Должен ли я запускать демон NTP на моем персональном компьютере для дополнительной безопасности?
Обеспечит ли запуск демона NTP на моем персональном компьютере дополнительную безопасность? Я спрашиваю, потому что инструмент сказал мне получить демон NTP из соображений безопасности. Однако, как правило, этот инструмент в основном предназначен для серверов, и теперь мне интересно, относится ли эта рекомендация также к ПК / клиентам.
Если это обеспечит дополнительную безопасность, просьба кратко пояснить , почему .
Я использую Debian 9.1 с KDE.
Я рекомендую следить за точными часами, так как они, скорее всего, отображаются на экране в вашем графическом интерфейсе. Меня часто смущало, если это показывает неправильное время :). Большинство систем используют для этого ту или иную форму NTP. Но если вы хотите уменьшить поверхность атаки и просто запустить ntpdateвручную один раз, это тоже неплохое решение, IMO.
Существует аспект безопасности, но на персональном компьютере это очень второстепенно. Рассуждение:
Есть два преимущества безопасности точных часов.
- Считается, что хорошо синхронизированная журнальная информация полезна при реагировании на инциденты, связанные с безопасностью. Это не актуально для отдельного ПК.
- Если дата выходит за пределы допустимого диапазона, механизмы безопасности для истечения срока действия SSL-сертификатов с истекшим сроком действия не будут работать правильно.
Мы не ожидаем, что часы будут дрейфовать настолько, чтобы вызвать несовпадение дат во время работы системы. Однако часы могли пойти не так и по другим причинам. Например, может разрядиться батарея RTC.
В этой ситуации nptd(например, в сценариях инициализации Debian по умолчанию) запускается с параметром -g.Он установит часы с серверов времени в Интернете, независимо от того, насколько они устарели.
Маловероятно, что вы одновременно подвергнетесь атаке с использованием старых SSL-сертификатов с истекшим сроком действия. Злоумышленник сделал бы большую ставку на то, что ваши часы также устарели. Гораздо более вероятно, что плохие часы вызовут ложноположительные ошибки, а не ложноотрицательные. Более серьезная проблема безопасности заключается в том, что пользователь может быть сбит с толку ошибками истечения срока действия SSL, а «щелкнуть» реальную ошибку SSL.
Однако я не думаю, что это очень удобно для атаки.
«Доступность» также является свойством безопасности, но относится к некоторой активной атаке, вызывающей отказ в обслуживании. Если вы теряете службу точного времени из-за аппаратного сбоя или ошибки пользователя, это само по себе не является сбоем в системе безопасности.
Вторая причина, по которой это второстепенно, заключается в том, что NTP не защищен в том же смысле, что и SSL (https://) или apt-get. Враждебная сеть может попытаться обнаружить ntpd -gи в любом случае предоставить ложное время.
Каждая рекомендация может быть применена к ПК и клиентам, но вам нужно иметь о них некоторую предысторию... как сказал dr01, эта конкретная служба может избежать временного отравления. Вы можете увидеть и пример здесь об отравлении временем...
Некоторые полезные рекомендации могут быть:
Всегда запускайте службы в доверенных сетях
Это означает, что если вам нужна служба или вы хотите запустить ее, вы должны убедиться, что эта служба будет храниться внутри вашей сети... вам понадобится хороший брандмауэр за маршрутизатором, чтобы обеспечить ее безопасность.
Запустите сервис, если он вам действительно нужен
Это довольно просто: если вам нужна служба, запустите ее, а если нет, избегайте. Чем больше сервисов вы запускаете, тем больше векторов вы оставляете злоумышленнику, который попытается вас взломать.
Не запускайте службы от имени пользователя root, кроме тех, которые необходимы
Это очевидно, но всегда полезно помнить... избегайте запуска ненужных служб от имени root, если какой-либо из них скомпрометирован, то скомпрометирована вся машина.
В моем сообществе есть хорошее руководство по обеспечению безопасности служб, если вам нужно найти более подробную информацию о любой другой службе, которую вы сейчас используете.
Существует две концепции, связанные с NTP. Первый — это NTP-клиент, а второй -NTP-сервер.
NTP-сервер предоставляет корректное время для NTP-клиентов через порт 123, из-за чего может стать жертвой DDOS-атак. Есть некоторая статистика о том, что многие NTP-серверы используют очень старые версии демонов NTP (около четверти и более ). Злоумышленники могут использовать уязвимости, обнаруженные в устаревших версиях демона NTP.
Но это не ваша проблема, потому что вам нужен NTP-клиент, который только синхронизирует местное время с публичными NTP-серверами. Вам нужно выбрать доверенные серверы (, например.http://www.pool.ntp.org/ru/)и правильно настройте демон.
NTP — это протокол сетевого времени.
Демон NTP не делает ничего, кроме синхронизации часов вашего компьютера с серверами времени более низкого уровня (для Debian, они *.debian.pool.ntp.orgпо умолчанию ). Рекомендуется, чтобы он работал на вашем компьютере, но он не делает ничего, связанного с безопасностью -.
Чтобы установить его, запустите
apt-get install ntp