Recentemente notei pessoas tentando ataques de reflexão ntpd em meu servidor. Então, minhas perguntas são: quão necessário é que o ntpd permaneça ativado e como posso ativá-lo e desativá-lo?
Responder1
Uma instalação padrão do desktop Ubuntu 16.04 ou 18.04 não inclui o ntpd. (O instalador do servidor padrão também não o impõe, embora algumas imagens de nuvem o incluam.) Em vez disso, systemd-timesyncdé o cliente SNTP padrão. Por ser apenas um cliente SNTP (não um servidor NTP), ele não responde a solicitações externas (exceto possíveis bugs no systemd-timesyncd). Você pode ver o systemd-timesyncdque está fazendo usando timedatectl.
Outros pontos de interesse:
A configuração padrão do
ntpdUbuntu 16.04 inclui proteções específicas para evitar que seja usado em ataques de reflexão.No Ubuntu 18.04, o servidor NTP padrão (pré-preparado em algumas imagens) foi alterado para
chronyd, que possui um histórico de segurança melhor e uma base de código mais segura,de acordo com um relatório recente.
Responder2
Não é necessário que o ntpd permaneça habilitado. É bom ter um horário correto, mas não é necessário. A maioria das configurações padrão atuais devem restringir o acesso ao servidor NTP para proteção contra ataques de reflexão.
Para ativar e desativar na próxima reinicialização:
systemctl enable ntpd
systemctl disable ntpd
Para iniciar e parar imediatamente
systemctl start ntpd
systemctl stop ntpd
Responder3
Além do que RalfFriedl disse, também é importante notar que alguns softwares dependem do relógio para estarem sincronizados. Isso geralmente é para situações de licenciamento ou pares de chaves (às vezes o 2FA também exige isso).
Apenas esteja consciente do que você está executando e do que isso requer. Se você começar a ver erros estranhos com licenciamento ou certificados, verifique primeiro o NTP.
Em relação aos ataques de reflexão NTP, tenho quase certeza de que você pode evitar visitantes indesejados solicitando dados NTP fechando a porta* 123 para o tráfego de entrada. Dessa forma, você ainda pode fazer solicitações de saída NTP e receber suas respostas e bloquear ataques de entrada. Você realmente não deveria precisar dessa porta para o tráfego de entrada, a menos que esteja executando um servidor NTP. Você também pode desabilitar coisas como o comando monitor no NTP para proteger seu servidor NTP. (este post é antigo, mas pode ajudar:https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300/)
Espero que isso responda sua pergunta :D
*: Edite para maior clareza