NTPsec on avoimen lähdekoodin projekti joka keskittyy kehittämiseen turvallinen ja parannettu toteutus verkkoaikaprotokollasta (NTP), jota käytetään laajalti verkon tietokonejärjestelmien kellojen synkronoimiseen, mikä varmistaa tarkan ja johdonmukaisen ajan mittauksen.
Tämän tyyppiset komponentit, ovat yleensä niitä, jotka useimmat käyttäjät jättävät huomiotta (ja mukaan luettuna itseni, koska vielä muutama kuukausi sitten en ollut ymmärtänyt tämän pienen protokollan tärkeyttä), koska se on jotain joka on jokapäiväisen elämämme takana, joten se jää huomaamatta.
Omassa tapauksessani huomasin NTP:n merkityksen kun halusin tehdä "yksinkertaisen päivityksen" järjestelmälleni (Arco Linux), jonka jätin avaamatta useiksi kuukausiksi. Lyhyesti sanottuna, kun kaikki päivitykset oli ladattu ja teoriassa ne olisi pitänyt asentaa, niitä ei yksinkertaisesti asennettu, koska minulla oli ongelma pakettien OpenPGP-avaimien kanssa ja ilmeisistä syistä poistuttuani järjestelmästä kuukausia, tämä synnytti vakavan ongelman.
Kun olin tehnyt 101 asiaa ja kokeillut kaikkea ja jopa karkoittanut tietokoneeni, en yksinkertaisesti pystynyt ratkaisemaan ongelmaani ja lähin ratkaisu oli asentaa järjestelmä uudelleen alusta, mistä en pitänyt.
Jotain, jonka huomasin koko ongelman ratkaisemisprosessin aikana, on se, että järjestelmäni aika oli erilainen kuin sijaintini ja tutkiessani vähän, että pieni ajanmuutos aiheutti ongelman, kun yritettiin tuoda uusia avaimia (kuten mainittiin siunattu arkki wiki). Kun luin tämän, isku otsaani oli ensimmäinen asia, jonka synnytin, ja yritin muuttaa kellonaikaa ja aloitin välittömästi uudelleenkäynnistyksen tarkistaakseni, olivatko BIOS-päivämäärä ja -aika oikein. Sen jälkeen käynnistin järjestelmän uudelleen valmistautuakseni tekemään muutoksen ikään kuin se olisi yleinen prosessi Windowsissa tai Androidissa, ja mikä oli vakava virhe saada tottumukset ennen analysoimista.
Huolimatta siitä, kuinka paljon yritin ratkaista ongelmaa tavalla tai toisella, ongelman aiheutti järjestelmässäni ollut ntp-paketti asennuksessani. Jostain syystä en voinut ratkaista pakettia, aiheutti minulle vain ongelmia. Täältä löysin NTPsecin, joka oli ratkaisuni useiden yritysten ratkaista ongelmani.
NTPsec on parannettu NTP-toteutus, joka sisältää monia tietoturvaparannuksia., koska siinä on IETF Network Time Security -standardin käyttöönotto aikapalvelun vahvaa kryptografista todennusta varten. Kaikki yhteensä, yli 74 % NTP Classic -koodikannasta on poistettu kokonaan, ja alle 5 % uutta koodia on lisätty turvallisuuskriittiseen ytimeen, ja nanosekunnin tarkkuutta käytetään myös johdonmukaisemmin.
Tietoturvaparannuksista mm. poistettu vanhentuneet tilat ja toiminnot, otettu käyttöön NTP Client Data Minimization RFC -standardi ja verkkoaikasuojaus sisällytettiin. Lisäksi tehtiin muutoksia ajan synkronointiin ja parannuksia asiakastyökaluihin uusilla apuohjelmilla, kuten ntpmon ja ntpviz reaaliaikaista seurantaa ja tietojen visualisointia varten.
Selittämällä tätä hieman, voimme ymmärtää hieman enemmän tämän "pienen" komponentin tärkeyttä, joka tavalliselle käyttäjälle aiheutti useita päänsärkyä ja kriittisissä ympäristöissä en halua kuvitella sen aiheuttamaa katastrofia.
Kun otetaan huomioon "ei niin laaja" selitys NTP:n tärkeydestä, syy kertoa pienestä "seikkailustani" on se, että NTPsec 1.2.3:n uusi versio julkaistiin äskettäin:
Uuden version parannuksia sisältyvät:
- Mode 6 -ohjausprotokollapakettien kohdistus muuttui, mikä saattaa vaikuttaa klassisen NTP:n tukeen. Tilaa 6 käytetään tiedon välittämiseen palvelimen tilasta ja käyttäytymisen muuttamisesta reaaliajassa.
- AES-salausalgoritmi on oletuksena toteutettu ntpq:ssa.
- Seccomp-mekanismin avulla estetään huonot järjestelmäkutsun nimet.
- Tuntiittainen uudelleenkäynnistystilastojen keruu on otettu käyttöön, ja NTS:lle, NTS-KE:lle ja ms-sntp:lle on lisätty lokikirjauksia.
- "Update"-vaihtoehdon sisällyttäminen buildprepiin.
- Parannuksia pakettiviivetietojen esittämiseen ntpdig JSON -lähdössä.
- Lisätty tuki ecdhcurves-luettelolle.
- Korjattu käännös alustoilla, jotka -fstack-protector riippuvat libssp:stä, kuten musl.
- Korjattu ntpdig-kaatumis, kun käytettiin 2.ntp.pool.org-palvelinta ilman IPv6-tukea.
Lopuksi jos olet iKiinnostaako tietää lisää siitä, voit tarkistaa yksityiskohdat seuraava linkki.