我在 CentOS 7.5 上安裝了 NTP 4.2.6p5。由於「網路時間協定多個安全漏洞」漏洞,我必須將其升級到最新的 NTP 4.2.8p13 版本。
現在的問題是,我無法使用 找到最新的可用版本yum whatprovides。
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
有人知道如何將 NTP 升級到最新版本 4.2.8p13 來修復此漏洞嗎?
編輯-1
我已經從來源安裝了 NTP 最新版本,但我不確定從來源安裝後如何啟動服務。
另外,我還刪除了舊的 rpm 包。
編輯2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
答案1
你真的應該使用 CentOS 的軟體包。它具有所有向後移植的修復程序,並且 CentOS 將繼續修復安全性更新,這與從原始程式碼建置的解決方案不同,每次 NTP 發布另一個 CVE 時都需要重新建置。
如果你只是運行“yum update ntp”你會得到解決了以下所有 CVE。無論誰告訴您這些 CVE 未解決,也應該查看該頁面。對其中許多人來說,Redhat 表示 el7 中的 ntp 軟體包甚至沒有受到影響。
不要盲目相信安全審核員,大多數情況下他們只是接受過在Windows 計算機上運行工具的培訓的人(如果他們甚至了解Linux,那麼你很幸運)並鸚鵡學舌地重複結果,並且對如何運行沒有深入的了解企業級 Linux 作業系統可以正常運作。 Redhat(以及隨後的 CentOS)將安全修復程序向後移植到軟體包的穩定版本。維護自己的最新版本其實是更多的存在安全風險,因為現在每次出現安全修復時都必須重建它。
編輯:另外,請指示您的安全審核員或任何告訴您將 ntp 升級到最新版本的人來閱讀Redhat 關於向後移植的討論
。
答案2
為了穩定性以及許多主機之間的快速收斂和時間維護,我一直使用 chrony 而不是 ntp。事實上,我相信從 RHEL/Centos 7.x 開始,chrony 是預設提供的主要網路時間包。
然而,就您而言,如果您想與發行版保持同步,您可以等到供應商發布新版本。對於 RHEL/Centos,軟體包中列出的主要版本通常在主要係統修訂版本的生命週期內根本不會更改。發生的情況是補丁被向後移植並且 -# 反映了更改。因此,儘管您的軟體包清單指示了一個版本,但它很可能會更新到當前版本。這使得管理員很難在全域範圍內驗證套件的特定版本號並進行比較。
如果您真的非常想升級到新版本,您可以下載來源套件並將其作為升級到新版本的基礎。我不得不對一些至關重要的軟體包執行此操作...這並不那麼難,但是您必須清除所有已經存在的補丁。