Обновите ntp до 4.2.8p13 в CentOS
Проблема плохо определена. Если вы проследите цепочку процессов от дочернего к родительскому, то в конце концов дойдете до процесса 1 (init). Когда он умирает, это означает, что система перезагружается.
Перезагрузка машины - это не то, что обычно делается в рамках обновления, потому что только администратор знает, когда безопасно перезагружаться. Перезагрузка во время обновления определенно небезопасна. (Да, Windows делает это, и это яркий пример того, чего делать не следует - многие пользователи Windows имеют ужасные истории о потерянной работе из-за принудительных обновлений, вызывающих перезагрузку.)
Если обновление присутствует, покажите администратору сообщение с просьбой перезагрузиться как можно скорее.
Если обновление не посещается, попросите систему автоматического обновления организовать перезагрузку. Только ваша система обновления знает конкретные обстоятельства, которые делают безопасной перезагрузку в определенное время - потому что вы активировали обход отказа на своем сервере или потому что производственная линия, которую контролирует ваше встроенное устройство, остановлена. Ваша система обновления запускает opkg, а затем проверяет, требуется ли обновление; например, она может перезагрузиться (когда это безопасно), если существует файл /reboot_needed.
Вам действительно следует использовать пакет из CentOS. В нем есть все бэкпортированные исправления, и CentOS продолжит исправлять обновления безопасности, в отличие от вашей сборки -из исходного решения -, которую нужно будет пересобирать каждый раз, когда NTP публикует очередной CVE.
Если вы просто запустите «yum update ntp», вы получите все следующие CVE с адресом . Тот, кто говорит вам, что эти CVE не рассматриваются, должен также посмотреть эту страницу. Для многих из них Redhat говорит, что пакет ntp в el7 даже не затрагивается.
Не верьте слепо аудиторам безопасности, чаще всего это просто люди, обученные запускать инструмент на компьютере с Windows (вам повезло, если они вообще знают о Linux )и повторяют результаты и не имеют глубокого понимания того, как работает корпоративная ОС Linux. Redhat (, а впоследствии и CentOS )переносят исправления безопасности в стабильную версию пакета. Поддержание вашей собственной сборки последней версии на самом деле больше риска для безопасности, потому что теперь вам нужно пересобирать ее каждый раз, когда появляется исправление безопасности.
РЕДАКТИРОВАТЬ :Кроме того, попросите своих аудиторов безопасности или тех, кто советует вам обновить ntp до последней версии, прочитать обсуждение Redhat бэкпортов
.
В целях стабильности, быстрой сходимости и сохранения времени между многими хостами я использовал chrony вместо ntp. Фактически, я считаю, что из RHEL/Centos 7.x chrony является основным пакетом сетевого времени, предоставляемым по умолчанию.
Однако, к вашему сведению, если вы хотите синхронизировать свой дистрибутив, вы можете просто подождать, пока поставщик не выпустит новую версию. В случае RHEL/Centos основная версия, указанная в пакете, обычно вообще не меняется в течение срока действия основной версии системы. Что происходит, так это то, что исправления переносятся обратно, а -#отражает изменение. Таким образом, хотя в вашем списке пакетов указана одна версия, она вполне может быть обновлена до текущей версии. Это затрудняет для администраторов глобальную проверку определенных номеров версий пакета и их сравнение.
Если вы действительно хотите перейти на новую версию, вы можете загрузить исходный пакет и использовать его в качестве основы для перехода к новой версии. Мне приходилось делать это для некоторых пакетов, которые были критическими... это не так уж и сложно, но вам придется отсеять все патчи, которые уже существуют.