Muss ntpd unter Ubuntu 16.04 aktiviert werden?

Question 1

Eine Standardinstallation des Ubuntu 16.04- oder 18.04-Desktops enthält nicht ntpd. (Das Standard-Serverinstallationsprogramm erzwingt es auch nicht, obwohl einige Cloud-Images es enthalten.) Vielmehr systemd-timesyncdist der Standard-SNTP-Client. Da es sich nur um einen SNTP-Client (kein NTP-Server) handelt, reagiert es überhaupt nicht auf Anfragen von außen (abgesehen von möglichen Fehlern in systemd-timesyncd). Sie können sehen, was systemd-timesyncdpassiert, indem Sie verwenden timedatectl.

Weitere interessante Punkte:

Die Standardkonfiguration ntpdunter Ubuntu 16.04 umfasst spezielle Schutzmaßnahmen, um eine Verwendung für Reflexionsangriffe zu verhindern.
Unter Ubuntu 18.04 wurde der Standard-NTP-Server (in einigen Images vorinstalliert) auf umgestellt chronyd, der eine bessere Sicherheitshistorie und eine sicherere Codebasis hat.laut einem aktuellen Bericht.

Answer

Eine Standardinstallation des Ubuntu 16.04- oder 18.04-Desktops enthält nicht ntpd. (Das Standard-Serverinstallationsprogramm erzwingt es auch nicht, obwohl einige Cloud-Images es enthalten.) Vielmehr systemd-timesyncdist der Standard-SNTP-Client. Da es sich nur um einen SNTP-Client (kein NTP-Server) handelt, reagiert es überhaupt nicht auf Anfragen von außen (abgesehen von möglichen Fehlern in systemd-timesyncd). Sie können sehen, was systemd-timesyncdpassiert, indem Sie verwenden timedatectl.

Weitere interessante Punkte:

Die Standardkonfiguration ntpdunter Ubuntu 16.04 umfasst spezielle Schutzmaßnahmen, um eine Verwendung für Reflexionsangriffe zu verhindern.
Unter Ubuntu 18.04 wurde der Standard-NTP-Server (in einigen Images vorinstalliert) auf umgestellt chronyd, der eine bessere Sicherheitshistorie und eine sicherere Codebasis hat.laut einem aktuellen Bericht.

Question 2

Es ist nicht notwendig, dass ntpd aktiviert bleibt. Es ist schön, eine korrekte Zeit zu haben, aber nicht notwendig. Die meisten aktuellen Standardkonfigurationen sollten den Zugriff auf den NTP-Server einschränken, um vor Reflexionsangriffen zu schützen.

So aktivieren und deaktivieren Sie es für den nächsten Neustart:

systemctl enable ntpd
systemctl disable ntpd

Zum sofortigen Starten und Stoppen

systemctl start ntpd
systemctl stop ntpd

Answer

Es ist nicht notwendig, dass ntpd aktiviert bleibt. Es ist schön, eine korrekte Zeit zu haben, aber nicht notwendig. Die meisten aktuellen Standardkonfigurationen sollten den Zugriff auf den NTP-Server einschränken, um vor Reflexionsangriffen zu schützen.

So aktivieren und deaktivieren Sie es für den nächsten Neustart:

systemctl enable ntpd
systemctl disable ntpd

Zum sofortigen Starten und Stoppen

systemctl start ntpd
systemctl stop ntpd

Question 3

Zusätzlich zu dem, was RalfFriedl gesagt hat, ist es auch erwähnenswert, dass manche Software auf die Synchronisierung der Uhr angewiesen ist. Dies ist normalerweise bei Lizenzierungssituationen oder Schlüsselpaarsituationen der Fall (manchmal erfordert 2FA dies auch).

Seien Sie sich einfach bewusst, was Sie ausführen und was dafür erforderlich ist. Wenn Sie seltsame Fehler bei Lizenzen oder Zertifikaten sehen, würde ich zuerst NTP noch einmal überprüfen.

In Bezug auf NTP-Reflection-Angriffe bin ich mir ziemlich sicher, dass Sie unerwünschte Besucher, die NTP-Daten anfordern, vermeiden können, indem Sie Port* 123 für eingehenden Datenverkehr schließen. Auf diese Weise können Sie weiterhin ausgehende NTP-Anfragen stellen und deren Antworten empfangen und eingehende Angriffe blockieren. Sie sollten diesen Port für eingehenden Datenverkehr wirklich nicht benötigen, es sei denn, Sie betreiben einen NTP-Server. Sie können auch Dinge wie den Monitorbefehl in NTP deaktivieren, um Ihren NTP-Server abzusichern. (Dieser Beitrag ist alt, könnte aber hilfreich sein:https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300/)

Ich hoffe, das beantwortet deine Frage :D

*: Zur Verdeutlichung bearbeiten

Answer

Zusätzlich zu dem, was RalfFriedl gesagt hat, ist es auch erwähnenswert, dass manche Software auf die Synchronisierung der Uhr angewiesen ist. Dies ist normalerweise bei Lizenzierungssituationen oder Schlüsselpaarsituationen der Fall (manchmal erfordert 2FA dies auch).

Seien Sie sich einfach bewusst, was Sie ausführen und was dafür erforderlich ist. Wenn Sie seltsame Fehler bei Lizenzen oder Zertifikaten sehen, würde ich zuerst NTP noch einmal überprüfen.

In Bezug auf NTP-Reflection-Angriffe bin ich mir ziemlich sicher, dass Sie unerwünschte Besucher, die NTP-Daten anfordern, vermeiden können, indem Sie Port* 123 für eingehenden Datenverkehr schließen. Auf diese Weise können Sie weiterhin ausgehende NTP-Anfragen stellen und deren Antworten empfangen und eingehende Angriffe blockieren. Sie sollten diesen Port für eingehenden Datenverkehr wirklich nicht benötigen, es sei denn, Sie betreiben einen NTP-Server. Sie können auch Dinge wie den Monitorbefehl in NTP deaktivieren, um Ihren NTP-Server abzusichern. (Dieser Beitrag ist alt, könnte aber hilfreich sein:https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300/)

Ich hoffe, das beantwortet deine Frage :D

*: Zur Verdeutlichung bearbeiten

Muss ntpd unter Ubuntu 16.04 aktiviert werden?

Antwort1

Antwort2

Antwort3

verwandte Informationen