最近、私のサーバーで ntpd リフレクション攻撃をしようとしている人がいることに気付きました。そこで質問なのですが、ntpd を有効にしておくことはどの程度必要なのでしょうか。また、ntpd を有効または無効にするにはどうすればいいのでしょうか。
答え1
Ubuntu 16.04 または 18.04 デスクトップのデフォルトインストールには が含まれていませんntpd。(デフォルトのサーバーインストーラーでも強制されませんが、一部のクラウドイメージには含まれています。) 代わりに、systemd-timesyncdがデフォルトの SNTP クライアントです。 は SNTP クライアントに過ぎず (NTP サーバーではありません)、外部からの要求にはまったく応答しません ( の潜在的なバグを除く)。を使用して が何を行っているsystemd-timesyncdかを確認できます。systemd-timesyncdtimedatectl
その他の興味深い点:
Ubuntu 16.04のデフォルト設定
ntpdには、リフレクション攻撃に使用されるのを防ぐための特定の保護が含まれています。Ubuntu 18.04では、デフォルトのNTPサーバー(一部のイメージにあらかじめ組み込まれている)が
chronyd、セキュリティ履歴がより優れ、コードベースがより安全な に切り替えられました。最近の報告によると。
答え2
ntpd を有効にしておく必要はありません。正確な時刻があれば便利ですが、必須ではありません。現在のデフォルト設定のほとんどは、リフレクション攻撃から保護するために ntp サーバーへのアクセスを制限する必要があります。
次回の再起動時に有効または無効にするには:
systemctl enable ntpd
systemctl disable ntpd
すぐに開始および停止する
systemctl start ntpd
systemctl stop ntpd
答え3
RalfFriedl 氏の発言に加えて、一部のソフトウェアは同期にクロックを頼りにしていることにも注目すべきです。これは通常、ライセンス状況やキー ペア状況のためです (2FA でも必要な場合があります)。
実行している内容と、それに必要なものに注意してください。ライセンスや証明書で奇妙なエラーが表示され始めたら、まず NTP を再確認することをお勧めします。
NTP リフレクション攻撃に関しては、ポート* 123 を着信トラフィックに対して閉じることで、望ましくない訪問者が NTP データを要求するのを回避できると確信しています。この方法では、NTP 発信要求を送信して応答を受信し、着信攻撃をブロックすることができます。NTP サーバーを実行している場合を除き、着信トラフィックにそのポートは必要ありません。NTP の monitor コマンドなどを無効にして、NTP サーバーを強化することもできます。(この投稿は古いですが、役立つかもしれません。https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300/)
これであなたの質問への答えがわかったと思います :D
*: わかりやすくするために編集