我在 CentOS 7.5 上安装了 NTP 4.2.6p5。由于“网络时间协议多个安全漏洞”漏洞,我必须将其升级到最新的 NTP 4.2.8p13 版本。
现在的问题是,我无法使用 找到最新的可用版本yum whatprovides
。
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
有人知道如何将 NTP 升级到最新版本 4.2.8p13 来修复此漏洞吗?
编辑-1
我已经从源安装了 NTP 最新版本,但我不确定从源安装后如何启动服务。
另外,我还删除了旧的 rpm 包。
编辑2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
答案1
你真的应该使用 CentOS 的软件包。它具有所有向后移植的修复程序,并且 CentOS 将继续修复安全更新,这与从源代码构建的解决方案不同,每次 NTP 发布另一个 CVE 时都需要重新构建。
如果你只是运行“yum update ntp”你会得到解决了以下所有 CVE。无论谁告诉您这些 CVE 未得到解决,也应该查看该页面。对于其中许多人来说,Redhat 表示 el7 中的 ntp 软件包甚至没有受到影响。
不要盲目相信安全审核员,大多数情况下他们只是接受过在 Windows 计算机上运行工具的培训的人(如果他们甚至了解 Linux,那么你很幸运)并鹦鹉学舌地重复结果,并且对如何运行没有深入的了解企业级 Linux 操作系统可以正常工作。 Redhat(以及随后的 CentOS)将安全修复程序向后移植到软件包的稳定版本。维护自己的最新版本实际上是更多的存在安全风险,因为现在每次出现安全修复时都必须重建它。
编辑:另外,请指示您的安全审核员或任何告诉您将 ntp 升级到最新版本的人来阅读Redhat 关于向后移植的讨论
。
答案2
为了稳定性以及许多主机之间的快速收敛和时间维护,我一直使用 chrony 而不是 ntp。事实上,我相信从 RHEL/Centos 7.x 开始,chrony 是默认提供的主要网络时间包。
然而,就您而言,如果您想与发行版保持同步,您可以等到供应商发布新版本。对于 RHEL/Centos,软件包中列出的主要版本通常在主要系统修订版本的生命周期内不会发生任何变化。发生的情况是补丁被向后移植并且 -# 反映了更改。因此,尽管您的软件包清单指示了一个版本,但它很可能会更新到当前版本。这使得管理员很难在全局范围内验证包的特定版本号并进行比较。
如果您真的非常想升级到新版本,您可以下载源包并将其作为升级到新版本的基础。我不得不对一些至关重要的软件包执行此操作...这并不那么难,但是您必须清除所有已经存在的补丁。