OS X Lion veya daha eski sürümlerde NTP'yi devre dışı bırakma

Ağ Zaman Protokolü yazılım paketindeki yeni bir güvenlik açığından sonra Apple , Mountain Lion ve OS X'in daha yeni sürümleri için bir yazılım güncellemesi sağlamıştır.

Her zaman olduğu gibi, OS X'in eski sürümleri takılı kalabilir (donanım yeni sürümleri desteklemediğinden, Rosetta'ya ihtiyaç duyduğundan,…) güvenlik güncelleştirmesi kapsamında değildir.

Sorularım:

• ntpd'nin çalışmadığından emin olmak için Yazılım Tercihleri'nde “tarih ve saati otomatik olarak ayarla” devre dışı bırakılıyor mu?

• ntdp ikilisi OS X Snow Leopard veya Lion güvenlik için silindiğinde ne kırılabilir?

Kuşkusuz bu talimatları tamamen devre dışı bırakmadan / silmeden ntpd'nin kapsamını sınırlamak için kullanabilirim , ancak bu durumda yanlış anlama ve ntpd'yi açıkta bırakma riski vardır.

ntpd'nin çalışmadığından emin olmak için Yazılım Tercihleri'nde “tarih ve saati otomatik olarak ayarla” devre dışı bırakılıyor mu?

Evet .

İşte kendinizi sigorta etmenin yolu. Bir Terminalveya xtermpencere açın .

Aşağıdaki komutu çalıştırın:

ps ax | grep ntp

ve ntpdçalışan bir işleminiz olduğuna dikkat edin .

Aç System Preferencesve kapatSet date and time automatically:

psYukarıdaki komutla hiçbir ntpdişleminizin olmadığını kontrol edin .

Kuşkusuz bu talimatları kapsamı sınırlamak için kullanabilirim

Hayır .

Bu makbuz sizi koşuya bırakacak ntpdve böylece bir saldırıya maruz kalacaktır .

Ntpd'yi devre dışı bırakmak yerine, ntp'nin 4.2.8 sürümü için kaynağı indirmeli ve kendiniz derlemelisiniz. Tek ihtiyacınız olan Lion / SnowLeo için Xcode. 10.6.x ve 10.7.x üzerinde iyi çalışmalıdır.

10.10 kurulumumu CVE genel ve kaynak kodu yayınlandıktan hemen sonra güncelledim ve Apple'ın güncellemeyi yayınlamasını beklemedim.

Ntpd'yi derlemek için, kaynağı ntp.org'dan indirin ve OS X / FreeBSD için düzeltme ekini uygulayın . Bu yamayı uyguladıktan sonra, sadece "./configure && make" komutunu çalıştırabileceksiniz. Ardından, ikili dosyaları uygun dizinlere (/ usr / sbin / ve / usr / bin /) kopyalayabilirsiniz.

Mac OS X 10.7 (Lion) için:

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

İşte ait oldukları dosya ve klasörlerin listesi yukarıdaki kaynaktan oluşturulacaktır. Derlemeden sonra, tüm bu dosyalar çeşitli alt klasörlerde olacaktır.

/usr/bin/sntp  
/usr/bin/ntp-keygen  
/usr/bin/ntpq  
/usr/sbin/ntpdc  
/usr/sbin/ntpdate  
/usr/sbin/ntpd

Eskileri gibi bir şey kullanarak yeniden adlandırın:

sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old

ve sonra yenisini içeri taşıyın. Dosyaları yerine taşıdıktan sonra seçtiğinizden emin olun:

sudo chown root:wheel /usr/sbin/ntpd

Not : sudo make installMakefile'a güvenmediğim için kullanmadım (dosyaları Apple'ın orijinal olarak yerleştirdiği klasörlere yerleştireceğinden emin değildim ve hala eskiyle aynı noktada olduklarından emin olmak istedim olanlar). 6 dosyayı elle taşımak büyük bir sorun değildir. Dosyaların geri kalanı (man sayfaları, html sayfaları vb.) Aynıdır, bu yüzden bunları taşımaktan rahatsız olmanız gerekmez.)

1. İhlalin belgelerine ayrıntılı olarak girmedim. Normalde ntp, düzeltme almak için sunuculara periyodik sorgular yapar. Yerel saatin sapması belirlendikten sonra bu sorgular sık ​​değildir.

2. Çoğu güvenlik duvarı, istek paketlerini dışarıdan yok sayacak şekilde yapılandırılmıştır. Ntp Bence nominal olarak vatansız olan UDP kullanıyor. Genellikle bir güvenlik duvarı, bir UDP paketi çıktıktan sonra bir UDP paketinin küçük bir süre geri gelmesine izin verir. İade paketinin doğru IP'den olması ve doğru bağlantı noktasına sahip olması gerekir. Siyah bir şapka ya DNS sunucunuzu ya da NTP sunucunuzu değiştirmelidir.

Birisi, ntp sunucusu olarak pool.ntp.org'u belirtmediğini varsayarak, bu tehdidin gerçekte nasıl devreye girdiğini açıklar mı?

Bunun etrafındaki yollar:

1. Kaynaktan derleyin - yukarıda.
2. Mac bağlantı noktalarını kullanın. Bu, kurulumu oldukça ağrısız hale getirir, ancak ilk yapı önemli ölçüde zaman alacak ve adil bir alan alacaktır. Daha fazla bilgi https://www.macports.org/

Fink veya Homebrew'u da bu şekilde kullanabilirsiniz, ancak MacPorts, Apple OS'ye daha az bağımlı gibi görünüyor, bu nedenle eski bir sistem için uzun vadede daha az acı olacağını sanıyorum.

3. Güvenlik açığından etkilenmeyen bir makineyi yerel bir ntp sunucusu olarak yapılandırın. Güvenlik açığı bulunan makineleri ntp sunucusuna yönlendirin. Güvenlik duvarınızda, ntpserver makinesi dışındaki herkes için ntp için giden ve gelenleri engelleyin. Yerel bir okul ağını çalıştırdığımda, ntp dahil bir grup ağ hizmetini çalıştıran bir makinem (freebsd) vardı. Daha sonra her 64 saniyede bir tek bir ntp paketi yayınlayacaktır.