由于 CVE-2013-5211,FreeBSD 的 net/ntp 端口被禁止,不支持上游

由于 CVE-2013-5211,FreeBSD 的 net/ntp 端口被禁止,不支持上游

FreeBSD 端口 net/ntp 被标记为禁止,因为它容易受到流量欺骗和放大攻击,如中所述CVE-2013-5211

然而,上游提供商 ntp.org 没有提供支持。

开发人员似乎早在 2011 年 12 月就意识到了这些问题,除了建议更改配置以缓解问题之外,没有寻求其他补救措施: http://lists.ntp.org/pipermail/pool/2011-December/005616.html

如果不依赖 FreeBSD 的“世界”版本的 ntpd,还有哪些其他软件包可以替代 ntpd?

答案1

克罗尼似乎是正在积极维护的 ntpd 的直接替代品,并且在撰写本文时,似乎没有任何已知的、未解决的漏洞。

OpenBSD 的开放NTPD似乎也得到了积极维护,然而似乎也有一些合理的批评(OpenNTPD 的文档,维基百科)它可能不如 ISC 的 NTP 准确。

答案2

除了您在回答问题时提供的两个选项之外,您还可以使用来自 phk@freebsd 的 ntpns。然而 ntpns 的目标是高性能 stratum-1 服务器,因此它可能不是您正在寻找的。

ntpn下载:http://phk.freebsd.dk/NTPns/phkrel/

我个人认为您应该使用 ntp 参考实现中的最新 4.2.7。我管理着许多S1 ntpservers,它们都可以顺利运行4.2.7。并且已经这样做了两年多了(4.2.7p270 是我的第一个 4.2.7 服务器)。如果您不愿意使用 4.2.7 系列并且不需要 phk 的 ntpns 提供的精度,我建议使用 chrony。 Miroslav 正在积极开发 chrony,并且对用户社区的响应非常积极。

附录:我对 openntpd 没有太多经验。我的印象是,为了安全性和简单性,精确计时处于次要位置。计时目标似乎“足以满足大多数目的”。

相关内容