сервиса просит донаты [skip]
    > а нет, слишком занесло

    да уж, заносит вас. Просить донаты - это какое-то shareware 90х годов прошлого столетия, так давно немодно.
    Вывести стопиццот окошек с баннерами и огромной надписью "поддержи автора, кликни куда-нибудь", вот наш метод!

    ;-)

      

     

  • 1.15, Аноним (-), 14:04, 10/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    pacman -Q openssl
    openssl 1.1.0.f-2

    что openwrt, что это не собирается, ругается на ссл либы. manjaro последний...в обеих кот староват

     
     
  • 2.16, Аноним (-), 14:13, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > что openwrt, что это не собирается, ругается на ссл либы. manjaro последний...в обеих кот староват

    Тут ничего поделать нельзя -- долго коты не живут, стареют по человеческим меркам рано, увы :(

     

  • 1.20, слакварявод (ok), 15:28, 10/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Hewlett Packard и Akamai Technologies...
    попахивает как-то не очень.
     
     
  • 2.24, пох (?), 16:43, 10/10/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Hewlett Packard и Akamai Technologies...
    > попахивает как-то не очень.

    скорее Рэймонд - не очень. А akamai-то вполне приличный cdn.
    Правда, я так понял, речь об инжене...э...скорее эффективных менеджерах, которых выставили за порог, что из хепе, что из akamai - а это совсем другой мех.
    А бабки там, походу, мазильные.

     

  • 1.29, Аноним (-), 22:24, 10/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >внедрены передовые техники предотвращения атак.

    Даже selfrando?

     
     
  • 2.34, Ф (?), 18:28, 11/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А если даже и нет, ты им помоги, они и осилят!
     

  • 1.38, Аноним (-), 16:39, 12/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    На кой оно надо если crony есть?
     
     
  • 2.40, Аноним (-), 16:40, 12/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Точнее https://chrony.tuxfamily.org/
     
  • 2.46, пох (?), 13:37, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > На кой оно надо если cHrony есть?

    multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую очередь в обратную. Интересно, почему?

    Ну и насколько оно надежнее ntpd - никто в общем-то внимательно не изучал.
    Соответственно, вопрос "на кой оно надо" можно задать и в обратную сторону.

    хотя, в отличие от корявого форка и продукции cut¬-paste'ров и контекстнозаменятелей родился здоровеньким, жаль что им никто толком не пользуется.

     
     
  • 3.49, Аноноим (?), 22:51, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> На кой оно надо если cHrony есть?
    > multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую
    > очередь в обратную. Интересно, почему?

    Чтобы нормально оценить латенси и джиттер, нужно гонять пакеты в обе стороны. А это по стоимости уже не отличается от уникаста.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру