Представлен (http://marc.info/?l=openbsd-announce&m=142724964508400&w=2) релиз переносимой редакции системы синхронизации точного времени OpenNTPD 5.7p4 (http://www.openntpd.org/), развиваемой проектом OpenBSD. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от специального оборудования через sensorsd(8) (http://www.openbsd.org/cgi-bin/man.cgi?query=sensorsd). Настройка осуществляется через файл конфигурации
ntpd.conf (http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man5/...). Работа OpenNTPD 5.7p4 проверена в Linux , FreeBSD, Solaris и OS X.
В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код). Для дополнительной защиты в OpenNTPD применяется механизм разделения привилегий, разделяющий работу непривилегированного кода обработки сетевых соединений от привилегированного кода установки времени. Демон ntpd запускается в отдельном изолированном chroot-окружении. Реализация кода определения имён через DNS работает в асинхронном режиме, т.е. определение имени будет выполнено даже если демон стартовал в момент, когда не было доступно сетевое соединение.
Новый выпуск примечателен возможностью (http://marc.info/?l=openbsd-tech&m=142356166731390&w=2) косвенной аутентификации серверов NTP путём проверки ответов от NTP-сервера через обращение к заслуживающим доверия HTTPS-серверам, время на которых синхронизировано со временем проверяемого NTP-сервера. Суть метода сводится к отправке дополнительного запроса к HTTPS-серверу и использовании значения HTTP-заголовка Date в качестве приблизительного времени, которое заслуживает доверия. Если фиксируется аномальное отклонение от значения, полученного при обращении к NTP-серверу, то синхронизация времени может быть отклонена в подозрении подмены NTP-сервера в результате MITM-атаки. Из-за сетевых задержек точности передачи времени через заголовок Date недостаточно для использования в качестве источника для синхронизации времени, но данное время вполне пригодно для оценки степени отклонения от параметров, выдаваемых по NTP.
Кроме того в новом выпуске добавлен обходной путь решения проблем с наводнением лога сообщениями о ресинхронизации в Solaris и реализована защита от переполнения 32-разрядных счётчиков с типом time_t в случае ошибочной установки системных часов на дату позднее 2036 года.
URL: http://undeadly.org/cgi?action=article&sid=20150325181259
Новость: http://www.opennet.me/opennews/art.shtml?num=41914
>обладает только самым необходимым набором возможностейага, особенно это: "примечателен возможностью косвенной аутентификации серверов NTP путём проверки ответов от NTP-сервера через обращение к заслуживающим доверия HTTPS-серверам, время на которых синхронизировано со временем проверяемого NTP-сервера". самый необходимый набор, чё?
Это скорее всего хак, чтобы не поддерживать ntp аутентификацию (жесточайший ад).
конечно, это проще чем добавить подпись в пакет
срочно сообщите разработчикам, а то может они не в курсе?.. люди они, всё-таки, западные.
> срочно сообщите разработчикам, а то может они не в курсе?.. люди они, всё-таки, западные.Полагаю, они в курсе, просто не любят простых и очевидных решений.
> конечно, это проще чем добавить подпись в пакетВ ntpd добавили, блин. Универсально и на все случаи жизни, максимально энтерпрайзно. Так что по зависимостям чуть ли не керберос идет.
> В ntpd добавили, блин. Универсально и на все случаи жизни, максимально энтерпрайзно.
> Так что по зависимостям чуть ли не керберос идет.ntp
Зависит: adduser
Зависит: lsb-base
Зависит: netbase
Зависит: libc6
Зависит: libcap2
Зависит: libedit2
Зависит: libopts25
Зависит: libssl1.0.0Ага. Всякая ненужная блоатварь типа libc и openssl. Надеюсь, в openntpd такой фигни нет.
> Ага. Всякая ненужная блоатварь типа libc и openssl. Надеюсь, в openntpd такой фигни нет.OpenSSL мне в зависимостях точно ни к чему. Это г-но должно умереть жестокой смертью.
Зачем мне в сетевом сервисе либа от тех кто нишиша не смыслит в криптографии, наворачивают уйму кода, забывая вытряхнуть легаси и несекурные алгоритмы, городят совсем ни разу не failsafe апи, которым почти никто в результате не умеет пользоваться сколь-нибудь секурно, в которой каждый месяц чинят по несколько злобных дыр, где кода в 20 раз больше чем во всем openntpd вместе взятом? Да и сам TLS по большей части одна сплошная профанация из-за схем с удостоверяющими центрами.
А есть какие-нибудь другие альтернативы openSSL, не считая libreSSL?
> Это скорее всего хак, чтобы не поддерживать ntp аутентификациюСкорее, хак ради хака.
> (жесточайший ад).
Так кажется только на первый взгляд.
>> Это скорее всего хак, чтобы не поддерживать ntp аутентификацию
> Скорее, хак ради хака.Насколько я помню, точность установки времени на HTTPS-серверах определяется главным образом сроками действия сертификата (для клиентов тоже актуально). Так как сроки обычно исчисляются годами, плюс-минус пара дней роли не играет :)
Зато потом при взломе например и forensic - плюс-минус пара дней может добавить работенки...
Недавно попробовали поднять свой набор публичных серверов, пока тестируем, но вроде работает ) http://ntp.od.ua/?lang=ru