为什么 ntpd 需要开放端口?

为什么 ntpd 需要开放端口?

在我的 Ubuntu 系统上,我已激活“通过互联网进行时间同步”。因此,ntp 守护程序已启动。

我不明白的是:为什么 ntpd 需要开放 UDP 端口 123?实际上,我不想在我的计算机上运行 ntp 服务器 - 我的目的只是将我的时间与互联网上的 ntp 服务器同步。

所以,我的问题是:

  • 为什么我只想与其他ntp服务器同步,默认有一个开放端口?

  • 这难道不是不必要的安全风险吗?

  • 有人能为我的“问题”提供好的解决办法吗?

非常感谢您的帮助。我已经在互联网上搜索过了,但找不到令人满意的答案。

答案1

引自此文完美答案

ISC ntpd(ntp 包)将在所有接口上打开 UDP 123
不管你用它做什么。即使你阻止了它,它仍然会工作。
 iptables 中的端口,假设你允许对已建立的流量做出响应
与往常一样 - 您向所选服务器发出的出站动员请求将
 足以允许响应,并且对于发送的进一步流量也是如此
ntpd 的生命周期。像这样使用 iptables 可能是最简单的方法
确保 ntpd 安全。您还可以采取一些纵深防御措施:
- 以非 root 身份运行 ntpd
- 将其 chroot 到某个安全目录下运行(实际上只有在执行以下操作时才有意义
非 root 用户也一样,因为 root 可以脱离 chroot)
- 应用 ntpd 的内置访问控制(参见 ntpd.conf 中的示例和完整
 ntp_acc(5) 中的文档

欲了解更多信息,请阅读上面链接中的完整答案,另外请查看这个回答在 SU

相关内容