sslug-teknik team mailing list archive

Thread
Date

Re: ntp og sikkerhed

To: sslug-teknik@xxxxxxxx
From: Troels Arvin <troels@xxxxxxxx>
Date: Tue, 01 Feb 2005 02:02:57 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: Pan/0.14.2.91 (As She Crawled Across the Table)

On Tue, 01 Feb 2005 00:27:57 +0000, Keld Jørn Simonsen wrote:

> Jeg kører ntp på mine servere, men er ikke glad for at have tjenesten
> kørende så den er åben for andre. Jeg er kun interesseret i at den
> kører som klient. Hvordan skal jeg sætte min brandmur op? Hvilke porte
> kan jeg lukke for, og hvilke skal være åbne?

NTP kører over UDP (forbindelsesløst), så ligegyldigt hvor fantastisk en
firewall du måtte stille foran, kan den principielt udsættes for
spoofing, hvis der er uheldigt konfigurerede routere indskudt. Derfor vil
jeg påstå, at firewalling (som så ofte) er uden sikkerhedsmæssig
effekt, andet end til at bortlede opmærksomheden fra det, der batter.

Eksempel NTP setup på en server, jeg har kørende:

#============================================================
restrict default                        ignore
restrict 127.0.0.1
restrict 192.38.7.240    mask 255.255.255.255 nomodify notrap
restrict 193.162.159.194 mask 255.255.255.255 nomodify notrap
restrict 193.162.145.130 mask 255.255.255.255 nomodify notrap
restrict 192.36.143.150  mask 255.255.255.255 nomodify notrap

server 192.38.7.240    #gps.dix.dk
server 193.162.159.194 #ntp1.tele.dk
server 193.162.145.130 #ntp2.tele.dk
server 192.36.143.150  #time1.stupi.se
server  127.127.1.0    # local clock

fudge   127.127.1.0 stratum 10
authenticate no
driftfile /var/lib/ntp/drift
broadcastdelay  0.008
#========================================================================

Ovenstående er den mest defensive NTP-server konfiguration, jeg har
kunnet finde frem til, så længe NTP-serveren ikke skal uddele tid til
andre end sig selv. (Det er noget tid siden jeg kiggede på emnet, så
jeg husker ikke den præcise betydning af hver linje; se
dokumentationen.)

De - overraskende få - gange, hvor der har været fundet sikkerhedshuller
i NTP-dæmonen, har defensive indstillinger (i stil med ovenstående)
faktisk gjort en forskel på, om hullerne kunne udnyttes eller ej.

Derud over sørger jeg for, at NTP-dæmonen skifter til en ikke-root
bruger efter start.

Og så har jeg i øvrigt chroot'et den. Sidstnævnte er ikke kompliceret,
hvis man har lidt erfaring med chroot'ing. Chroot'ingen er i øvrigt
grunden til, at jeg benytter IP-adresser i konfigurationen, og ikke
hostnavne: Når der ikke er behov for resolving, simplificerer det (så
vidt jeg husker) chroot'ing.

-- 
Greetings from Troels Arvin, Copenhagen, Denmark

Follow ups

Re: ntp og sikkerhed
From: Keld Jørn Simonsen, 2005-02-01

References

ntp og sikkerhed
From: Keld Jørn Simonsen, 2005-02-01