为了额外的安全性,我应该在个人计算机上运行 NTP 守护程序吗?

为了额外的安全性,我应该在个人计算机上运行 NTP 守护程序吗?

在我的个人计算机上运行 NTP 守护程序会提供额外的安全性吗?我之所以这么问,是因为出于安全原因,有一个工具告诉我要获取 NTP 守护程序。然而,据我所知,该工具主要是为服务器量身定制的,现在我想知道该建议是否也适用于 PC/客户端。
如果它能提供一些额外的安全性,也请简要说明为什么
我正在使用 KDE 运行 Debian 9.1。

答案1

NTP 是网络时间协议。

NTP 守护进程只不过是让你的计算机时钟与较低层的时间服务器保持同步(对于 Debian,它们是*.debian.pool.ntp.org默认的)。建议在您的计算机上运行它,但它不会执行任何与安全相关的操作。

要安装它,请运行

apt-get install ntp

答案2

我建议保持准确的时钟,因为它可能会显示在 GUI 的屏幕上。我经常很困惑是否显示了错误的时间:)。大多数系统为此使用某种形式的 NTP。但是,如果您想减少攻击面,并且只需ntpdate手动运行一次,那么在我看来,这也不是一个糟糕的决定。

虽然存在安全方面的问题,但在个人计算机上这是非常无关紧要的。推理:

准确的时钟有两个安全优势。

  1. 据说,良好同步的日志信息对于响应安全事件非常有用。这与个人电脑无关。
  2. 如果日期超出范围太远,用于使特定过期 SSL 证书过期的安全机制将无法正常工作。

我们不希望时钟漂移足以导致系统运行时日期不匹配。然而,时钟也可能因其他原因而出错。例如,RTC 电池可能会耗尽。

对于这种情况,nptd(例如,在 Debian init 脚本默认值中)使用该-g选项启动。它会根据互联网时间服务器设置时钟,无论它已经过时多久。

您不太可能同时遭受重放旧的、过期的 SSL 证书的攻击。攻击者会赌你的时钟也已经过时了。坏时钟更有可能导致误报错误,而不是漏报错误。更大的安全问题是,用户可能会对 SSL 过期错误感到困惑,从而“点击”真正的 SSL 错误。

但我不认为这作为一种攻击非常实用。

“可用性”也是一个安全属性,但这指的是导致拒绝服务的某些主动攻击。如果由于硬件故障或用户错误而丢失准确的时间服务,这本身并不是安全故障。

第二个原因是,NTP 的安全性与 SSL (https://) 或 apt-get 的安全性不同。ntpd -g无论如何,敌对网络都可能尝试检测并提供错误时间。

答案3

有两个与 NTP 相关的概念。第一个是 NTP 客户端,第二个是 NTP 服务器。

NTP服务器通过123端口为NTP客户端提供正确的时间,因此它可能成为DDOS攻击的受害者。有一些统计数据许多 NTP 服务器使用非常旧版本的 NTP 守护进程(大约四分之一或更多)。攻击者可以利用在过时版本的 NTP 守护程序中发现的漏洞。

但这不是你的问题,因为你需要 NTP 客户端,它只同步当地时间与公共 NTP 服务器。你需要选择可信服务器(例如http://www.pool.ntp.org/ru/)并正确配置您的守护进程。

答案4

每个建议都可以应用于PC和客户端,但你需要有一些关于它们的背景...正如dr01所说,这个特定的服务可以避免一些时间中毒,你可以看到和例子这里关于时间中毒...

一些有用的建议可能是:

始终在受信任的网络中运行服务

这意味着,如果您需要或想要运行某项服务,您需要确保该服务将保留在您的网络内……您的路由器后面需要一个良好的防火墙来保证其安全。

如果您真的运行该服务需要

这很简单,如果你需要服务,运行它,但如果不这样做,就避免它。您运行的服务越多,留给攻击者试图攻击您的途径就越多。

除了必要的服务外,不要以 root 身份运行服务

这是显而易见的,但总是要记住......避免以 root 身份运行不需要的服务,如果其中任何一个受到损害,那么整个机器都会受到损害。

我的社区有一个很好的指南确保服务安全如果您需要搜索有关您现在可能正在运行的任何其他服务的更多详细信息。

相关内容