최근에 사람들이 내 서버에서 ntpd 반사 공격을 시도하는 것을 발견했습니다. 그래서 내 질문은 ntpd를 활성화된 상태로 유지하는 것이 얼마나 필요하며 어떻게 활성화하고 비활성화할 수 있습니까?
답변1
Ubuntu 16.04 또는 18.04 데스크탑의 기본 설치에는 ntpd. (일부 클라우드 이미지에는 포함되어 있지만 기본 서버 설치 프로그램도 이를 시행하지 않습니다.) 오히려 systemd-timesyncd기본 SNTP 클라이언트입니다. NTP 서버가 아닌 SNTP 클라이언트일 뿐이므로 외부의 요청에 전혀 응답하지 않습니다( 의 잠재적인 버그 제외 systemd-timesyncd). 를 systemd-timesyncd사용하여 무엇을 하고 있는지 확인할 수 있습니다 timedatectl.
기타 관심 장소:
Ubuntu 16.04 의 기본 구성에는
ntpd반사 공격에 사용되는 것을 방지하는 특정 보호 기능이 포함되어 있습니다.chronydUbuntu 18.04에서는 기본 NTP 서버(일부 이미지에 미리 구워져 있음)가 더 나은 보안 기록과 더 안전한 코드베이스를 갖춘 로 전환되었습니다 .최근 보고에 따르면.
답변2
ntpd를 활성화된 상태로 유지할 필요는 없습니다. 정확한 시간을 갖는 것은 좋지만 꼭 필요한 것은 아닙니다. 대부분의 현재 기본 구성에서는 반사 공격으로부터 보호하기 위해 ntp 서버에 대한 액세스를 제한해야 합니다.
다음 재부팅을 활성화 및 비활성화하려면:
systemctl enable ntpd
systemctl disable ntpd
즉시 시작하고 중지하려면
systemctl start ntpd
systemctl stop ntpd
답변3
RalfFriedl이 말한 것 외에도 일부 소프트웨어는 동기화를 위해 시계에 의존한다는 점도 주목할 가치가 있습니다. 이는 일반적으로 라이센스 상황 또는 키 쌍 상황에 대한 것입니다(때로는 2FA에서도 이를 요구함).
실행 중인 항목과 필요한 항목이 무엇인지 의식하세요. 라이선스나 인증서에 이상한 오류가 표시되기 시작하면 먼저 NTP를 다시 확인하세요.
NTP 반사 공격과 관련하여 인바운드 트래픽에 대해 포트* 123을 닫으면 원치 않는 방문자가 NTP 데이터를 요청하는 것을 방지할 수 있다고 확신합니다. 이렇게 하면 계속해서 NTP 아웃바운드 요청을 하고 해당 응답을 받고 들어오는 공격을 차단할 수 있습니다. NTP 서버를 실행하지 않는 한 인바운드 트래픽에 해당 포트가 필요하지 않습니다. NTP 서버를 강화하기 위해 NTP의 모니터 명령과 같은 기능을 비활성화할 수도 있습니다. (이 게시물은 오래되었지만 도움이 될 수 있습니다.https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300/)
귀하의 질문에 대한 답변이 되었기를 바랍니다 :D
*: 명확성을 위해 편집