Недавно я заметил, что люди пытаются проводить атаки отражения ntpd на моем сервере. Поэтому у меня вопросы: насколько необходимо, чтобы ntpd оставался включенным, и как я могу включать и выключать его?
решение1
Стандартная установка Ubuntu 16.04 или 18.04 desktop не включает ntpd. (Стандартный установщик сервера также не требует его, хотя некоторые облачные образы включают его.) Вместо этого, systemd-timesyncdявляется клиентом SNTP по умолчанию. Поскольку это всего лишь клиент SNTP (а не сервер NTP), он вообще не отвечает на внешние запросы (исключая потенциальные ошибки в systemd-timesyncd). Вы можете увидеть, что systemd-timesyncdделает, используя timedatectl.
Другие интересные места:
Конфигурация по умолчанию
ntpdв Ubuntu 16.04 включает в себя специальные меры защиты, предотвращающие использование в атаках отражения.В Ubuntu 18.04 сервер NTP по умолчанию (предварительно встроенный в некоторые образы) был переключен на
chronyd, который имеет лучшую историю безопасности и более защищенную кодовую базу,согласно недавнему отчету.
решение2
Не обязательно, чтобы ntpd оставался включенным. Хорошо иметь правильное время, но это не обязательно. Большинство текущих конфигураций по умолчанию должны ограничивать доступ к серверу ntp для защиты от атак отражения.
Чтобы включить и отключить для следующей перезагрузки:
systemctl enable ntpd
systemctl disable ntpd
Начать и остановить немедленно
systemctl start ntpd
systemctl stop ntpd
решение3
В дополнение к тому, что сказал РальфФридл, стоит также отметить, что некоторое программное обеспечение полагается на синхронизацию часов. Обычно это необходимо для лицензирования или пары ключей (иногда этого требует и 2FA).
Просто осознавайте, что вы используете и что для этого требуется. Если вы начнете видеть странные ошибки с лицензированием или сертификатами, я бы сначала дважды проверил NTP.
Что касается атак отражения NTP, я почти уверен, что вы можете избежать нежелательных посетителей, запрашивающих данные NTP, закрыв порт* 123 для входящего трафика. Таким образом, вы по-прежнему можете делать исходящие запросы NTP и получать их ответы, а также блокировать входящие атаки. Вам действительно не нужен этот порт для входящего трафика, если вы не используете сервер NTP. Вы также можете отключить такие вещи, как команда monitor в NTP, чтобы укрепить свой сервер NTP. (этот пост старый, но может помочь:https://isc.sans.edu/forums/diary/NTP+reflection+attack/17300/)
Надеюсь, я ответил на ваш вопрос :D
*: Отредактируйте для ясности