在我的 Ubuntu 系统上,我已激活“通过互联网进行时间同步”。因此,ntp 守护程序已启动。
我不明白的是:为什么 ntpd 需要开放 UDP 端口 123?实际上,我不想在我的计算机上运行 ntp 服务器 - 我的目的只是将我的时间与互联网上的 ntp 服务器同步。
所以,我的问题是:
为什么我只想与其他ntp服务器同步,默认有一个开放端口?
这难道不是不必要的安全风险吗?
有人能为我的“问题”提供好的解决办法吗?
非常感谢您的帮助。我已经在互联网上搜索过了,但找不到令人满意的答案。
答案1
引自此文完美答案
ISC ntpd(ntp 包)将在所有接口上打开 UDP 123 不管你用它做什么。即使你阻止了它,它仍然会工作。 iptables 中的端口,假设你允许对已建立的流量做出响应 与往常一样 - 您向所选服务器发出的出站动员请求将 足以允许响应,并且对于发送的进一步流量也是如此 ntpd 的生命周期。像这样使用 iptables 可能是最简单的方法 确保 ntpd 安全。您还可以采取一些纵深防御措施: - 以非 root 身份运行 ntpd - 将其 chroot 到某个安全目录下运行(实际上只有在执行以下操作时才有意义 非 root 用户也一样,因为 root 可以脱离 chroot) - 应用 ntpd 的内置访问控制(参见 ntpd.conf 中的示例和完整 ntp_acc(5) 中的文档
欲了解更多信息,请阅读上面链接中的完整答案,另外请查看这个回答在 SU