Como evitar que o ntpd ouça 0.0.0.0:123?

Remova todas as opções -I ou --interface de /etc/default/ntp e insira o seguinte no seu /etc/ntp.conf :

interface ignore wildcard
interface listen 127.0.0.1
interface listen ::1
# NOTE: if you want to update your time using remote machines,
# add at least one remote interface address:
#interface listen 2001:db8::1
#interface listen 192.0.2.1

Um trecho da página de manual ntpd(1) sobre a opção -i :

This option also implies not opening other addresses, except wildcard and localhost. Please consider using the configuration file interface command, which is more versatile.

Veja também a página do manual Debian (não consegui encontrar no Arch Linux) de ntp.conf(5) .

Com o ntp ouvindo apenas 127.0.0.1, parece que não é possível iniciar a conexão com um servidor ntp público:

$ ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
ks370079.kimsuf **.INIT.**       16 -    -   64    0    0.000    0.000   0.000

Deve ser vinculado a um endereço IP roteável para funcionar.

Se você quiser reduzir o número de serviços de escuta por razões de segurança, o openntpd pode ser considerado, já que não exige que um servidor de escuta atue como um cliente. É considerado um pouco menos preciso que o ntpd; é confiável dentro de algumas centenas de ms, mas isso é adequado para a maioria dos propósitos.

Completo /etc/ntp.conf que protocolo neutro (IPv4 e IPv6)

driftfile /var/lib/ntp/ntp.drift

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.pool.ntp.org
server 1.pool.ntp.org
server 2.pool.ntp.org
server 3.pool.ntp.org

restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

restrict lo

interface ignore wildcard
interface listen lo