И начиная с ntpd и начиная с ntpdate полагаются на серверы ntp, и так как Ubuntu repos должна все же завершить обновление ntp к 4.2.8p4 (версия, рекомендуемая исследователями ntp), я ожидаю, что это означает, что и ntpdate и ntpd уязвимы на моем ноутбуке (или по крайней мере, способны к подключению моего ноутбука к любому количеству уязвимых серверов ntp через любой механизм, таким образом, не достаточно просто остановиться ntpd один).
Я не чувствую себя уверенно в рассмотрении кода и обновлении к новой версии ntp 4.2.8p4 сам. В то же время я хотел бы, чтобы пакеты остались установленными так, чтобы, когда будущие обновления становятся доступными в repos, я был уведомлен программным обеспечением Updater.
Таким образом, мой вопрос не, "Как обновить?" ни, “Как удалить?”, а скорее как я просто отключаю или 'выключаю' и ntpd и ntpdate, таким образом, они никогда не выполняют или регистрируют какое-либо действие, не удаляя их?”
Как я отключаю ntpd? предположите, что я могу просто предотвратить ntpd, работающий при всем использовании
sudo update-rc.d -f ntp remove
и предотвратите ntpdate, работающий вообще путем добавления exit 0
кому: /etc/default/ntpdate
.
Однако я не знаю как/где в файле помещать строку exit 0
.
Сделайте я просто использую редактора как vi или нано для записи в exit 0
на любой строке без a #
символ комментария, и это будет интерпретироваться системой правильно? Кто-то может подтвердить / тщательно продуманный на этом решении?
Миниатюрный объем исследования (locate ntp | grep /etc
) ведомый меня к /etc/init.d/ntp
который запускается ntp
, и связан со сценариями запуска в /etc/rc?.d
каталоги (на моем Linux Ubuntu 14.04.3 системы LTS, YMMV):
/etc/rc1.d/K77ntp -> ../init.d/ntp
/etc/rc2.d/S23ntp -> ../init.d/ntp
/etc/rc3.d/S23ntp -> ../init.d/ntp
/etc/rc4.d/S23ntp -> ../init.d/ntp
/etc/rc5.d/S23ntp -> ../init.d/ntp
/etc/init.d/ntp
содержит строки:
DAEMON=/usr/sbin/ntpd
PIDFILE=/var/run/ntpd.pid
test -x $DAEMON || exit 5
Так, простое sudo chmod -x /usr/sbin/ntpd
сохранит ntpd
от когда-либо выполнения, пока файл не заменяется обновленной версией ntpd
.
Отделывание от того же миниатюрного объема исследования также привело меня к /etc/network/if-up.d/ntpdate
, который содержит:
# Check whether ntpdate was removed but not purged; it's useless to wait for
# it in that case.
if [ ! -x /usr/sbin/ntpdate-debian ] && [ -d /usr/sbin ]; then
exit 0
fi
Так, sudo chmod -x /usr/sbin/ntpdate-debian
сохранит ntpdate-debian
от когда-либо выполнения, пока файл не заменяется обновленной версией ntpdate-debian
.
Существуют другие ntp*
файлы в /usr/sbin
, но они - все в любом ntp
или ntpdate
пакеты:
$ echo /usr/sbin/ntp*| xargs -n 1 dpkg -S
ntp: /usr/sbin/ntpd
ntpdate: /usr/sbin/ntpdate
ntpdate: /usr/sbin/ntpdate-debian
ntp: /usr/sbin/ntp-keygen
ntp: /usr/sbin/ntptime
ntp: /usr/sbin/ntp-wait
таким образом, они будут все заменены, когда Вы обновите ntp
и ntpdate
пакеты. Поэтому Вы могли:
sudo chmod -x /usr/sbin/ntp*
Но, часть Угрозы и Анализа рисков моего ума спрашивает, это действительно стоит усилия? Какова Угроза? Вашей системе можно было лгать во время. Каков Риск? Если Ваш ноутбук думает, что это - неправильное время, что пойдет не так, как надо? Мир закончится? Вы оставите работу на несколько часов позже, чем Вы хотите?
Я думаю, что существуют большие Угрозы и Риски в областях кроме времени суток.
Как всегда, YMMV.
Как со многими другое программное обеспечение, доступное упакованный в репозиториях Ubuntu:
Ubuntu бэкпортирует исправления безопасности, специально для программного обеспечения в main
репозиторий, включая ntp
и ntpdate
.
В этом случае, меры были бэкпортированы назад в октябре. См. USN-2783-1:
Aanchal Malhotra, Isaac E. Cohen и Sharon Goldberg обнаружили, что NTP неправильно обработал перезапуск после удара панического порога. Удаленный взломщик мог возможно использовать эту проблему для изменения системного времени на клиентах. (CVE-2015-5300)
<час>Aanchal Malhotra, Isaac E. Cohen и Sharon Goldberg обнаружили, что NTP неправильно обработал ограничение уровня. Удаленный взломщик мог возможно использовать эту проблему, чтобы заставить клиенты прекращать обновлять свои часы. (CVE-2015-7704, CVE-2015-7705)
<час>инструкции по Обновлению
проблема может быть исправлена путем обновления системы к следующей версии пакета:
- Ubuntu 15.10: Ubuntu 15.04 ntp
1:4.2.6.p5+dfsg-3ubuntu8.1
- : Ubuntu 14.04 ntp
1:4.2.6.p5+dfsg-3ubuntu6.2
- LTS: Ubuntu 12.04 ntp
1:4.2.6.p5+dfsg-3ubuntu2.14.04.5
- LTS: Примечание ntp
1:4.2.6.p3+dfsg-1ubuntu3.6
это CVEs, перечисленный в источник для статьи Ars Technica, с которой Вы связались.
, Когда в сомнении, посмотрите Уведомления о безопасности и Ubuntu средство отслеживания CVE Ubuntu .