CentOS 7.5 に NTP 4.2.6p5 がインストールされています。「ネットワーク タイム プロトコルの複数のセキュリティ脆弱性」の脆弱性のため、最新の NTP 4.2.8p13 バージョンにアップグレードする必要があります。
今の問題は、 を使用して利用可能な最新バージョンを見つけることができないことですyum whatprovides。
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
この脆弱性を修正するために NTP を最新バージョン 4.2.8p13 にアップグレードする方法をご存知の方はいらっしゃいますか?
編集-1
NTP の最新バージョンをソースからインストールしましたが、ソースからインストールした場合にサービスを開始する方法がわかりません。
また、古い rpm パッケージも削除しました。
編集-2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
答え1
実際には、CentOS のパッケージを使用するだけで十分です。このパッケージにはバックポートされた修正がすべて含まれており、CentOS は、NTP が別の CVE を投稿するたびに再構築する必要があるソースから構築するソリューションとは異なり、セキュリティ更新を継続的に修正します。
「yum update ntp」を実行すると、以下のすべてのCVEが対処されましたこれらの CVE が対処されていないと言う人は、そのページも見るべきです。Redhat は、それらの多くについて、el7 の ntp パッケージは影響を受けていないと述べています。
セキュリティ監査人を盲目的に信じてはいけません。たいていの場合、彼らはWindowsコンピュータでツールを実行する訓練を受けただけの人(Linuxについて知っていればラッキーです)であり、結果をそのまま真似するだけで、エンタープライズLinux OSがどのように機能するかについて深い理解はありません。Redhat(およびその後のCentOS)は、セキュリティ修正をパッケージの安定バージョンにバックポートします。最新バージョンのビルドを独自に維持することは、実際にはもっとセキュリティ上のリスクがあります。セキュリティ修正があるたびに再構築する必要があるためです。
編集:また、セキュリティ監査人や、ntpを最新バージョンにアップグレードするように指示している人には、以下を読むように指示してください。Redhat のバックポートに関する議論
。
答え2
安定性と、多数のホスト間での迅速な収束および時間維持を目的として、私は ntp の代わりに chrony を使用してきました。実際、RHEL/Centos 7.x 以降では、デフォルトで提供される主要なネットワーク時間パッケージは chrony であると考えています。
ただし、あなたの指摘のとおり、ディストリビューションの同期を維持したい場合は、ベンダーから新しいバージョンがリリースされるまで待つだけで済みます。RHEL/Centos の場合、パッケージにリストされているプライマリ バージョンは、メジャー ポイント システム リビジョンの有効期間中は通常まったく変更されません。パッチがバックポートされ、-# が変更を反映します。したがって、パッケージ インベントリに 1 つのバージョンが示されていても、現在のバージョンに更新される可能性があります。これにより、管理者がパッケージの特定のバージョン番号をグローバルに確認して比較することが難しくなります。
どうしても新しいバージョンにアップグレードしたい場合は、ソース パッケージをダウンロードし、それをベースとして新しいバージョンにアップグレードすることができます。重要なパッケージについては、この操作を行う必要がありました。それほど難しいことではありませんが、既存のパッチをすべて取り除く必要があります。