使用Chrony作为Ubuntu的客户来改善NTP安全性

[prisilabr03]

STIG中提供的服务器列表 细节 都是NTP服务器。在某些环境中,Veeam管理员希望使用内部NTP服务器,因为它是唯一可用的内部时间协议,并且在公司防火墙上打开传出端口需要大量文书工作。NTP仍然是许多客户的标准协议。上面还有大量的公共时间服务器 www。ntppool。org 适用于世界不同地区,或者可以简单地使用pool。ntp。org作为来源。对于公司网络,在Windows域控制器上运行的NTP服务是一个流行的时间源。

与上个世纪的许多协议一样, 安全挑战 与NTP关联。让我们想象一下这样一种情况,即攻击者成为配置的所有NTP服务器上的管理员/根,或者攻击者可以运行中间人攻击并能够操纵所有NTP流量。如果与本地时间相比时差太大,则具有默认设置的NTPD仅以“时间错误”停止。对于chrony的默认设置（现代的NTP实现以及Red Hat和Red Hat派生的默认设置）,这种情况不是问题。Chrony的时钟运行速度仅稍快一些,这意味着需要很长时间才能看到明显的时间变化。


让我们想象一下,攻击者有时间等到Hardened Repository服务器重 香港电话号码表 新启动（或按时重新启动服务）。默认设置在这里无济于事,因为默认情况下,在启动过程中按时间设置时钟“正确”。下一节介绍了如何配置针对此类攻击的及时NTP客户端。


时空 是流行的NTP客户端和服务器应用程序。这是自8。0版以来Red Hat上的默认网络时间客户端。在Ubuntu上,安装是通过一个命令完成的。我还安装gnutls-bin以便以后检查TLS连接。
chrony的安装将删除systemd-timesyncd（Ubuntu上的默认NTP客户端）。陈旧的网站有很多有关 安全相关选项。有两个主要设置。其中,必须从默认状态更改。

DAEMON_OPTS =“-R -F -1”
“-R ”选项可防止chrony在重新启动服务或整个服务器范围内重新启动期间执行较大的时间步骤。第二个选项是“makestep ”指令,每个默认值设置为一个好值。“makestep ”指令定义了时钟进行最大步长的方式和频率。例如,如果攻击者希望将时钟更改为将来的几周,则将需要数月或数年的时间才能将时钟更改为错误的时间。
1 3
对具有上述配置的Hardened Repository的攻击以NTP服务器和Hardened Repository之间的时间不同步而结束。使用“chronyc跟踪”,可以看到NTP服务器和客户端之间的时差。
同样,有关该问题的消息也存在于/ var / log / syslog中:

chronyd [28782]:系统时钟错误85466。423485秒
现在,让我们使用NTS协议解决中间人攻击问题。请记住,这不能防止攻击者拥有所有时间服务器的情况。“-R ”设置对于NTS也有效。

摘要
防止网络时间攻击很容易 Veeam硬化存储库。通用NTP客户端的默认设置可防止对正在运行的Hardened Repository服务器的攻击。为了防止在操作系统启动或重新启动时间服务期间发生可能的攻击,可以通过使用“-R ”标志按时启动并正确设置makestep指令（使用默认值或完全删除）来保护。如果要使用更安全的网络时间协议,则NTS易于设置。