OS X Lion 이상에서 NTP 비활성화

Network Time Protocol 소프트웨어 패키지 의 새로운 보안 취약점에 따라 Apple 은 Mountain Lion 및 최신 버전의 OS X에 대한 소프트웨어 업데이트를 제공 했습니다.

평소와 같이 OS X의 이전 버전은 하드웨어 업데이트가 필요하지 않기 때문에 하드웨어가 최신 버전을 지원하지 않기 때문에 보안 업데이트가 적용되지 않습니다.

내 질문은 :

ntpd가 실행되지 않도록 소프트웨어 환경 설정에서 "날짜 및 시간 자동 설정"을 비활성화합니까?
OS X Snow Leopard 또는 Lion에서 안전을 위해 ntdp 바이너리를 삭제 한 경우 어떻게됩니까?

의심 할 여지 없이이 지침 을 사용 하여 완전히 비활성화 / 삭제하지 않고 ntpd의 범위를 제한 할 수 있지만이 경우 잘못된 것으로 인해 ntpd가 노출 될 위험이 있습니다.

— 파스칼 쿠 오크
소스

고객이 여전히 Apple에 사용중인 버전의이 보안 수정 사항이 없다고보고하십시오. → apple.com/feedback/macosx.html . 그들은 security아직 피드백을 가지고 있지 않습니다 :(.

— dan

@danielAzuelos 나는 블로그 게시물을 작성하는 한까지 갔다 : blog.frama-c.com/index.php?post/2013/01/01/…

— Pascal Cuoq

@PascalCuoq 논외 당신은 아이맥은 NUC과 해킨토시로 변환하여) 것을 회복 할 수 - google.com.ua/... 생각 나는 17 만약 모른다. "가치 문제 그러나 20"확실히하지

— ISKRA

답변:

ntpd가 실행되지 않도록 소프트웨어 환경 설정에서 "날짜 및 시간 자동 설정"을 비활성화합니까?

예 .

여기에 이것을 확신하는 방법이 있습니다. Terminal또는 xterm창을 엽니 다 .

다음 명령을 실행하십시오.

ps ax | grep ntp

당신은이 통지 것을 ntpd실행중인 프로세스를.

열고 System Preferences끄기Set date and time automatically:

실행중인 프로세스 ps가없는 위 의 명령을 확인하십시오 ntpd.

ntpd바이너리를 제거하지 마십시오 . 이것은 필요하지 않으며 Apple의 수정 사항을 활용할 기회를 박탈합니다. :).

의심 스럽지만이 지침을 사용하여 범위를 제한 할 수 있습니다

없음 .

이 영수증은 당신을 달리게 ntpd하여 공격에 노출 될 것입니다.

— 단
소스

어떤 이유로 "자동으로 날짜 및 시간 설정"을 선택 해제하면 ntpd 프로세스가 종료되지 않습니다. 나는 실행했다 :sudo launchctl unload /System/Library/LaunchDaemons/org.ntp.ntpd.plist

— user12719을

사용한 명령은 GUI System Preferences가 수행하는 작업 과 정확히 같습니다 . 그것을 사용할 때, 당신은 tail -f /var/log/system.log내에서 무엇이 잘못 될 수 있는지 확인해야 합니다 System Preferences. 이 문제를 조사하려면 다른 질문을 시작하는 것이 좋습니다.

— dan

ntpd를 비활성화하는 대신 ntp 버전 4.2.8의 소스를 다운로드하여 직접 컴파일해야합니다. Lion / SnowLeo 용 Xcode 만 있으면됩니다. 10.6.x 및 10.7.x에서 잘 작동합니다.

CVE가 공개되고 소스 코드가 릴리스 된 직후 10.10 설치를 업데이트했으며 Apple이 업데이트를 릴리스하기를 기다리지 않았습니다.

ntpd를 컴파일하려면 ntp.org에서 소스를 다운로드하고 OS X / FreeBSD 용 패치 를 적용하십시오 . 이 패치를 적용한 후에는 "./configure && make"를 실행할 수 있습니다. 그런 다음 바이너리를 적절한 디렉토리 (/ usr / sbin / 및 / usr / bin /)에 복사 할 수 있습니다.

Mac OS X 10.7 (Lion)의 경우 :

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

위의 소스에서 빌드 할 파일 및 폴더 목록은 다음과 같습니다. 컴파일 후이 모든 파일은 다양한 하위 폴더에 있습니다.

/usr/bin/sntp  
/usr/bin/ntp-keygen  
/usr/bin/ntpq  
/usr/sbin/ntpdc  
/usr/sbin/ntpdate  
/usr/sbin/ntpd

다음과 같은 것을 사용하여 이전 이름을 바꿉니다.

sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old

그런 다음 새 파일을 옮기십시오. 파일을 제자리로 이동 한 후 파일을 숨기십시오.

sudo chown root:wheel /usr/sbin/ntpd

참고 : sudo make installMakefile을 믿지 않았기 때문에 사용 하지 않았습니다 (Apple이 원래 파일을 배치 한 폴더와 동일한 폴더에 파일을 저장하고 이전과 동일한 위치에 있는지 확인하고 싶지는 않았습니다. 그들). 6 파일을 수동으로 이동하는 것은 큰 문제가 아닙니다. 나머지 파일 (man 페이지, html 페이지 등은 동일하므로 파일을 이동할 필요가 없습니다.)

— MelB
소스

복사해야 할 파일과 위치를 추가하십시오

— klanomath

@klanomath 방금 추가 정보로 내 댓글을 편집했습니다. 문제가 발생하면 알려주십시오.

— MelB

나는 나머지와 10 포인트를 추가했다 ;-)

— klanomath

ntpsnmpd는 어떻습니까?

— klanomath

수동 교체를 원하지 않는 사람들 ./configure --prefix='/usr'은 초기 단계 로 실행 한 다음 후속 조치로 충분합니다 make ; sudo make install.

— Trane Francks

위반 문서를 자세히 조사하지 않았습니다. 일반적으로 ntp는 서버에 주기적으로 쿼리하여 수정을받습니다. 로컬 클럭의 드리프트가 설정되면 이러한 쿼리는 자주 발생하지 않습니다.
대부분의 방화벽은 외부의 요청 패킷을 무시하도록 구성되어 있습니다. Ntp 나는 명목상 상태가없는 UDP를 사용한다고 생각합니다. 일반적으로 방화벽은 UDP 패킷이 종료 된 후 짧은 시간 동안 UDP 패킷이 다시 들어 오도록합니다. 리턴 패킷은 올바른 IP에서 가져와야하며 올바른 포트가 있어야합니다. 블랙 햇은 DNS 서버를 파괴하거나 NTP 서버를 파괴해야합니다.

그렇다면 사람이 pool.ntp.org를 그의 ntp 서버로 지정하지 않았다고 가정 할 때이 위협이 실제로 어떻게 작용하는지 설명 할 수 있습니까?

이 방법 :

위의 소스에서 빌드하십시오.
Mac 포트를 사용하십시오. 초기 빌드에는 상당한 시간과 상당한 공간이 필요하지만 설치는 상당히 고통스럽지 않습니다. 자세한 정보 https://www.macports.org/

이 방법으로 Fink 또는 Homebrew를 사용할 수도 있지만 MacPorts는 Apple OS에 덜 의존적 인 것 같습니다. 따라서 오래된 시스템의 경우 장기적으로 고통이 덜할 것으로 생각됩니다.

취약하지 않은 머신을 로컬 ntp 서버로 구성하십시오. 취약한 시스템을 ntp 서버로 지정하십시오. 방화벽에서 ntpserver 시스템을 제외한 모든 시스템의 ntp에 대한 아웃 바운드 및 인바운드를 모두 차단하십시오. 지역 학교 네트워크를 운영 할 때 ntp를 포함하여 많은 네트워크 서비스를 실행하는 하나의 컴퓨터 (freebsd)가있었습니다. 그런 다음 64 초마다 단일 ntp 패킷을 브로드 캐스트합니다.

— 셔우드 보츠 포드
소스