| 1.1, Аноним (-), 22:54, 31/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Странно на главной
"Доступен NTP-сервер NTPsec 1.2.3 ( +4)" - вроде сообщения есть, а вроде и нет (как и лога модерирования)
| | |
| |
| 2.2, Аноним (2), 23:48, 31/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Кому не пофиг на безопасность — ушли на chrony, кому пофиг — остались на ISC NTPD.
| | |
| |
| |
| |
| 5.45, Аноним (4), 19:52, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну ломанут, и что дальше-то с ним делать будут? 123/udp рейт-лимитится в обоих направлениях, всё остальное блэкхолится с алертом ещё до того, как во внутреннюю сеть попадёт. Если алерт без внимания три часа, виртуалка автоматически гасится с ещё более громким алертом. Диск у виртуалки в r/o и на нём только то, что нужно для запуска ntpd, даже SSH нет. В случае проблем с конкретной реализацией дежурный админ в ранбуке выбирает галочками кого снести, а кого оставить, а дальше автоматика уберёт лишнее и добавит недостающее. У нас так все публичные сервисы устроены, и ntp, и dns, и smtp, и http reverse proxy.
| | |
| |
| 6.61, Аноним (2), 00:53, 02/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Как минимум, можно продолжить дальше ломать внутреннюю сеть через NTP, либо попробовать вылезти в гипервизор.
| | |
| |
| 7.75, Аноним (4), 23:18, 02/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
А как гипервизор защищён, и как он мониторится — это совершенно иная история. Неуязвимых систем не бывает, но security in depth работает потому, что даёт время и возможность кому-то что-то заметить. Остальные — воля божия.
| | |
|
|
|
|
| |
| |
| 5.14, timur.davletshin (ok), 08:12, 01/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Хотя бы тем, что у ntp*.vniiftri.ru Stratum I, а не Stratum II. В pool IPv6 поддерживают только 2* сервера, все остальные даже резолвятся только по IPv4.
| | |
| |
| 6.16, Аноним (16), 10:03, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Тут еще вопрос в востребованности v6 клиентами. Выставил собственный Stratum 1 в pool.ntp.org. По статистике соотношение запросов v6/v4 плавает в районе 1/120
| | |
| |
| 7.17, timur.davletshin (ok), 10:47, 01/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Я понимаю, что РФ не в передовиках по внедрению IPv6 (если IPv6 only вообще стоит копировать), но во многих странах именно IPv6 only c IPv4 через 464xlat.
> Выставил собственный Stratum 1 в pool.ntp.org...
В центральных регионах из pool'а часто перенаправляет на NTP сервер производителя глючных производственных дверей. Как-то анализировал трафик ещё лет 10 назад на предприятии и словил "а это г... что тут делает?" и с тех пор везде ntp*.vniiftri.ru прописываю. К госинституции у меня больше доверия в этом плане.
| | |
| |
| 8.20, Аноним (16), 12:32, 01/01/2024 [^] [^^] [^^^] [ответить] | +/– | У меня сервер анонсирован как доступный со всего мира, так что плюс-минус лапоть... текст свёрнут, показать | | |
| |
| |
| 10.24, Аноним (16), 14:27, 01/01/2024 [^] [^^] [^^^] [ответить] | +/– | По статистике в админке pool ntp org где-то 70 приходится на Европу и other wo... большой текст свёрнут, показать | | |
|
|
|
|
| 6.82, Аноним (4), 20:50, 03/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
У тебя нет задач, требующих s1. У тебя даже нет задач, для которых не зватило бы s3, так что все твои выверты — суть мастурбация, и как результат снижение надёжности синхронизации времени. Ляжет ntp*.vniiftri.ru и будешь по курантам время настраивать.
| | |
| |
| 7.83, timur.davletshin (ok), 21:02, 03/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
А pool надёжнее? Реально? Регулярно выбрасывающий на сервера с пингом в 150+ мс и джиттером 10+? Ну, ОК. А ляжет сервер, у меня GPS/Глонасс есть )))
| | |
| |
| 8.84, Аноним (16), 16:17, 04/01/2024 [^] [^^] [^^^] [ответить] | +/– | Перестаньте уже теребонькать на пинг и джиттер Нормальным участникам ntp обмена... текст свёрнут, показать | | |
| |
| |
| 10.86, Аноним (16), 19:12, 04/01/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Блин, ну вы хоть в спецификацию NTP свое жало ткните Его же специально создали ... текст свёрнут, показать | | |
| |
| |
| 12.89, Аноним (16), 06:35, 05/01/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Статистика как раз и говорит, что срать хотели ntp-клиенты на твои фантазии пов... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 4.23, Аноним (2), 14:27, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Осталось убедить ntp*.vniiftri.ru подключить NTPSec и IPv6 )))
А зачем, если не секрет?
| | |
|
| 3.44, Ivan_83 (ok), 19:17, 01/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 +1
после долгих мытарств дошёл до chrony.
Единственный недостаток это его невозможно заставить засинкать время если часы сильно далеко ушли вперёд (а может и назад).
Пришлось в стартовый скрипт ОС добавить проверки и выставление времени в том интервале из которого chrony принудительно синкает.
| | |
| |
| |
| 5.51, Ivan_83 (ok), 22:25, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Нет, я всё перекрутил и в исходники заглядывал.
Там какой то лимит захардкожен, не помню точно, вроде 2099 или 2049 года, а у меня на одном ноуте часы иногда 2200+ год выставляют.
| | |
| |
| 6.53, Ivan_83 (ok), 22:26, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
# Check system time.
SYS_TIME_YEAR='date "+%Y" | tr -cd '[:print:]''
if [ "${SYS_TIME_YEAR}" -gt 2050 ]; then
# Set date to: Sat Jun 13 16:27:00 EEST 2023
date '202306131627'
/usr/local/etc/rc.d/chronyd forcerestart
fi
| | |
|
|
| 4.64, нах. (?), 11:06, 02/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> после долгих мытарств дошёл до chrony.
какой вот только хренью люди не занимаются, лишь бы ntpd не использовать.
| | |
| |
| 5.65, Аноним (16), 13:07, 02/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
В сети два собственных Stratum 1. На chrony. Время от времени посматриваю как оно там с альтернативами в плане надежности, точности и стабильности. Альтернативы пока что сасай по полной. Конкретно ntpd на том же самом железе с тем же самым источником PPS дает ошибку в 10-90ppm, когда у chrony там же с тем же 0.005 ppm. Что за гении пишут ntpd, чтобы добиться таких результатов?
| | |
| |
| 6.66, нах. (?), 13:14, 02/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Конкретно ntpd на том же самом железе с тем же самым источником PPS дает ошибку в 10-90ppm, когда у chrony
> там же с тем же 0.005 ppm.
это имеет хоть малейшее значение в практических целях?
> Что за гении пишут ntpd, чтобы добиться таких результатов?
они переносимый софт писали, а не linoops only.
| | |
| |
| 7.68, Аноним (16), 13:45, 02/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Разница в погрешности в 4 порядка, вносимая программным методом, таки имеет значение. Тут обнарудилось при расковыривании внештатной ситуации, что горяче любимая одним из тутошних обитателей монга таки умеет внутри себя отслеживать события на уровне единиц микросекунд, и ошибка в 100 микросекунд будет не к месту.
А "переносимый софт" замечен за тем, что жрет время с откровенно кривого источника и уводит на него систему, в отличии от "не переносимого". Наверно это одна из причин, что там начали пилить NTPS.
| | |
| |
| 8.72, нах. (?), 16:19, 02/01/2024 [^] [^^] [^^^] [ответить] | +/– | монга переживает без особых проблем таймшифты и по паре секунд redis у вот тако... текст свёрнут, показать | | |
|
|
|
|
| 4.91, semester (ok), 17:02, 23/03/2024 [^] [^^] [^^^] [ответить]
| +/– |
 А в нем можно как то из пула автоматически выбирать сервера? Все что находил это список примерно из 15 серверов на гитхабе которые нужно явно указать.
| | |
|
|
| 2.15, Аноним (15), 09:29, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
"(+4)" - это поставили плюс новости четыре человека, а не четыре комментария. При четырёх комментариях было бы "(4 +4)".
| | |
| |
| 3.19, Аноним (-), 12:19, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Я все это время думал, что вторая цифра - это число добавленных или удаленных комменов, со времени последнего просмотра /_-
Спасибо за пояснение)
| | |
|
|
| 1.10, 12yoexpert (ok), 06:08, 01/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 ну всё как всегда: форкнуть под благовидным предлогом, поломать обратную совместимость, засунуть во все дистры и усложнить до невозможности разобраться одному разработчику. и профит - минус один опенсорсный проект
| | |
| |
| 2.18, Аноним (-), 12:17, 01/01/2024 [^] [^^] [^^^] [ответить] | –1 +/– | разве форки это не ллучшее что есть в опенсорсе тебе что-то не нравится - фо... большой текст свёрнут, показать | | |
| 2.30, нах. (?), 16:41, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
справедливости ради - в коде оригинала тоже разобраться могли единицы.
Но это - это вообще мрак какой-то, мегапереусложненное феерическое ненужно.
Вот зачем ему супермегашифрование (непременно требующее наираспоследнюю версию openssl)?
hp c akamai страшно боятся что ВРАГ подглядит ИХ точное время и ... и .. ииии?!
| | |
| |
| 3.32, timur.davletshin (ok), 17:01, 01/01/2024 [^] [^^] [^^^] [ответить]
| –4 +/– |
Через сервера времени вполне себе можно делать целый ряд массированных атак через тот же отказ в обслуживании из-за якобы истёкших сертификатов.
| | |
| |
| 4.37, нах. (?), 17:55, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
и о ужас - у тебя не пройдет целая одна синхронизация!
(не говоря уже о том что если ты этого боишься, тебе надо держать ntp в закрытом контуре и не выделываться)
| | |
| |
| 5.38, timur.davletshin (ok), 18:20, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> и о ужас - у тебя не пройдет целая одна синхронизация!
> (не говоря уже о том что если ты этого боишься, тебе надо
> держать ntp в закрытом контуре и не выделываться)
Если так рассуждать, то даже выгоревший датацентр никакой угрозы глобальной не представляет. Жизнь из-за этого не встанет.
| | |
| |
| |
| 7.42, timur.davletshin (ok), 18:36, 01/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> мастер подмены понятий. Следующий!
Зачем так толсто? Ты реально никогда не встречался с отказом в обслуживании из-за неверного времени на сервере или на клиентском устройстве? Ну, если тебе так повезло, то можешь погуглить "NTP pool bad actors" и "NTP-based DDoS attack".
| | |
| |
| 8.63, нах. (?), 10:38, 02/01/2024 [^] [^^] [^^^] [ответить] | +/– | Я реально никогда не встречался и не встречусь с какими-то отказами чего бы то н... текст свёрнут, показать | | |
|
|
|
|
| 4.41, Аноним (2), 18:30, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Через сервера времени вполне себе можно делать целый ряд массированных атак через тот же отказ в обслуживании из-за якобы истёкших сертификатов.
Это как? Опишите, пожалуйста, реалистичный сценарий подобной атаки.
И обязательно уточните, на кого она должна быть направлена — на клиентов или на сервер?
| | |
| |
| 5.43, timur.davletshin (ok), 18:38, 01/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Это как? Опишите, пожалуйста, реалистичный сценарий подобной атаки.
> И обязательно уточните, на кого она должна быть направлена — на клиентов
> или на сервер?
Отключи на сервере синхронизацию времени и выставь часы на лет 10 вперёд. А на клиентском устройстве можешь выставить назад на столько же. Удачи в игрищах. А теперь представь, что это случится в банке. Да-да-да, я из первых рук знаю, что там с свой сервер... который часто поверяется (или даже вообще синхронизируется без оглядки) через GPS. Но GPS же у нас криптографически защищен и его спуфить даже иранцы 10+ лет назад не умели.
Вы сильно доверяете коммерсантам. В реальности инфраструктура даже "серьёзных контор" полна подобных уязвимостей. Что там, давно ржали с провайдера с 20+ миллионами клиентов, где, как пару недель назад оказалось, всё хранилось в иностранном облаке :)
| | |
| |
| 6.47, Аноним (2), 21:09, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Отключи на сервере синхронизацию времени и выставь часы на лет 10 вперёд.
И как же от этого поможет использование NTS?
| | |
| 6.48, Аноним (2), 21:11, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
И еще непонятно, как в таком случае организовывать массированные атаки? Врываться в датацентры банков, подключать ко всем сервакам консоли, перезагружать их в emergency и править там конфиги?
| | |
| |
| 7.50, timur.davletshin (ok), 21:26, 01/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> И еще непонятно, как в таком случае организовывать массированные атаки? Врываться в
> датацентры банков, подключать ко всем сервакам консоли, перезагружать их в emergency
> и править там конфиги?
Зачем? Достаточно начать с перехвата незашифрованного NTP трафик.
Я понимаю, что далеко не все застали начало интернетов. Но вообще из-за того, что у Венды часы идут по дефолту по местному времени и на первых порах никаких этих ваших NTP не было, только из-за этого было большое кол-во бугагашек, когда Netscape стал внедрять SSL.
| | |
| |
| |
| |
| 10.78, фнон (?), 12:25, 03/01/2024 [^] [^^] [^^^] [ответить] | +/– | А должены был сам тянуть по подвалам и чердакам Думаю достаточно дать денег те... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 1.28, Аноним (28), 16:00, 01/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>безопасный
>под руководством Эрика Реймонда (Eric S. Raymond)
Который свой собственный сайт защитить TLEом не осилил.
| | |
| |
| 2.71, Аноним (71), 16:14, 02/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это который написал один из самиых кривых и забагованных почтовых клиентов в истории человечества - fetchmail
| | |
|
|
