本星期新的攻击网络时间协议守护进程 (ntpd) 进行了演示,参见本文。这可能会对我的 HTTPS 网站或我正在运行的其他时间敏感服务造成严重破坏。
根据文章,为了保证安全,客户端和服务器都应至少运行 NTP 版本4.2.8p4。
在我的 Ubuntu Server 14.04.3 LTS 机器上运行后,ntpd --version
我发现ntpd 4.2.6p5
它仍然易受攻击。即使在运行apt-get update
、apt-get upgrade
和之后也是如此apt-get dist-upgrade
。
显然我可以自己从 ntp.org 下载最新版本。但我不确定这是否会与我通过 完成的现有 ntpd 安装相冲突apt-get
。此外,他们只提供通过 HTTP 下载,并且他们确保真实性的方法是使用 MD5 哈希校验和……我期待着我的 NSA 后门补丁。我真的希望人们会使用 GPG 签名。
Ubuntu 是否计划近期发布安全补丁以将 ntpd 升级到 4.2.8p4?修复此问题需要做什么?
如果我阅读了代码并假设 ntp.org 网站上可供下载的 4.2.8p4 版本是值得信赖的,那么我该如何安装该版本而不发生冲突?
答案1
安装
checkinstall
、阅读man checkinstall
并使用checkinstall
来跟踪已安装的文件。下载、构建并安装您需要的版本
ntpd
,覆盖 Ubuntu 的版本。检查是否可以make uninstall
(通过阅读Makefile
)或跟踪已安装的文件。当 Ubuntu 更新
ntpd
到所需版本或超出所需版本时,返回源目录并make uninstall
。然后sudo apt-get install --reinstall ntpd
您应该会重新与官方版本同步。
笔记:我没有尝试过,所以我可能是错的。