Disabilitazione NTP su OS X Lion o precedente

9

A seguito di una nuova vulnerabilità della sicurezza nel pacchetto software Network Time Protocol , Apple ha fornito un aggiornamento software per Mountain Lion e versioni più recenti di OS X.

Come al solito, le versioni precedenti di OS X con cui uno potrebbe rimanere bloccato (perché l'hardware non supporta le versioni più recenti, perché uno ha bisogno di Rosetta, ...) non sono coperti dall'aggiornamento per la protezione.

Le mie domande sono:

  • sta disabilitando "imposta data e ora automaticamente" in Preferenze software per garantire che ntpd non sia in esecuzione?

  • cosa potrebbe rompersi se il binario ntdp fosse semplicemente cancellato per sicurezza su OS X Snow Leopard o Lion?

Nel dubbio potrei usare questi istruzioni per limitare l'ambito di ntpd senza disabilitarlo / cancellarlo completamente, ma in questo caso rimane il rischio di sbagliare e lasciare ntpd esposto.

    
posta Pascal Cuoq 23.12.2014 - 09:47
fonte

3 risposte

7

is disabling “set date and time automatically” in Software Preferences enough to ensure that ntpd is not running?

.

Ecco il modo di assicurarti di questo. Apri una finestra Terminal o xterm .

Esegui il seguente comando:

ps ax | grep ntp

e noti che hai un processo ntpd in esecuzione.

Apri System Preferences e disattiva Set date and time automatically:

Verifica con il comando ps sopra che non hai alcun processo ntpd in esecuzione.

Non rimuovere il ntpd binario, questo non è necessario e ti priverebbe della possibilità di usufruire di una correzione da Apple :).

In doubt I might use these instructions to limit the scope

No .

Questa ricetta ti lascerà con un ntpd in esecuzione e quindi esposta a un attacco.

    
risposta data 23.12.2014 - 13:47
fonte
8

Invece di disabilitare ntpd, dovresti scaricare il sorgente per la versione 4.2.8 di ntp e compilarlo da solo. Tutto ciò che serve è Xcode per Lion / SnowLeo. Dovrebbe funzionare solo su 10.6.x e 10.7.x.

Ho aggiornato la mia installazione 10.10 subito dopo che il CVE è stato reso pubblico e il codice sorgente rilasciato e non ho aspettato che Apple rilasciasse l'aggiornamento.

Per compilare ntpd, scarica il codice sorgente da ntp.org e applica la patch per OS X / FreeBSD. Dopo aver applicato questa patch, sarai in grado di eseguire semplicemente "./configure & make & make". Quindi puoi copiare i binari nelle directory appropriate (/ usr / sbin / e / usr / bin /).

Per Mac OS X 10.7 (Lion):

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

Ecco l'elenco dei file e delle cartelle a cui appartengono che verranno creati dalla sorgente sopra. Dopo la compilazione, tutti questi file si troveranno in varie sottocartelle.

/usr/bin/sntp  
/usr/bin/ntp-keygen  
/usr/bin/ntpq  
/usr/sbin/ntpdc  
/usr/sbin/ntpdate  
/usr/sbin/ntpd

Rinomina i vecchi usando qualcosa come:

sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old

e quindi spostare quello nuovo. Assicurati di chownare i file dopo averli spostati in posizione:

sudo chown root:wheel /usr/sbin/ntpd

Nota : non ho usato sudo make install perché non mi fido del Makefile (non ero sicuro che avrebbe inserito i file nelle stesse cartelle in cui Apple li aveva originariamente inseriti e voluto per essere sicuri che siano ancora nello stesso posto di quelli vecchi). Spostare manualmente 6 file non è un grosso problema. Il resto dei file (pagine man, pagine html, ecc. Sono gli stessi, quindi non devi preoccuparti di spostarli).

    
risposta data 23.12.2014 - 22:34
fonte
1
  1. Non ho approfondito la documentazione della violazione. Normalmente ntp effettua query periodiche ai server per ottenere una correzione. Una volta stabilita la deriva dell'orologio locale, queste query non sono frequenti.

  2. La maggior parte dei firewall sono configurati per ignorare i pacchetti di richiesta dall'esterno. Penso che Ntp usi UDP che è nominalmente senza stato. In genere un firewall restituirà un pacchetto UDP per una piccola finestra di tempo dopo l'uscita di un pacchetto UDP. Il pacchetto di ritorno deve provenire dall'IP corretto e avere la porta corretta. Un cappello nero dovrebbe sovvertire il tuo server DNS o sovvertire il tuo server NTP.

Quindi qualcuno spiegherebbe come questa minaccia sia effettivamente messa in gioco, supponendo che la persona non specifichi pool.ntp.org come suo server ntp?

Modi correlati a questo:

  1. Build from source - above.
  2. Utilizza le porte mac. Ciò rende l'installazione abbastanza indolore, anche se la costruzione iniziale richiederà molto tempo e un bel po 'di spazio. Maggiori informazioni link

Puoi anche usare Fink o Homebrew in questo modo, ma MacPorts sembra essere meno dipendente da Apple OS, quindi a lungo termine per un vecchio sistema sospetto che ci sarà meno dolore.

  1. Configurare una macchina non vulnerabile come server ntp locale. Puntare le macchine vulnerabili al server ntp. Al tuo firewall blocca sia in uscita che in entrata per ntp per tutti tranne il server ntpserver. Quando gestivo una rete scolastica locale, avevo una macchina (freebsd) che gestiva una serie di servizi di rete, incluso ntp. Trasmetterebbe quindi un singolo pacchetto ntp ogni 64 secondi.
risposta data 29.12.2014 - 01:00
fonte

Leggi altre domande sui tag