NTPsec, μια βελτιωμένη υλοποίηση του NTP

ntpsec

λογότυπο ntpsec

Το NTPsec είναι ένα έργο ανοιχτού κώδικα που εστιάζει στην ανάπτυξη των ασφαλής και βελτιωμένη εφαρμογή του πρωτοκόλλου ώρας δικτύου (NTP), το οποίο χρησιμοποιείται ευρέως για το συγχρονισμό των ρολογιών των συστημάτων υπολογιστών σε ένα δίκτυο, διασφαλίζοντας ακριβή και συνεπή μέτρηση του χρόνου.

Αυτό το είδος εξαρτημάτων, είναι συνήθως αυτά που οι περισσότεροι χρήστες αγνοούν (και συμπεριλαμβάνω τον εαυτό μου γιατί μέχρι πριν λίγους μήνες δεν είχα καταλάβει τη σημασία αυτού του μικρού πρωτοκόλλου), αφού όντας κάτι που βρίσκεται πίσω από την καθημερινότητά μας, είναι κάτι που περνά απαρατήρητο.

Στην περίπτωσή μου ανακάλυψα τη σημασία του NTP όταν ήθελα να κάνω μια "απλή ενημέρωση" του συστήματός μου (Arco Linux) που άφησα κλειστό για αρκετούς μήνες. Συνοπτικά, αφού κατέβασαν όλες οι ενημερώσεις και θεωρητικά θα έπρεπε να είχαν εγκατασταθεί, απλώς δεν εγκαταστάθηκαν, γιατί είχα πρόβλημα με τα κλειδιά OpenPGP στα πακέτα και για προφανείς λόγους άφησα το σύστημα για μήνες , αυτό επρόκειτο να δημιουργήσει ένα σοβαρό πρόβλημα.

Αφού έκανα 101 πράγματα και δοκίμασα τα πάντα, ακόμη και ξόρκισα τον υπολογιστή μου, απλά δεν μπορούσα να λύσω το πρόβλημά μου και η πιο κοντινή λύση ήταν να εγκαταστήσω ξανά το σύστημα από την αρχή, κάτι που δεν μου άρεσε.

Κάτι που παρατήρησα σε όλη τη διαδικασία της προσπάθειας επίλυσης του προβλήματος είναι ότι η ώρα στο σύστημά μου ήταν διαφορετική από εκείνη της τοποθεσίας μου και κάνοντας λίγη έρευνα ότι η μικρή αλλαγή ώρας δημιούργησε πρόβλημα κατά την προσπάθεια εισαγωγής των νέων κλειδιών (όπως αναφέρθηκε ο ευλογημένος arch wiki). Διαβάζοντας αυτό, ένα χαστούκι στο μέτωπό μου ήταν το πρώτο πράγμα που δημιούργησα και προσπάθησα να αλλάξω την ώρα και αμέσως προχώρησα στην επανεκκίνηση για να ελέγξω αν η ημερομηνία και η ώρα του BIOS ήταν σωστές, όπως ήταν. Μετά από αυτό, ξεκίνησα ξανά το σύστημα για να προετοιμαστώ για να κάνω την αλλαγή σαν να ήταν μια συνηθισμένη διαδικασία στα Windows ή στο Android, και που ήταν σοβαρό λάθος να έχω τις συνήθειες πριν από την ανάλυση.

Ανεξάρτητα από το πόσο προσπάθησα να λύσω το πρόβλημα με τον ένα ή τον άλλο τρόπο, αυτό που προκαλούσε το πρόβλημα στο σύστημά μου ήταν το πακέτο ntp στην εγκατάστασή μου, για κάποιο λόγο που δεν κατάφερα ποτέ να επιλύσω το πακέτο απλώς μου δημιουργούσε προβλήματα. Εδώ βρήκα το NTPsec που ήταν η λύση μου μετά από αρκετές προσπάθειες να λύσω το πρόβλημά μου.

Το NTPsec είναι μια βελτιωμένη υλοποίηση του NTP που διαθέτει πολλές βελτιώσεις ασφάλειας., αφού έχει το εφαρμογή του προτύπου IETF Network Time Security για ισχυρό κρυπτογραφικό έλεγχο ταυτότητας της υπηρεσίας χρόνου. Σύνολο, πάνω από το 74% της βάσης κωδικών NTP Classic έχει αφαιρεθεί πλήρως, και λιγότερο από 5% νέος κώδικας έχει προστεθεί στον κρίσιμο για την ασφάλεια πυρήνα και υπάρχει επίσης πιο συνεπής χρήση της ακρίβειας νανοδευτερόλεπτου.

Μεταξύ των βελτιώσεων ασφάλειας, αφαίρεσε τις απαρχαιωμένες λειτουργίες και λειτουργίες, υιοθετήθηκε το πρότυπο RFC ελαχιστοποίησης δεδομένων πελάτη NTP και ενσωματώθηκε η ασφάλεια χρόνου δικτύου. Επιπλέον, έγιναν αλλαγές στον συγχρονισμό χρόνου και βελτιώσεις στα εργαλεία πελάτη, με νέα βοηθητικά προγράμματα όπως το ntpmon και το ntpviz για παρακολούθηση σε πραγματικό χρόνο και οπτικοποίηση δεδομένων, αντίστοιχα.

Εξηγώντας αυτό λίγο, μπορούμε να καταλάβουμε λίγο περισσότερο τη σημασία αυτού του "μικρού" στοιχείου που, για έναν κανονικό χρήστη, προκάλεσε αρκετούς πονοκεφάλους και σε κρίσιμα περιβάλλοντα δεν θέλω να φανταστώ την καταστροφή που μπορεί να προκαλέσει.

Δεδομένης μιας "όχι και τόσο εκτενούς" εξήγησης της σημασίας του NTP, ο λόγος για να πω τη μικρή μου "περιπέτεια" είναι επειδή Η νέα έκδοση του NTPsec 1.2.3 κυκλοφόρησε πρόσφατα:

Μεταξύ των βελτιώσεων στη νέα έκδοση Περιλαμβάνουν:

  • Άλλαξε η ευθυγράμμιση των πακέτων πρωτοκόλλου ελέγχου Mode 6, κάτι που θα μπορούσε να επηρεάσει την υποστήριξη για το κλασικό NTP. Η λειτουργία 6 χρησιμοποιείται για τη μετάδοση πληροφοριών σχετικά με την κατάσταση του διακομιστή και την αλλαγή συμπεριφοράς σε πραγματικό χρόνο.
  • Ο αλγόριθμος κρυπτογράφησης AES έχει εφαρμοστεί από προεπιλογή στο ntpq.
  • Χρήση του μηχανισμού Seccomp για τον αποκλεισμό εσφαλμένων ονομάτων κλήσεων συστήματος.
  • Η συλλογή στατιστικών στοιχείων ωριαίας επανεκκίνησης έχει ενεργοποιηθεί, με πρόσθετη καταγραφή για NTS, NTS-KE και ms-sntp.
  • Συμπερίληψη της επιλογής "ενημέρωση" στο buildprep.
  • Βελτιώσεις στην παρουσίαση δεδομένων καθυστέρησης πακέτων στην έξοδο ntpdig JSON.
  • Προστέθηκε υποστήριξη για τη λίστα ecdhcurves.
  • Διορθώθηκε η μεταγλώττιση σε πλατφόρμες που το -fstack-protector εξαρτώνται από το libssp, όπως το musl.
  • Διορθώθηκε το σφάλμα ntpdig κατά τη χρήση του 2.ntp.pool.org με κεντρικό υπολογιστή χωρίς υποστήριξη IPv6.

Τέλος αν είσαι iΕνδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες στο παρακάτω σύνδεσμο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: AB Internet Networks 2008 SL
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.