ntp.conf: É razoável confiar na lista de servidores padrão, exposta no CentOS?

Navegue suas respostas
3

Sempre que configuro um novo host Linux (CentOS, ultimamente), especialmente quando um host desse tipo tem algumas funções em nosso pequeno datacenter (cerca de 100 hosts), eu tomo cuidado para:

  1. instale o pacote ntp;
  2. adicione , na parte superior da lista de servidores, uma nova instância do servidor apontando:
    • para o nosso servidor ntp italiano mais ou menos oficial ( time.ien.it ), se o sistema tiver acesso ntp de saída;
    • para um "host interno", que age como uma espécie de servidor "interno" ntp oficial, se o sistema não estiver conectado à Internet.
  3. ativando o serviço ntp, para lidar adequadamente com as reinicializações

Assim, quanto aos sistemas com acesso à Internet, a lista de servidores configurada no ntp.conf é a seguinte: 

server time.ien.it iburst
server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
server 2.centos.pool.ntp.org iburst
server 3.centos.pool.ntp.org iburst

Ao investigar problemas completamente diferentes, descobri que a configuração acima gera tráfego para hosts remotos dos quais desconheço totalmente .

Aqui está um snippet de uma captura de tcpdump , tirada na interface de saída do nosso drbd-store-02-ch host:

ondevocêpodever:

  • tráfegode/parahostsqueestouesperandocorretamente(o"amarelo");
  • tráfego de / para hosts que parece não estar relacionado ao domínio CentOS e / ou ntp.org . Especificamente:
    • 1.ntp.tld.sk
    • laika.paina.net
    • time.reisenbauer-it.com
    • 183.84.160.167.rdns.kaiju.cc

Durante a investigação, verifica-se que lá também existem outros hosts, não incluídos na lista acima. Eu até encontrei hosts cujo host reverso apontava claramente para alguns ISPs grandes, referindo-se a VPSs e coisas assim.

Então, minhas perguntas são:

  1. Devo remover a lista de servidores padrão e confiar apenas no host de ntp-server "confiável" time.ien.it externo?
  2. se não, como posso ter certeza de que esses hosts remotos são efetivamente "seguros" e adequadamente protegidos / gerenciados ... para não colocar em risco minhas solicitações de serviço ntp?

> P.S .: como uma nota lateral, estou absolutamente ciente sobre o processo de resolução de DNS e por isso o problema é não "porque" estou em contato com esses servidores. O problema é: "é seguro?"

    
por Damiano Verzulli 14.05.2017 / 15:31

4 respostas

3

A versão curta: provavelmente é seguro.

A versão mais longa: o comportamento que você está vendo é completamente normal e esperado. O pool NTP é um pool dinâmico que provavelmente será alterado toda vez que o TTL do DNS expirar.

Cada host no pool é monitorado pela infraestrutura do pool NTP e, se relatar um tempo que esteja muito longe do aceitável, ele será removido do pool. Você pode visualizar os registros de monitoramento de cada host no link (onde IP é o endereço IP do servidor). por exemplo. Quando eu olho para cima 0.centos.pool.ntp.org na minha máquina agora, eu recebo estes endereços:

Supondo que seus requisitos de sincronização de tempo são médios (em termos de compensação do tempo real), a melhor prática comum é configurar de 4 a 6 servidores em sua própria rede que sincronizam com 4 a 6 servidores no pool e apontar hosts internos para esses servidores locais. Eu falei sobre isso com mais detalhes no Linux.conf.au sysadmin miniconf (última palestra na página).

EDIT: Observe que alguns servidores de pool também são nós de retransmissão ou de saída TOR. Isso às vezes faz com que os usuários do NTP pool tenham problemas com seu IDS / IPS excessivamente zeloso ou mesmo com seu ISP. Consulte o link para um exemplo recente.

    
por 15.05.2017 / 10:47
1

Você provavelmente só deve usar uma lista como essa na DMZ. Os sistemas internos nunca devem ser capazes de apenas contatar serviços aleatórios na Internet usando a porta UDP 123.

  1. Você deve reduzir a lista a hosts confiáveis somente em sua própria rede. Na DMZ, você deve confiar que o seu software NTP não apenas encaminha solicitações estranhas do interior para a internet.
  2. Você não pode. Esses hosts também poderiam estar horrivelmente configurados.

Portanto, se você tiver um bom motivo para ter um servidor de horário confiável, adquira um que interaja com um dispositivo de fonte de horário adequado e não conecte-o à Internet.

    
por 14.05.2017 / 15:47
1

Isso parece o caso bastante comum de um fornecedor de software (Centos) que envia com o conjunto de NTP.org em sua configuração NTP padrão, em vez de fornecer sua própria infra-estrutura NTP ou confiar no usuário para ter a infraestrutura NTP em vigor.

Eu vou em frente e cito a documentação deles abaixo.

Em relação ao uso do pool do NTP.org :

Consider if the NTP Pool is appropriate for your use. If business, organization or human life depends on having correct time or can be harmed by it being wrong, you shouldn't "just get it off the internet". The NTP Pool is generally very high quality, but it is a service run by volunteers in their spare time. Please talk to your equipment and service vendors about getting local and reliable service setup for you. See also our terms of service. We recommend time servers from Meinberg, but you can also find time servers from End Run, Spectracom and many others.

...

If your Internet provider has a timeserver, or if you know of a good timeserver near you, you should use that and not this list - you'll probably get better time and you'll use fewer network resources. If you know only one timeserver near you, you can of course use that and two from pool.ntp.org or so.


Com relação às zonas de fornecedores de pools do NTP.org (como centos in 0.centos.pool.ntp.org ):

Get your vendor zone
To allow you to use the pool as the default time service in your application, we will set you up with special hostnames, for example 0.vendor.pool.ntp.org, 1.vendor.pool.ntp.org, 2.vendor.pool.ntp.org and 3.vendor.pool.ntp.org.

You must absolutely not use the default pool.ntp.org zone names as the default configuration in your application or appliance.

...

Why use special hostnames for vendors?
The special hostnames allows us some control of the traffic so we can optimize our load distribution and match clients to the best servers. It also gives better options for continuing support in case of problems with segments of the client population. (See the links in the basic guidelines section).


Quanto à segurança dos servidores no pool do NTP.org, os servidores do pool estão sendo monitorados , mas como eles explicitamente dizem, se você tiver uma opção melhor (mais confiável e confiável), você deve usar isso.

    
por 15.05.2017 / 12:12
0

Consumir ou prover tempo ruim provavelmente pode ser registrado em "contravenções da internet". Todos os nomes NTP do CentOS são um lote de endereços IP, provavelmente destinado a fornecer uma amostra ampla para fontes de tempo (porque desenhar um espaço em branco NTP completo pode ser pior?).

Pessoalmente, daria confiança moderada à lista que o CentOS produz, mas se você está preocupado ou se há uma necessidade de negócios, você deve ser capaz de encontrar o NTP da sua rede de provedor ou do NIST (time-a.nist .gov, etc) se você confiar neles. Em circunstâncias em que a segurança era fundamental, consumi tempo da rede do meu provedor e reorganizei essa referência de tempo nos roteadores principais, de modo que os consumidores da rede possam usar uma fonte unificada e conhecida.

    
por 14.05.2017 / 20:30

Tags

Receita de Procmail, correio de propriedade do root O SQL Express pode ser instalado no Server Core?