DTop CMS - система управления контентом
Текущая версия: 3.4.1



© 2002-2014

Статья опубликована: 2014.02.15
Последние изменения: 2014.04.20

FreeBSD 9+, настройка ntpd.


ntpd - это клиент и одновременно сервер времени. С его помощью сервер синхронизирует своё время с серверами, заданными в настройках, а также и сам может отдавать время клиентам.
По большому счету, настраивать до недавних пор там было нечего, но 13 января 2014 года компьютерная команда экстренной готовности США (US-CERT) выпустила предупреждение о новом способе DDoS-атак - NTP amplification attack (CVE-2013-5211). Зараженные компьютеры отправляют запрос monlist с поддельным IP-адресом отправителя к NTP-серверу. Запрос monlist возвращает список из последних 600 клиентов ntpd. Таким образом, небольшим запросом от зараженного компьютера к жертве отправляется большой поток UDP.

Проверить свой сервер на уязвимость очень просто:
ntpdc -c monlist внешний_адрес_сервера
Если команда выдает список клиентов (а не «timed out, nothing received»), значит система уязвима.

Если вам не нужен свой сервер времени, то синхронизацию часов можно настроить как описано здесь

Настраиваем

Отключаем команду monlist в /etc/ntp.conf:
disable monitor
Разрешаем получение времени только клиентами из внутренней сети и localhost. Смотрим в /etc/ntp.conf список серверов для синхронизации, в моем файле их три:
server 0.freebsd.pool.ntp.org iburst maxpoll 9
server 1.freebsd.pool.ntp.org iburst maxpoll 9
server 2.freebsd.pool.ntp.org iburst maxpoll 9
Редактируем или добавляем строчки в /etc/ntp.conf. Сервера, с которыми синхронизируемся, должны быть разрешены при помощи restrict:
restrict default ignore
restrict 0.freebsd.pool.ntp.org
restrict 1.freebsd.pool.ntp.org
restrict 2.freebsd.pool.ntp.org
restrict 127.0.0.1
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict default ignore - по умолчанию всех посылаем в лес
192.168.0.0 - это наша внутренняя сеть.
Проверяем наличие в /etc/rc.conf строчек:
ntpd_enable="YES"
ntpd_sync_on_start="YES"
Перезапускаем:
# /etc/rc.d/ntpd restart