Security

阻止 ntp 客戶端監聽

  • August 3, 2009

我一直在嘗試建構和配置 ntp 客戶端和伺服器,並在客戶端中使用了這一行ntp.conf

restrict default ignore

不過,我看到我的客戶端正在偵聽本地網路介面。從系統日誌:

Listening on interface #0 wildcard, 0.0.0.0#123 Disabled
Listening on interface #1 wildcard, ::#123 Disabled
Listening on interface #2 vmnet8, fe80::250:56ff:fec0:8#123 Enabled
Listening on interface #3 lo, ::1#123 Enabled
Listening on interface #4 eth0, fe80::222:68ff:fe10:1529#123 Enabled
Listening on interface #5 vmnet1, fe80::250:56ff:fec0:1#123 Enabled
Listening on interface #6 lo, 127.0.0.1#123 Enabled
Listening on interface #7 eth0, 192.168.111.183#123 Enabled
Listening on interface #8 vmnet1, 172.16.139.1#123 Enabled

0-1 被禁用,這很好。

使用的開放埠列表nmap -sUS -O 127.0.0.1

Starting Nmap 4.53 ( http://insecure.org ) at 2009-08-03 12:25 IDT
Interesting ports on localhost (127.0.0.1):
Not shown: 3195 closed ports
PORT     STATE         SERVICE
22/tcp   open          ssh
631/tcp  open          ipp
902/tcp  open          iss-realsecure-sensor
5432/tcp open          postgres
68/udp   open|filtered dhcpc
123/udp  open|filtered ntp
5353/udp open|filtered zeroconf
Device type: general purpose
Running: Linux 2.6.X

如您所見,ntp正在偵聽埠 123。為什麼?

有任何想法嗎?

烏迪

答案似乎是使用的協議類型:NTP 使用 UDP 協議,它是無連接的,因此需要一個開放埠來接收請求後來自伺服器的時間。

我想我只需要保持該埠開放,因為 NTP 具有非常好的安全聲譽。

它實際上是在嘗試同步嗎?我的“man ntp.conf”副本建議自動添加預設條目以防止自同步問題(這是我假設您擔心的問題;如果不是,您可能想澄清您的問題):

帶有ignore、interface、ntpport標誌的預設限制列表條目在啟動時插入到表中,以防止伺服器嘗試與自己的時間同步。預設條目也始終存在,但如果未配置它;沒有標誌與預設條目相關聯(即,除了您自己的 NTP 伺服器之外的所有內容都是不受限制的)。

(ntpd 4.2.4p7)

引用自:https://serverfault.com/questions/49197