NTPsec, подобрена реализация на NTP

Darkcrizt

5 Minutos

ntpsec

лого на ntpsec

NTPsec е проект с отворен код който се фокусира върху развитието на сигурно и подобрено изпълнение на протокола за мрежово време (NTP), който се използва широко за синхронизиране на часовниците на компютърни системи в мрежа, осигурявайки точно и последователно измерване на времето.

Този тип компоненти, обикновено са тези, които повечето потребители игнорират (включвам себе си, защото допреди няколко месеца не разбирах важността на този малък протокол), тъй като е нещо, което стои зад ежедневието ни, това е нещо, което остава незабелязано.

В моя случай открих важността на NTP когато исках да извърша "обикновена актуализация" на моята система (Arco Linux), която оставих неотворена няколко месеца. Накратко, след като всички актуализации бяха изтеглени и на теория трябваше да бъдат инсталирани, те просто не бяха инсталирани, защото имах проблем с OpenPGP ключовете в пакетите и по очевидни причини напуснах системата за месеца, това щеше да създаде сериозен проблем.

След като направих 101 неща и опитах всичко и дори изгоних компютъра си, просто не можах да разреша проблема си и най-близкото решение беше да преинсталирам системата от нулата, което не ми хареса.

Нещо, което забелязах по време на целия процес на опитване да разреша проблема е, че времето в моята система беше различно от това на моето местоположение и като направих малко проучване, че малката промяна на времето генерира проблем при опит за импортиране на новите ключове (както беше споменато блажените arch wiki). След като прочетох това, първото нещо, което генерирах, беше шамар по челото и продължих да се опитвам да променя часа и незабавно продължих да рестартирам, за да проверя дали датата и часът в BIOS са правилни, каквито бяха. След това стартирах системата отново, за да се подготвя да направя промяната, сякаш това е обичаен процес в Windows или Android и което беше сериозна грешка да имам навици преди да анализирам.

Колкото и да се опитвах да реша проблема по един или друг начин, това, което причиняваше проблема в моята система, беше ntp пакетът в моята инсталация, по някаква причина, поради която никога не можах да разреша пакета, просто ми създаваше проблеми. Това е мястото, където намерих NTPsec, което беше моето решение след няколко опита да реша проблема си.

NTPsec е подобрена реализация на NTP, която включва много подобрения в сигурността., тъй като има внедряване на стандарта IETF Network Time Security за силно криптографско удостоверяване на времевата услуга. Обща сума, над 74% от кодовата база NTP Classic е напълно премахната, а по-малко от 5% нов код е добавен към критичното за безопасността ядро ​​и също така има по-последователно използване на наносекундна точност.

Сред подобренията в сигурността, премахнати остарели режими и функции, възприет RFC стандарт за минимизиране на клиентски данни на NTP и беше включена сигурност на времето в мрежата. Освен това бяха направени промени в синхронизирането на времето и подобрения в клиентските инструменти с нови помощни програми като ntpmon и ntpviz съответно за наблюдение в реално време и визуализация на данни.

Обяснявайки това малко, можем да разберем малко повече важността на този „малък“ компонент, който за нормален потребител причини няколко главоболия и в критични среди не искам да си представям бедствието, което може да генерира.

Като се има предвид „не толкова широко“ обяснение на важността на NTP, причината да разкажа моето малко „приключение“ е, защото Новата версия на NTPsec 1.2.3 беше пусната наскоро:

Сред подобренията в новата версия Те включват:

  • Променено подравняване на пакетите с контролен протокол за режим 6, което може да повлияе на поддръжката за класически NTP. Режим 6 се използва за предаване на информация за състоянието на сървъра и промяна на поведението в реално време.
  • Алгоритъмът за криптиране AES е внедрен по подразбиране в ntpq.
  • Използване на механизма Seccomp за блокиране на лоши имена на системни повиквания.
  • Събирането на статистически данни за всеки час при рестартиране е активирано с допълнително регистриране за NTS, NTS-KE и ms-sntp.
  • Включване на опцията "update" в buildprep.
  • Подобрения в представянето на данни за забавяне на пакети в изхода на ntpdig JSON.
  • Добавена е поддръжка за списъка ecdhcurves.
  • Фиксирана компилация на платформи, които -fstack-protector зависят от libssp, като musl.
  • Коригиран срив на ntpdig при използване на 2.ntp.pool.org с хост без поддръжка на IPv6.

И накрая, ако сте азИнтересувате се да научите повече за това, можете да проверите подробностите в Следваща връзка.