Почему ntpd нужен открытый порт?
В моей системе Ubuntu я активировал «Синхронизацию времени через Интернет». Из-за этого запускается демон ntp.
Что я не понимаю: зачем нужен ntpd открытый UDP-порт 123? На самом деле, я не хочу, чтобы на моей машине работал ntp-сервер - я хотел только синхронизировать свое время с ntp-серверами в Интернете.
Итак, мой вопрос:
-
Почему существует открытый порт по умолчанию, если я хочу синхронизироваться только с другими серверами ntp?
-
Разве это не лишняя угроза безопасности?
-
У кого-нибудь есть хорошее решение для моей «проблемы»?
Спасибо Вы очень за вашу помощь заранее. Я уже искал в интернете, но не смог найти удовлетворительных ответов.
1 ответ
Заключенный в кавычки из этого идеальный ответ
ISC ntpd (the ntp package) will open UDP 123 on all your interfaces regardless of what you do with it. It will work anyway even if you block this port in iptables, assuming that you're allowing responses to established traffic as usual - your outbound mobilization requests to your chosen servers will be enough to allow the responses, and the same with further traffic sent for the lifetime of ntpd. Using iptables like this is probably the easiest way to secure ntpd. There's also some defense in depth you can do: - run ntpd as non-root - run it chrooted to some safe directory (really only makes sense when doing non-root as well, since root can break out of a chroot) - apply ntpd's built-in access controls (see examples in ntpd.conf, and full docs in ntp_acc(5))
Для получения дополнительной информации прочитайте полный ответ в ссылке выше, Кроме того, смотрите к этому ответ в SU