ओएस एक्स लॉयन या पुराने पर एनटीपी को अक्षम करना

9

नेटवर्क टाइम प्रोटोकॉल सॉफ्टवेयर पैकेज में एक नई सुरक्षा भेद्यता के बाद , Apple ने माउंटेन लायन के लिए एक सॉफ्टवेयर अपडेट और OS X के नए संस्करण प्रदान किए हैं।

हमेशा की तरह, OS X के पुराने संस्करण जिन्हें एक के साथ अटकाया जा सकता है (क्योंकि हार्डवेयर नए संस्करणों का समर्थन नहीं करता है, क्योंकि एक को Rosetta की आवश्यकता है, ...) सुरक्षा अद्यतन द्वारा कवर नहीं किए गए हैं।

मेरे प्रश्न हैं:

  • सॉफ़्टवेयर वरीयताएँ में "निर्धारित तिथि और समय स्वचालित रूप से" अक्षम कर रहा है ताकि यह सुनिश्चित हो सके कि ntpd नहीं चल रहा है?

  • क्या टूट सकता है अगर ntdp बाइनरी बस ओएस एक्स स्नो लेपर्ड या शेर पर सुरक्षा के लिए हटा दिया गया था?

संदेह में, मैं इन निर्देशों का उपयोग पूरी तरह से अक्षम / हटाए बिना ntpd के दायरे को सीमित करने के लिए कर सकता हूं , लेकिन इस मामले में यह गलत होने और ntpd के उजागर होने का खतरा बना रहता है।

macos  lion  snow-leopard  security  ntp 
पास्कल कुओक
स्रोत
कृपया रिपोर्ट करें कि ग्राहकों की सुरक्षा में कमी के कारण Apple अभी भी उपयोग कर रहा है। → apple.com/feedback/macosx.html । उनके पास securityअभी तक कोई प्रतिक्रिया प्रविष्टि नहीं है :(।
dan
1
@danielAzuelos मैं एक ब्लॉग पोस्ट लिखने के रूप में दूर तक गया: blog.frama-c.com/index.php?post/2013/01/01/…
पास्कल क्यूक
1
@PascalCuoq offtopic: आप उस iMac को NUC के साथ हैकिन्टोश में बदलने के साथ पुनर्जीवित कर सकते हैं) - google.com.ua/… मैंने सोचा कि अगर 17 "मुसीबत के लायक नहीं हैं। फिर भी 20" निश्चित रूप से
isk

जवाबों:

7

सॉफ़्टवेयर वरीयताएँ में "निर्धारित तिथि और समय स्वचालित रूप से" अक्षम कर रहा है ताकि यह सुनिश्चित हो सके कि ntpd नहीं चल रहा है?

जी हां

यहाँ यह अपने आप को बीमा करने का तरीका है। ओपन एक Terminalया xtermखिड़की।

निम्न आदेश चलाएँ:

ps ax | grep ntp

और ध्यान दें कि आपके पास ntpdप्रक्रिया चल रही है।

खोलें System Preferencesऔर बंद करेंSet date and time automatically:

psऊपर दिए गए आदेश के साथ जांचें कि आपके पास कोई ntpdप्रक्रिया नहीं चल रही है।

ntpdबाइनरी को न हटाएं , यह आवश्यक नहीं है और आपको Apple :) से फिक्स का फायदा उठाने के मौके से वंचित करेगा।

संदेह में मैं गुंजाइश को सीमित करने के लिए इन निर्देशों का उपयोग कर सकता हूं

नहीं

यह रसीद आपको एक रनिंग के साथ छोड़ देगा ntpdऔर इसलिए एक हमले के संपर्क में होगा।

सज्जन
स्रोत
1
किसी कारण के लिए "सेट तिथि और समय स्वचालित रूप से" अनचेक करना मेरे लिए ntpd प्रक्रिया को नहीं मारता है। मुझे दौड़ना था:sudo launchctl unload /System/Library/LaunchDaemons/org.ntp.ntpd.plist
user12719
2
आपके द्वारा उपयोग की जाने वाली कमांड बिल्कुल वही है जो GUI System Preferencesहै। इसका उपयोग करते समय, आपको जांचना चाहिए tail -f /var/log/system.logकि आपके भीतर क्या गलत हो रहा है System Preferences। इस समस्या की जांच करने के लिए मैं आपको एक और प्रश्न शुरू करने की सलाह देता हूं।
दान
8

Ntpd को अक्षम करने के बजाय, आपको ntp के संस्करण 4.2.8 के लिए स्रोत डाउनलोड करना चाहिए और इसे स्वयं संकलित करना चाहिए। आपको बस शेर / स्नोएलियो के लिए Xcode चाहिए। यह 10.6.x और 10.7.x पर ठीक काम करना चाहिए।

मैंने CVE को सार्वजनिक और स्रोत कोड जारी किए जाने के तुरंत बाद अपने 10.10 इंस्टॉल को अपडेट कर दिया है और मैंने अपडेट जारी करने के लिए Apple पर इंतजार नहीं किया।

Ntpd को संकलित करने के लिए, ntp.org से स्रोत डाउनलोड करें और OS X / FreeBSD के लिए पैच लागू करें । इस पैच को लगाने के बाद, आप केवल "./configure && make" चला पाएंगे। फिर आप बायनेरिज़ को उपयुक्त निर्देशिकाओं (/ usr / sbin / और / usr / bin /) में कॉपी कर सकते हैं।

Mac OS X 10.7 (शेर) के लिए:

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

यहाँ उन फ़ाइलों और फ़ोल्डरों की सूची दी गई है जिनसे वे संबंधित स्रोत से बने होंगे। संकलन के बाद, ये सभी फाइलें विभिन्न उप-फ़ोल्डरों में होंगी।

/usr/bin/sntp  
/usr/bin/ntp-keygen  
/usr/bin/ntpq  
/usr/sbin/ntpdc  
/usr/sbin/ntpdate  
/usr/sbin/ntpd

कुछ का उपयोग करके पुराने का नाम बदलें:

sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old

और फिर नए को एक में स्थानांतरित करें। फाइलों को जगह में ले जाने के बाद उन्हें सुनिश्चित करें:

sudo chown root:wheel /usr/sbin/ntpd

नोट : मैंने उपयोग नहीं किया sudo make installक्योंकि मुझे मेकफाइल पर भरोसा नहीं था (मुझे यकीन नहीं था कि यह उन्हीं फ़ोल्डरों में फाइलें रखेगा, जो Apple ने मूल रूप से उन्हें रखा है और यह सुनिश्चित करना चाहते हैं कि वे अभी भी उसी स्थान पर पुराने हैं वाले)। मैन्युअल रूप से 6 फाइलें हिलना कोई बड़ी बात नहीं है। बाकी फाइलें (मैन पेज, html पेज इत्यादि) एक जैसी हैं, इसलिए आपको उन्हें हिलाने की जरूरत नहीं है।)

melb
स्रोत
कृपया जोड़ने के जो फ़ाइलें कॉपी करने के लिए किया है और जहां के लिए
klanomath
@klanomath मैंने अभी और अधिक जानकारी के साथ अपनी टिप्पणी संपादित की है। मुझे पता है अगर आप किसी भी मुद्दे में चलाते हैं।
मेलबर्न
मैंने बाकी और 10 अंक जोड़े ;-)
कालोनोमथ
ntpsnmpd के बारे में क्या?
कालोनोमथ
1
जो लोग मैन्युअल प्रतिस्थापन नहीं करना चाहते हैं, उनके ./configure --prefix='/usr'लिए प्रारंभिक चरण के रूप में इसे चलाने के लिए पर्याप्त होना चाहिए और फिर साथ चलना चाहिए make ; sudo make install
ट्रेंच फ्रेंक्स
1

  1. मैंने ब्रीच के प्रलेखन में विस्तार से नहीं लिखा है। आम तौर पर ntp एक सुधार पाने के लिए सर्वरों से आवधिक प्रश्न करता है। एक बार स्थानीय घड़ी का बहाव स्थापित हो जाने के बाद ये प्रश्न बार-बार नहीं आते हैं।

  2. अधिकांश फ़ायरवॉल को बाहर से अनुरोध पैकेटों को अनदेखा करने के लिए कॉन्फ़िगर किया गया है। Ntp मुझे लगता है कि यूडीपी का उपयोग करता है जो नाममात्र सांख्यिकीय है। आमतौर पर एक फ़ायरवॉल एक UDP पैकेट को UDP पैकेट के बाहर जाने के बाद थोड़ी देर के लिए वापस जाने देगा। वापसी पैकेट सही आईपी से होना चाहिए, और सही पोर्ट है। एक काली टोपी को आपके DNS सर्वर को या तो अपने NTP सर्वर को पलटना होगा।

तो क्या कोई यह समझाएगा कि वास्तव में इस खतरे को कैसे निभाया जाए, यह मानते हुए कि व्यक्ति अपने ntp सर्वर के रूप में pool.ntp.org को निर्दिष्ट नहीं करता है?

इसके आसपास के तरीके:

  1. स्रोत से निर्माण - ऊपर।
  2. मैक पोर्ट का उपयोग करें। यह स्थापना को काफी दर्द रहित बनाता है, हालांकि प्रारंभिक निर्माण में पर्याप्त समय और अंतरिक्ष का एक अच्छा हिस्सा लगेगा। अधिक जानकारी https://www.macports.org/

आप इस तरह से फ़िंक या होमब्रे का भी उपयोग कर सकते हैं, लेकिन मैकपोर्ट्स ऐप्पल ओएस पर कम निर्भर हैं, इसलिए पुराने सिस्टम के लिए लंबे समय में मुझे संदेह है कि कम दर्द होगा।

  1. स्थानीय एनटीपी सर्वर होने के लिए एक गैर-असुरक्षित मशीन को कॉन्फ़िगर करें। Ntp सर्वर को कमजोर करने वाली मशीनें। अपने फ़ायरवॉल पर ntp के लिए आउटबाउंड और इनबाउंड दोनों को ब्लॉक करें लेकिन ntpserver मशीन। जब मैंने एक स्थानीय स्कूल नेटवर्क चलाया, तो मेरे पास एक मशीन (फ्रीबीएसडी) थी जो नेटपी सहित नेटवर्क सेवाओं का एक समूह था। यह तब हर 64 सेकंड में एक एकल एनटीपी पैकेट प्रसारित करेगा।
शेरवुड बॉट्सफ़ोर्ड
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.