27162 2012-04-05 12:14:53 +0400 update current 4.2.4 to upstream production ver 4.2.6 2014-02-16 17:48:29 +0400 1 1 4 Development Sisyphus ntp unstable all Linux CLOSED FIXED http://www.ntp.org/downloads.html P3 minor --- 19494 1 serpiph asy asy combr ldv mike qa-sisyphus oldest_to_newest 130375 0 serpiph 2012-04-05 12:14:53 +0400 Хотелось бы видеть у нас пакет поновее. На официальном сервере уже есть 4.2.7. Также просьба исправить недочёты (в текущей версии): 1) в /etc/ntp.conf добавить строку (пусть и в виде комментария) tos orphan 5 Без неё невозможно использовать ntp в качестве источника данных без старших серверов времени 2) из /etc/ntp.conf убрать строку authenticate off так как ntp не поддерживает этот параметр (только через командую строку с "-A") 3) исправить man ntpd, указав, что параметр "-I interface" можно использовать только единожды. 142704 1 combr 2013-09-19 10:09:26 +0400 собрать новую версию было бы полезно, так как в ней появились такие фичи: Good thing is that ntpd 4.2.6 is reporting which interfaces it binds to including its behavior (ntpd can listen on an interface but ignores all packets). interface ignore 0.0.0.0 # Masks out both IPv4 and IPv6 wildcard. interface ignore :: # Seems to be redundant. interface listen localhost # Binds to both IPv4 and IPv6 interface listen 178.79.***.*** interface listen 2001:470:***:***::1 Насчет "tos orphan 5 Без неё невозможно использовать ntp в качестве источника данных без старших серверов времени" - считаю, что это не нужно. ntpd выполняет основную функцию - синхронизацию с другими серверами. параметр -I, указанный дважды, у меня принимается: ntpd 14564 0.0 0.0 18476 1248 ? Ss 10:04 0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -I ext -I int --user=ntpd:ntpd но не влияет на работу: tcp UNCONN 172.16.214.233:123 *:* tcp UNCONN 213.156.210.215:123 *:* tcp UNCONN 127.0.0.1:123 *:* tcp UNCONN *:123 *:* 142709 2 serpiph 2013-09-19 10:53:44 +0400 1) У меня в локалке нет доступа к интернет-серверам времени, а иметь единое время в локалке нужно, поэтому я и прошу добавить эту строку (tos orphan 5) хотя бы в виде комментария 2) Второй параметр -I на данный момент у меня вышибает предыдущее подключение к другому интерфейсу. То есть запись ntpd -I eth0 -I eth1 приводит к тому, что сервер не садится на интерфейс eth0, а только на eth1. При этом в списке соединений через netstat ничего криминального нет, но попытка доступа через адрес на eth0 приводит к отлупу. Это легко проверить в исходниках (где разбирается параметр -I). 142732 3 combr 2013-09-19 17:06:57 +0400 в версии 4.2.6 вообще не нужны параметры -I - ни один, ни много. поэтому лучше обновить, и замечание станет неактуально. а если в локалке нет доступа к интернету, то используйте лучше chrony, он как раз для этой задачи, а не ntpd. 145153 4 asy 2014-02-07 21:03:49 +0400 Я правильно понимаю, что это, с некоторых пор, блокер ? NTP Amplification Attacks Using CVE-2013-5211 http://www.us-cert.gov/ncas/alerts/TA14-013A 145255 5 asy 2014-02-14 11:52:10 +0400 Что-то я поторопился. 4.2.7 же Development. CVE-2013-5211 для более ранних, чем 4.2.7p26, исправляется посредством "disable monitor" в ntp.conf, так что достаточно пересобрать с откорректированным конфигом. В 4.2.7p26 этот monitor просто совсем выкинули, как я понимаю: (4.2.7p26) 2010/04/24 Released by Harlan Stenn <stenn@ntp.org> ... * [Bug 1532] Remove ntpd support for ntpdc's monlist in favor of ntpq's mrulist. ... 145270 6 asy 2014-02-15 13:32:32 +0400 В задании 114277 лежит обновление до 4.2.6p5: - removed unsupported option from ntp.conf (closes: #27162) - added "disable monitor" to ntp.conf (CVE-2013-5211) - moved man1/ntpd.1.gz to ntpd package (closes: #27948) - added "BuildArch: noarch" for ntp-aux and ntp-doc "tos orphan 5" добавлять не стал: кажется, это не сильно часто используется на самом деле. 145327 7 repository-robot 2014-02-16 17:04:50 +0400 ntp-4.2.6-alt1 -> sisyphus: * Fri Feb 14 2014 Sergey Y. Afonin <asy@altlinux> 4.2.6-alt1 - NMU - 4.2.6p5 (closes: #27162) - removed unsupported option from ntp.conf (closes: #27162) - added "disable monitor" to ntp.conf (CVE-2013-5211) - moved man1/ntpd.1.gz to ntpd package (closes: #27948) - added "BuildArch: noarch" for ntp-aux and ntp-doc