Re: ntpd und Sicherheit

From: Bernd Walter <ticso(at)cicely5.cicely.de>
Date: Sun, 26 May 2002 19:06:14 +0200

On Sun, May 26, 2002 at 04:34:07PM +0000, Oli Kuemmel wrote:
> * Oliver Fromme <olli(at)secnetix.de> wrote:
> > Oli Kuemmel <bsd(at)gvs.dyn.bawue.de> wrote:
> > > ntpdate ntp1.ptb.de als cronjob.
> >
> > Das ist erstens Pfusch und zweitens keinen Deut sicherer
> > als ein ntpd mit restrict-Flags »nomodify noquery kod«.
> > Gegen ntpdate im cronjob sollte es ein Gesetz geben. :-)
>
> Gut, in die Hose piss ich normalerweise nicht, aber was genau ist
> daran jetzt "unsicher"? Ich mache das auf einer Kiste die ca. 5 s.
> pro Tag vorgeht. Klar ist es unschön, dass bei jedem Update die
> Zeit etwas zurückgesetzt wird, aber das weiss ich ja und kann es
> bei Betrachtung von z.B. Logfiles mit einbeziehen. Mir ist das
> genau genug in dem Fall. Immerhin läuft dabei ein Dienst weniger
> und ntpd hatte ja letztlich auch Sicherheitslücken ("nomodify
> noquery kod" les ich jetzt mal nach, danke).

Wie schon erähnt macht Zeit keine Sprünge.

Stelle dir mal vor du setzt die Zeit soweit vor, daß schlagartig
bei allen Programmen Timeouts ansprechen.
Cronjobs laufen plötzlich für den gesammten Zeitraum gleichzeitig
los.
Du hast überlappende Zeiträume in Logfiles.
make gerät ins Stolpern, weil er mitten im compilieren plötzlich
Zeiten in der Zukunft finded oder sein eigenes Ergebniss ist trotz
compilieren älter als die Quelle.
Das Programme komplett stehenbleiben ist zwar seltener, aber kommt
durchaus vor.

ntpdate macht auch eine sofortige Aktualisierung der Zeit ohne
die Laufzeit zum Server vorher auszumessen - das Packet mit der
beim Absenden noch exakten Uhrzeit kommt ja erst nach Ablauf einer
unbekannten Zeit bei dir an.
Das sorgt für Perfekte Sprünge in beiden Richtungen im Rahmen der
Laufzeitschwankungen.

ntpdate kann man recht gut benutzen, um eine Uhr nach der Installation
eines Systems mal eben bequem in eine Grundeinstellung zu bringen.

Wenn du schon per Cron arbeiten willst, dann starte den ntpd
zum einmaligen korigieren anstelle vom ntpdate.
Also »ntpd -g -q« und in der ntpd.conf möchtest du vermutlich noch
iburst in der Serverzeile aktivieren - selbstverständlich willst du
auch die vom Oliver vorgeschlagenen Parameter einbauen.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 26 May 2002 - 19:06:26 CEST

search this site