Quanto è pericoloso che il servizio ntp ascolti tutti gli IP su Linux?

3

Quando eseguo il comando seguente ottengo il seguente output:

netstat -atpun | grep ntp

udp        0      0 172.16.0.1:123              0.0.0.0:*                               7734/ntpd
udp        0      0 127.0.0.1:123               0.0.0.0:*                               7734/ntpd
udp        0      0 0.0.0.0:123                 0.0.0.0:*                               7734/ntpd
udp        0      0 fe80::250:56ff:fe01:e30:123 :::*                                    7734/ntpd
udp        0      0 ::1:123                     :::*                                    7734/ntpd
udp        0      0 :::123                      :::*                                    7734/ntpd

Quanto è pericoloso che il servizio ntp ascolti tutti gli IP su Linux? Un potenziale aggressore può danneggiare il mio server Linux?

    
posta Michael 09.03.2015 - 22:15
fonte

1 risposta

3

Di per sé non è pericoloso, di solito è una cattiva idea.

Da un articolo di cloudflare :

NTP is a simple UDP-based protocol that can be persuaded to return a large reply to a small request.

Un server ntp mal configurato può essere utilizzato per eseguire amplificazione e attacchi di riflessione.

La vittima principale di un simile attacco non sarebbe lei. L'utente malintenzionato utilizza semplicemente il sistema per eseguire un attacco DoS su una terza parte. Dal punto di vista della vittima saresti quello che sta eseguendo l'attacco.

A seconda della tua infrastruttura e del metodo scelto dall'attaccante, il tuo sistema e / o il tuo collegamento a Internet potrebbero ottenere anche DoSed.

Un buon protetto e un server NTP patchato con l'impostazione corretta possono essere utilizzati per fornire tempo verso internet aperto. Per il caso di uso generale di impostare l'ora sui tuoi server o attraverso la rete, è consigliabile bloccarlo solo su reti affidabili e accesso con limite di velocità.

Per quanto riguarda la tua domanda reale (ntp è in ascolto sull'indirizzo "any"), l'output netstat da solo non fornisce informazioni sufficienti per valutare se hai un problema di sicurezza o meno. Dice solo che NTP sta ascoltando sulla porta 123 su ogni interfaccia. Queste interfacce potrebbero non essere connesse ad altri host, potrebbero essere connesse solo a host fidati, potrebbero avere regole iptables che bloccano il traffico sulla porta UDP / 123, ecc.

    
risposta data 11.03.2015 - 17:20
fonte

Leggi altre domande sui tag