Вимкнення NTP на OS X Lion або новішої версії

Після нової вразливості безпеки в програмному пакеті Network Time Protocol компанія Apple запропонувала оновлення програмного забезпечення для Mountain Lion та новіших версій ОС X.

Як завжди, старіші версії OS X, до яких може бути застряг (оскільки апаратне забезпечення не підтримує новіші версії, оскільки потрібна Rosetta,…), не охоплюються оновленням безпеки.

Мої запитання:

• відключає "встановити дату та час автоматично" в Налаштуваннях програмного забезпечення достатньо, щоб переконатися, що ntpd не працює?

• що може зламатися, якщо двійковий файл ntdp був просто видалений для безпеки на OS X Snow Leopard або Lion?

В сумніві, я можу використовувати ці інструкції для обмеження сфери застосування ntpd, не вимикаючи її / видаляючи її повністю, але в цьому випадку залишається ризик помилитися і залишити ntpd відкритим.

відключає "встановити дату та час автоматично" в Налаштуваннях програмного забезпечення достатньо, щоб переконатися, що ntpd не працює?

Так .

Ось спосіб страхувати себе від цього. Відкрийте вікно Terminalабоxterm

Виконайте таку команду:

ps ax | grep ntp

і помітите, що у вас ntpdзапущений процес.

Відкрийте System Preferencesта вимкнітьSet date and time automatically:

Переконайтеся з psкомандою вище, що у вас немає жодного ntpdзапущеного процесу.

В сумніві, я можу використовувати ці інструкції для обмеження сфери застосування

Ні .

Цей приймач залишить вас бігом ntpdі, отже, зазнає нападу.

Замість того, щоб вимкнути ntpd, слід завантажити джерело для версії 4.2.8 ntp та скласти його самостійно. Все, що вам потрібно, це Xcode для Lion / SnowLeo. Він повинен працювати на 10.6.x та 10.7.x просто чудово.

Я оновив 10.10 інсталяцію одразу після оприлюднення CVE та вихідного коду, і я не дочекався, коли Apple випустить оновлення.

Для компіляції ntpd завантажте джерело з ntp.org та застосуйте патч для OS X / FreeBSD. Після застосування цього виправлення ви зможете просто запустити "./configure && make". Потім ви можете скопіювати двійкові файли у відповідні каталоги (/ usr / sbin / та / usr / bin /).

Для Mac OS X 10.7 (Лев):

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

Ось список файлів і папок, до яких вони належать, буде створений з джерела вище. Після компіляції всі ці файли будуть знаходитись у різних підпапках.

/usr/bin/sntp  
/usr/bin/ntp-keygen  
/usr/bin/ntpq  
/usr/sbin/ntpdc  
/usr/sbin/ntpdate  
/usr/sbin/ntpd

Перейменуйте старі, використовуючи щось на зразок:

sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old

а потім перемістіть новий дюйм. Переконайтеся, що після цього перемістіть файли:

sudo chown root:wheel /usr/sbin/ntpd

Примітка : я не використовував, sudo make installтому що не довіряв Makefile (я не був впевнений, що він розмістить файли в тих самих папках, в які Apple їх розмістив, і хотів бути впевненим, що вони все ще в тому ж місці, що і старі ті). Ручне переміщення 6 файлів не є великою проблемою. Решта файлів (підручні сторінки, html-сторінки тощо) однакові, тому вам не доведеться турбуватися про їх переміщення.)

1. Я детально не розглядав документацію про порушення. Зазвичай ntp робить періодичні запити до серверів, щоб отримати виправлення. Після встановлення зрушення місцевих годин ці запити не є частими.

2. Більшість брандмауерів налаштовані на ігнорування пакетів запитів ззовні. Ntp Я думаю, що використовується UDP, який номінально є без громадянства. Зазвичай брандмауер відпускає UDP-пакет протягом невеликого вікна часу після того, як UDP-пакет вийшов. Пакет, що повертається, повинен мати правильний IP-адресу та мати правильний порт. Чорна шапочка повинна буде або підривати ваш DNS-сервер, або підривати ваш NTP-сервер.

Тож хтось пояснить, як насправді ця загроза вводиться в гру, припускаючи, що людина не визначає pool.ntp.org як свій ntp-сервер?

Шляхи цього:

1. Побудувати з джерела - вище.
2. Використовуйте порти mac. Це робить установку досить безболісною, хоча початкова збірка потребує значного часу та неабиякого місця. Більше інформації https://www.macports.org/

Ви також можете використовувати Fink або Homebrew таким чином, але MacPorts здається менш залежним від Apple OS, тому в перспективі для старої системи я підозрюю, що буде менше болю.

3. Налаштуйте невразливу машину для локального сервера ntp. Направити вразливі машини на ntp-сервер. У вашому блоці брандмауера як вихідний, так і вхідний для ntp для всіх, крім ntpserver-машини. Коли я керував локальною шкільною мережею, у мене був один автомат (freebsd), який запускав купу мережевих служб, включаючи ntp. Потім він транслюватиме один пакет ntp кожні 64 секунди.