Security
阻止 ntp 客戶端監聽
我一直在嘗試建構和配置 ntp 客戶端和伺服器,並在客戶端中使用了這一行
ntp.conf
:restrict default ignore
不過,我看到我的客戶端正在偵聽本地網路介面。從系統日誌:
Listening on interface #0 wildcard, 0.0.0.0#123 Disabled Listening on interface #1 wildcard, ::#123 Disabled Listening on interface #2 vmnet8, fe80::250:56ff:fec0:8#123 Enabled Listening on interface #3 lo, ::1#123 Enabled Listening on interface #4 eth0, fe80::222:68ff:fe10:1529#123 Enabled Listening on interface #5 vmnet1, fe80::250:56ff:fec0:1#123 Enabled Listening on interface #6 lo, 127.0.0.1#123 Enabled Listening on interface #7 eth0, 192.168.111.183#123 Enabled Listening on interface #8 vmnet1, 172.16.139.1#123 Enabled
0-1 被禁用,這很好。
使用的開放埠列表
nmap -sUS -O 127.0.0.1
:Starting Nmap 4.53 ( http://insecure.org ) at 2009-08-03 12:25 IDT Interesting ports on localhost (127.0.0.1): Not shown: 3195 closed ports PORT STATE SERVICE 22/tcp open ssh 631/tcp open ipp 902/tcp open iss-realsecure-sensor 5432/tcp open postgres 68/udp open|filtered dhcpc 123/udp open|filtered ntp 5353/udp open|filtered zeroconf Device type: general purpose Running: Linux 2.6.X
如您所見,
ntp
正在偵聽埠 123。為什麼?有任何想法嗎?
烏迪
答案似乎是使用的協議類型:NTP 使用 UDP 協議,它是無連接的,因此需要一個開放埠來接收請求後來自伺服器的時間。
我想我只需要保持該埠開放,因為 NTP 具有非常好的安全聲譽。
它實際上是在嘗試同步嗎?我的“man ntp.conf”副本建議自動添加預設條目以防止自同步問題(這是我假設您擔心的問題;如果不是,您可能想澄清您的問題):
帶有ignore、interface、ntpport標誌的預設限制列表條目在啟動時插入到表中,以防止伺服器嘗試與自己的時間同步。預設條目也始終存在,但如果未配置它;沒有標誌與預設條目相關聯(即,除了您自己的 NTP 伺服器之外的所有內容都是不受限制的)。
(ntpd 4.2.4p7)