The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от opennews (ok) on 26-Мрт-15, 10:30 
Представлен (http://marc.info/?l=openbsd-announce&m=142724964508400&w=2) релиз переносимой редакции системы синхронизации точного времени OpenNTPD 5.7p4 (http://www.openntpd.org/), развиваемой проектом OpenBSD. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от  специального оборудования через sensorsd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=sensorsd). Настройка осуществляется через файл конфигурации
ntpd.conf (http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man5/...). Работа OpenNTPD 5.7p4 проверена в  Linux , FreeBSD, Solaris и OS X.


В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код).  Для дополнительной защиты в OpenNTPD применяется механизм разделения привилегий, разделяющий работу непривилегированного кода обработки сетевых соединений от привилегированного кода установки времени. Демон ntpd запускается в отдельном изолированном chroot-окружении. Реализация кода определения имён через DNS работает в асинхронном режиме, т.е. определение имени будет выполнено даже если демон стартовал в момент, когда не было доступно сетевое соединение.


    

Новый выпуск примечателен возможностью (http://marc.info/?l=openbsd-tech&m=142356166731390&w=2) косвенной аутентификации серверов NTP путём проверки ответов от NTP-сервера через обращение к заслуживающим доверия HTTPS-серверам, время на которых синхронизировано со временем проверяемого NTP-сервера. Суть метода сводится к отправке дополнительного запроса  к HTTPS-серверу и использовании значения HTTP-заголовка Date в качестве приблизительного времени, которое заслуживает доверия. Если фиксируется аномальное отклонение от значения, полученного при обращении к NTP-серверу, то синхронизация времени может быть отклонена в подозрении подмены NTP-сервера в результате MITM-атаки. Из-за сетевых задержек точности передачи времени через заголовок Date недостаточно для использования в качестве источника для синхронизации времени, но данное время вполне пригодно для оценки степени отклонения от параметров, выдаваемых по NTP.

Кроме того в новом выпуске добавлен обходной путь решения проблем с наводнением лога сообщениями о ресинхронизации в Solaris и реализована защита от переполнения 32-разрядных счётчиков с типом time_t в случае ошибочной установки системных часов на дату позднее 2036 года.


URL: http://undeadly.org/cgi?action=article&sid=20150325181259
Новость: http://www.opennet.ru/opennews/art.shtml?num=41914

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +7 +/
Сообщение от Нанобот (ok) on 26-Мрт-15, 10:30 
>обладает только самым необходимым набором возможностей

ага, особенно это: "примечателен возможностью косвенной аутентификации серверов NTP путём проверки ответов от NTP-сервера через обращение к заслуживающим доверия HTTPS-серверам, время на которых синхронизировано со временем проверяемого NTP-сервера". самый необходимый набор, чё?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от Аноним (??) on 26-Мрт-15, 10:44 
Это скорее всего хак, чтобы не поддерживать ntp аутентификацию (жесточайший ад).
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +2 +/
Сообщение от cmp (ok) on 26-Мрт-15, 12:15 
конечно, это проще чем добавить подпись в пакет
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от Аноним (??) on 26-Мрт-15, 14:07 
срочно сообщите разработчикам, а то может они не в курсе?.. люди они, всё-таки, западные.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от Аноним (??) on 26-Мрт-15, 20:00 
> срочно сообщите разработчикам, а то может они не в курсе?.. люди они, всё-таки, западные.

Полагаю, они в курсе, просто не любят простых и очевидных решений.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  –2 +/
Сообщение от Аноним (??) on 26-Мрт-15, 17:32 
> конечно, это проще чем добавить подпись в пакет

В ntpd добавили, блин. Универсально и на все случаи жизни, максимально энтерпрайзно. Так что по зависимостям чуть ли не керберос идет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +1 +/
Сообщение от Аноним (??) on 26-Мрт-15, 19:55 
> В ntpd добавили, блин. Универсально и на все случаи жизни, максимально энтерпрайзно.
> Так что по зависимостям чуть ли не керберос идет.

ntp
  Зависит: adduser
  Зависит: lsb-base
  Зависит: netbase
  Зависит: libc6
  Зависит: libcap2
  Зависит: libedit2
  Зависит: libopts25
  Зависит: libssl1.0.0

Ага. Всякая ненужная блоатварь типа libc и openssl. Надеюсь, в openntpd такой фигни нет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от Аноним (??) on 27-Мрт-15, 02:44 
> Ага. Всякая ненужная блоатварь типа libc и openssl. Надеюсь, в openntpd такой фигни нет.

OpenSSL мне в зависимостях точно ни к чему. Это г-но должно умереть жестокой смертью.

Зачем мне в сетевом сервисе либа от тех кто нишиша не смыслит в криптографии, наворачивают уйму кода, забывая вытряхнуть легаси и несекурные алгоритмы, городят совсем ни разу не failsafe апи, которым почти никто в результате не умеет пользоваться сколь-нибудь секурно, в которой каждый месяц чинят по несколько злобных дыр, где кода в 20 раз больше чем во всем openntpd вместе взятом? Да и сам TLS по большей части одна сплошная профанация из-за схем с удостоверяющими центрами.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от Anonim (??) on 29-Мрт-15, 18:26 
А есть какие-нибудь другие альтернативы openSSL, не считая libreSSL?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

6. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от Аноним (??) on 26-Мрт-15, 19:53 
> Это скорее всего хак, чтобы не поддерживать ntp аутентификацию

Скорее, хак ради хака.

> (жесточайший ад).

Так кажется только на первый взгляд.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от Аноним (??) on 26-Мрт-15, 20:00 
>> Это скорее всего хак, чтобы не поддерживать ntp аутентификацию
> Скорее, хак ради хака.

Насколько я помню, точность установки времени на HTTPS-серверах определяется главным образом сроками действия сертификата (для клиентов тоже актуально). Так как сроки обычно исчисляются годами, плюс-минус пара дней роли не играет :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от Аноним (??) on 27-Мрт-15, 02:45 
Зато потом при взломе например и forensic - плюс-минус пара дней может добавить работенки...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4"  +/
Сообщение от Аноним (??) on 27-Мрт-15, 07:35 
Недавно попробовали поднять свой набор публичных серверов, пока тестируем, но вроде работает ) http://ntp.od.ua/?lang=ru
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



  Закладки на сайте
  Проследить за страницей
Created 1996-2015 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
RUNNet TopList
п╡п╣я│п╣п╩я▀п╣ п╨п╟я─я┌п╦п╫п╨п╦ я─п╟п╥п╡п╩п╣п╨п╟я┌п╣п╩я▄п╫я▀п╣ пЁп╦я└п╨п╦ п╦п╫я┌я─п╣я│п╫я▀п╣ я└п╟п╨я┌я▀ я│п╪п╣я┬п╫я▀п╣ п╡п╦п╢п╣п╬ я│п╪п╣я┬п╫я▀п╣ п╦я│я┌п╬я─п╦п╦ п╦п╥ я│п╬я├я│п╣я┌п╣п╧