本星期新的攻击网络时间协议守护进程 (ntpd) 进行了演示,参见本文。这可能会对我的 HTTPS 网站或我正在运行的其他时间敏感服务造成严重破坏。
根据文章,为了保证安全,客户端和服务器都应至少运行 NTP 版本4.2.8p4。
在我的 Ubuntu Server 14.04.3 LTS 机器上运行后,ntpd --version我发现ntpd 4.2.6p5它仍然易受攻击。即使在运行apt-get update、apt-get upgrade和之后也是如此apt-get dist-upgrade。
显然我可以自己从 ntp.org 下载最新版本。但我不确定这是否会与我通过 完成的现有 ntpd 安装相冲突apt-get。此外,他们只提供通过 HTTP 下载,并且他们确保真实性的方法是使用 MD5 哈希校验和……我期待着我的 NSA 后门补丁。我真的希望人们会使用 GPG 签名。
Ubuntu 是否计划近期发布安全补丁以将 ntpd 升级到 4.2.8p4?修复此问题需要做什么?
如果我阅读了代码并假设 ntp.org 网站上可供下载的 4.2.8p4 版本是值得信赖的,那么我该如何安装该版本而不发生冲突?
答案1
安装
checkinstall、阅读man checkinstall并使用checkinstall来跟踪已安装的文件。下载、构建并安装您需要的版本
ntpd,覆盖 Ubuntu 的版本。检查是否可以make uninstall(通过阅读Makefile)或跟踪已安装的文件。当 Ubuntu 更新
ntpd到所需版本或超出所需版本时,返回源目录并make uninstall。然后sudo apt-get install --reinstall ntpd您应该会重新与官方版本同步。
笔记:我没有尝试过,所以我可能是错的。