Хотелось бы видеть у нас пакет поновее. На официальном сервере уже есть 4.2.7. Также просьба исправить недочёты (в текущей версии): 1) в /etc/ntp.conf добавить строку (пусть и в виде комментария) tos orphan 5 Без неё невозможно использовать ntp в качестве источника данных без старших серверов времени 2) из /etc/ntp.conf убрать строку authenticate off так как ntp не поддерживает этот параметр (только через командую строку с "-A") 3) исправить man ntpd, указав, что параметр "-I interface" можно использовать только единожды.
собрать новую версию было бы полезно, так как в ней появились такие фичи: Good thing is that ntpd 4.2.6 is reporting which interfaces it binds to including its behavior (ntpd can listen on an interface but ignores all packets). interface ignore 0.0.0.0 # Masks out both IPv4 and IPv6 wildcard. interface ignore :: # Seems to be redundant. interface listen localhost # Binds to both IPv4 and IPv6 interface listen 178.79.***.*** interface listen 2001:470:***:***::1 Насчет "tos orphan 5 Без неё невозможно использовать ntp в качестве источника данных без старших серверов времени" - считаю, что это не нужно. ntpd выполняет основную функцию - синхронизацию с другими серверами. параметр -I, указанный дважды, у меня принимается: ntpd 14564 0.0 0.0 18476 1248 ? Ss 10:04 0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -I ext -I int --user=ntpd:ntpd но не влияет на работу: tcp UNCONN 172.16.214.233:123 *:* tcp UNCONN 213.156.210.215:123 *:* tcp UNCONN 127.0.0.1:123 *:* tcp UNCONN *:123 *:*
1) У меня в локалке нет доступа к интернет-серверам времени, а иметь единое время в локалке нужно, поэтому я и прошу добавить эту строку (tos orphan 5) хотя бы в виде комментария 2) Второй параметр -I на данный момент у меня вышибает предыдущее подключение к другому интерфейсу. То есть запись ntpd -I eth0 -I eth1 приводит к тому, что сервер не садится на интерфейс eth0, а только на eth1. При этом в списке соединений через netstat ничего криминального нет, но попытка доступа через адрес на eth0 приводит к отлупу. Это легко проверить в исходниках (где разбирается параметр -I).
в версии 4.2.6 вообще не нужны параметры -I - ни один, ни много. поэтому лучше обновить, и замечание станет неактуально. а если в локалке нет доступа к интернету, то используйте лучше chrony, он как раз для этой задачи, а не ntpd.
Я правильно понимаю, что это, с некоторых пор, блокер ? NTP Amplification Attacks Using CVE-2013-5211 http://www.us-cert.gov/ncas/alerts/TA14-013A
Что-то я поторопился. 4.2.7 же Development. CVE-2013-5211 для более ранних, чем 4.2.7p26, исправляется посредством "disable monitor" в ntp.conf, так что достаточно пересобрать с откорректированным конфигом. В 4.2.7p26 этот monitor просто совсем выкинули, как я понимаю: (4.2.7p26) 2010/04/24 Released by Harlan Stenn <stenn@ntp.org> ... * [Bug 1532] Remove ntpd support for ntpdc's monlist in favor of ntpq's mrulist. ...
В задании 114277 лежит обновление до 4.2.6p5: - removed unsupported option from ntp.conf (closes: #27162) - added "disable monitor" to ntp.conf (CVE-2013-5211) - moved man1/ntpd.1.gz to ntpd package (closes: #27948) - added "BuildArch: noarch" for ntp-aux and ntp-doc "tos orphan 5" добавлять не стал: кажется, это не сильно часто используется на самом деле.
ntp-4.2.6-alt1 -> sisyphus: * Fri Feb 14 2014 Sergey Y. Afonin <asy@altlinux> 4.2.6-alt1 - NMU - 4.2.6p5 (closes: #27162) - removed unsupported option from ntp.conf (closes: #27162) - added "disable monitor" to ntp.conf (CVE-2013-5211) - moved man1/ntpd.1.gz to ntpd package (closes: #27948) - added "BuildArch: noarch" for ntp-aux and ntp-doc
