Opa Eduardo como está, respostas no final do e-mail !!
Em 10/10/2015 07:52, Eduardo Lemos de Sa escreveu:
Oi Paulo Obrigado por sua atenção (meus comentários vêm no final deste email). 2015-10-09 23:24 GMT-03:00 Paulo Olivier Cavalcanti <procavalca...@gmail.com: Em 09/10/2015 22:02, Eduardo Lemos de Sa escreveu:Caríssimos Eu tenho várias máquinas rodando o 10.2-RELEASE (atualizadassemanalmente).Para a minha surpresa, recebi esta mensagem do CAIS (Centro deAtendimentoa Incidentes de Seguranca): [...] *Por favor, alguém tem algum comentário a fazer sobre isto?* *Agradeço desde já a atenção* *Um abraço* *Edu*A versão do ntpd que vem com o 10.2 é a 4.2.8p3-a (1). Portanto ela não está vulnerável, segundo o CAIS. Rodei o comando para o IP do servidor do meu trabalho e não retornou qualquer mensagem. Qual versão vc tá usando do ntpd?Isto é o que eu achei mais estranho: ntpd --version ntpd 4.2.8p3-a (1) o que significa que não está vulnerável, mas o ntpq -c rv ipdamaquina não retorna timeout. Todas as outras 4 máquinas rodam a mesma versão do FreeBSD e do ntpd, porém só reclamaram de uma única máquina !?!? Outra descoberta interessante: eu habilitei, para testes, o ntpdate - e desabilitei o ntpd . Como eu acredito que o ntpdate não lê as configurações no ntp.conf, eu obtive dois resultados interessantes: 1) o ntpq -c rv ipdamaquna retorna timeout 2) o ntpdate me retorna: Setting date via ntp. 10 Oct 07:46:21 ntpdate[88545]: step time server 200.160.7.193 offset 0.000012 sec O que não seria estranho se, no momento do boot, eu não recebesse mensagens dizendo que alguém (o Centro de Computação Eletrônica da minha universidade) bloqueou o acesso à rede na porta usada pelo ntp. Logo, os horários são sempre desatualizados. Um abraço e, novamente, obrigado pela atenção Edu
Bom creio que você está se confundindo quanto ao ntpd e o ntpdupdate.Devido a utilização de daemons ntpd em ataques DDOS de amplificação de ntp/udp o recomendável é ter configurações no firewall para que apenas um ou daemons locais tenha acesso aos ips dos servidores do pool da NIC.br, as demais maquinas devem utilizar esses dois hosts com permissão de acesso aos pools da NIC.br para sincronizar os seus relógios.
Em resumo o recomendado seria:Maquina X e Y rodam o ntpd para sincronizar com o NIC.br. ( aqui usamos o ntpd ) Maquina A, B, C ... utilizam o ntpdate apontando para as maquinas X e Y para sincronizar os seus relógios.
A diferença de horário ficará muito baixa, quase que despresivel entre A, B, C ... e as maquinas do NIC.br, com relação a segurança a possivilidade de alguém usar a sua infraestrutura para efetuar amplificação de DDoS UDP/ntp será sanada.
Att.
--http://about.me/paulocavalcanti ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-- :UNI><BSD: Paulo Henrique. UnixBSD Tecnologia Segurança em Tecnologia da Informação. Fone: (21) 96713-5042 / (21) 3708-9388 Site: https://www.unixbsd.com.br
<<attachment: paulo_rddck.vcf>>
------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
