ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | update current 4.2.4 to upstream production ver 4.2.6 | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | serpiph <serpiph> |
| Component: | ntp | Assignee: | Sergey Y. Afonin <asy> |
| Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
| Severity: | minor | ||
| Priority: | P3 | CC: | asy, combr, ldv, mike |
| Version: | unstable | ||
| Hardware: | all | ||
| OS: | Linux | ||
| URL: | http://www.ntp.org/downloads.html | ||
| Bug Depends on: | |||
| Bug Blocks: | 19494 | ||
|
Description
serpiph
2012-04-05 12:14:53 MSK
собрать новую версию было бы полезно, так как в ней появились такие фичи: Good thing is that ntpd 4.2.6 is reporting which interfaces it binds to including its behavior (ntpd can listen on an interface but ignores all packets). interface ignore 0.0.0.0 # Masks out both IPv4 and IPv6 wildcard. interface ignore :: # Seems to be redundant. interface listen localhost # Binds to both IPv4 and IPv6 interface listen 178.79.***.*** interface listen 2001:470:***:***::1 Насчет "tos orphan 5 Без неё невозможно использовать ntp в качестве источника данных без старших серверов времени" - считаю, что это не нужно. ntpd выполняет основную функцию - синхронизацию с другими серверами. параметр -I, указанный дважды, у меня принимается: ntpd 14564 0.0 0.0 18476 1248 ? Ss 10:04 0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -I ext -I int --user=ntpd:ntpd но не влияет на работу: tcp UNCONN 172.16.214.233:123 *:* tcp UNCONN 213.156.210.215:123 *:* tcp UNCONN 127.0.0.1:123 *:* tcp UNCONN *:123 *:* 1) У меня в локалке нет доступа к интернет-серверам времени, а иметь единое время в локалке нужно, поэтому я и прошу добавить эту строку (tos orphan 5) хотя бы в виде комментария 2) Второй параметр -I на данный момент у меня вышибает предыдущее подключение к другому интерфейсу. То есть запись ntpd -I eth0 -I eth1 приводит к тому, что сервер не садится на интерфейс eth0, а только на eth1. При этом в списке соединений через netstat ничего криминального нет, но попытка доступа через адрес на eth0 приводит к отлупу. Это легко проверить в исходниках (где разбирается параметр -I). в версии 4.2.6 вообще не нужны параметры -I - ни один, ни много. поэтому лучше обновить, и замечание станет неактуально. а если в локалке нет доступа к интернету, то используйте лучше chrony, он как раз для этой задачи, а не ntpd. Я правильно понимаю, что это, с некоторых пор, блокер ? NTP Amplification Attacks Using CVE-2013-5211 http://www.us-cert.gov/ncas/alerts/TA14-013A Что-то я поторопился. 4.2.7 же Development. CVE-2013-5211 для более ранних, чем 4.2.7p26, исправляется посредством "disable monitor" в ntp.conf, так что достаточно пересобрать с откорректированным конфигом. В 4.2.7p26 этот monitor просто совсем выкинули, как я понимаю: (4.2.7p26) 2010/04/24 Released by Harlan Stenn <stenn@ntp.org> ... * [Bug 1532] Remove ntpd support for ntpdc's monlist in favor of ntpq's mrulist. ... В задании 114277 лежит обновление до 4.2.6p5: - removed unsupported option from ntp.conf (closes: #27162) - added "disable monitor" to ntp.conf (CVE-2013-5211) - moved man1/ntpd.1.gz to ntpd package (closes: #27948) - added "BuildArch: noarch" for ntp-aux and ntp-doc "tos orphan 5" добавлять не стал: кажется, это не сильно часто используется на самом деле. ntp-4.2.6-alt1 -> sisyphus: * Fri Feb 14 2014 Sergey Y. Afonin <asy@altlinux> 4.2.6-alt1 - NMU - 4.2.6p5 (closes: #27162) - removed unsupported option from ntp.conf (closes: #27162) - added "disable monitor" to ntp.conf (CVE-2013-5211) - moved man1/ntpd.1.gz to ntpd package (closes: #27948) - added "BuildArch: noarch" for ntp-aux and ntp-doc |
