Re: ntpd und Sicherheit

From: Oli Kuemmel <bsd(at)gvs.dyn.bawue.de>
Date: Sun, 26 May 2002 18:20:25 +0000

* Bernd Walter <ticso(at)cicely5.cicely.de> wrote:
> On Sun, May 26, 2002 at 04:34:07PM +0000, Oli Kuemmel wrote:
> > Gut, in die Hose piss ich normalerweise nicht, aber was genau ist
> > daran jetzt "unsicher"? Ich mache das auf einer Kiste die ca. 5 s.
> > pro Tag vorgeht. Klar ist es unschön, dass bei jedem Update die
> > Zeit etwas zurückgesetzt wird, aber das weiss ich ja und kann es
> > bei Betrachtung von z.B. Logfiles mit einbeziehen. Mir ist das
> > genau genug in dem Fall. Immerhin läuft dabei ein Dienst weniger
> > und ntpd hatte ja letztlich auch Sicherheitslücken ("nomodify
> > noquery kod" les ich jetzt mal nach, danke).
>
> Wie schon erähnt macht Zeit keine Sprünge.

Unbestritten.
 
> Stelle dir mal vor du setzt die Zeit soweit vor, daß schlagartig
> bei allen Programmen Timeouts ansprechen.

Hm.

> Cronjobs laufen plötzlich für den gesammten Zeitraum gleichzeitig
> los.

Das ist der einige Punkt den ich bisher mit Sorge betrachtet
hatte. Cron hängt von der Zeit ab. Deswegen liegen meine
ntpdate-crons zeitlich weit weg von anderen cronjobs.

> Du hast überlappende Zeiträume in Logfiles.

Das kann ich wie gesagt mit gesundem Menschenverstand
kompensieren.

> make gerät ins Stolpern, weil er mitten im compilieren plötzlich
> Zeiten in der Zukunft finded oder sein eigenes Ergebniss ist trotz
> compilieren älter als die Quelle.

Ich baue auf betreffendem System nichts. Es hat auch keinen Quellcode
an Bord. Auch keinen Compiler.

> Das Programme komplett stehenbleiben ist zwar seltener, aber kommt
> durchaus vor.

Bisher nie selbst erlebt.

> ntpdate macht auch eine sofortige Aktualisierung der Zeit ohne
> die Laufzeit zum Server vorher auszumessen - das Packet mit der
> beim Absenden noch exakten Uhrzeit kommt ja erst nach Ablauf einer
> unbekannten Zeit bei dir an.
> Das sorgt für Perfekte Sprünge in beiden Richtungen im Rahmen der
> Laufzeitschwankungen.

Ja, sicher. Aber was stört mich das?

> Wenn du schon per Cron arbeiten willst, dann starte den ntpd
> zum einmaligen korigieren anstelle vom ntpdate.

Ich will nicht unbedingt per Cron arbeiten, doch fand ich diese
Idee ganz elegant, vorher hatte ich Port 123 offen, der ist jetzt
weg.

> Also »ntpd -g -q« und in der ntpd.conf möchtest du vermutlich noch
> iburst in der Serverzeile aktivieren - selbstverständlich willst du
> auch die vom Oliver vorgeschlagenen Parameter einbauen.

Ja, das will ich. Lese gerade: man ntp.conf...

Gruss,
oli
.

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 26 May 2002 - 20:20:41 CEST

search this site