The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.10.2017 08:28  Первый стабильный релиз NTPsec, защищённого форка NTPD

Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative), представил первый стабильный выпуск NTPsec 1.0, форка эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированного на переработке кодовой базы с целью повышения безопасности. В развитии NTPsec участвуют некоторые разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Исходные тексты NTPsec размещены в репозитории на GitLab.

NTPsec 1.0 подвёл итог двух с половиной лет работы над проектом и позиционируется как первый выпуск, пригодный для промышленного внедрения. В ходе работы кодовая база была сокращена на 76% от состояния в момент форка - число строк кода уменьшилось со 178 тысяч до 55 тысяч, в основном за счёт чистки устаревших возможностей, неактуальных платформ и необязательных инструментов. Уменьшение кодовой базы позволило избавиться от кода, связанного с 75% из уязвимостей, выявленных в классическом NTPD. При этом проект остался полностью совместим с классическим пакетом NTP и использует те же алгоритмы.

Кроме чистки также проведена переработка внутренностей и внедрены передовые техники предотвращения атак. Совместно с организацией IETF ведётся работа по разработке нового стандарта NTS (Network Time Security) для безопасной синхронизации времени. Из улучшений отмечается работа по увеличению точности учёта времени, расширение средств мониторинга и статистики, модернизация синтаксиса файла конфигурации, сокращение времени запуска.

В выпуске NTPsec 1.0 также представлен режим автономной работы, при котором используются только локальные источники времени без обращения к внешним серверам и GPS. Новый режим позволяет создавать самодостаточные серверы для окружений повышенной защищённости, которые никак не контактируют в внешним миром и исключают проведение атаки в момент синхронизации с другими NTP-серверами.

Среди других особенностей проекта:

  • Все функции работы с памятью и строками заменены на защищённые аналоги, не допускающие переполнения буфера.
  • Поставляемые в комплекте экземпляры libevent2 заменены на внешние зависимости.
  • Удалены неиспользуемые компоненты библиотек ISC.
  • Осуществлён переход к манипуляции наносекундными отрезками времени вместо микросекунд.
  • Исправлены ошибки, выявленные при использовании статических анализаторов.
  • C целью унификации их имён изменены названия утилит: sntp переименован в ntpdig, ntp-keygen в ntpkeygen, ntp-wait в ntpwait, update-leap в ntpleapfetch;
  • Из состава исключён демон ntpsnmpd, который не соответствует RFC 5907;
  • Удалены утилиты ntpdc, вместо которых следует использовать ntpq;
  • Прекращена поддержка устаревших типов эталонных часов;
  • Добавлена новая утилита ntpfrob, предоставляющая средства для диагностики и тонкой настройки локального хронометра.
  • Вместо программы ntpdate предложена shell-обвязка над утилитой ntpdig.
  • Вывод часов приведён в соответствие с форматом ISO8601.


  1. Главная ссылка к новости (https://blog.ntpsec.org/2017/1...)
  2. OpenNews: Компания Mozilla распределила 539 тысяч долларов на гранты открытым проектам
  3. OpenNews: Выпуск NTPsec 0.9.7, защищённого форка NTPD
  4. OpenNews: В рамках проекта NTPsec создан защищённый форк NTPD
  5. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
  6. OpenNews: Проект OpenBSD опубликовал выпуски NTP-сервера OpenNTPD 6.1 и 6.2
Лицензия: CC-BY
Тип: Программы
Ключевые слова: ntpsec, ntp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, бедный буратино, 09:13, 10/10/2017 [ответить] [смотреть все]
  • –3 +/
    openntpd - 5000 строк :)
     
     
  • 2.2, пох, 09:42, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +10 +/
    > openntpd - 5000 строк

    так это типичный openbsd-way - рассказать как у других все плохо, и что мы щас научим весь мир как надо, написать 1/10 функционала, и ту - в режиме "works for me", игнорируя принятый стандарт, обосраться, вместо доработки - заняться FUD-company.
    А, да - и стереть с сайта страницу, где написано, почему поделка не является не то что полноценной заменой настоящему ntpd, а вообще крайне сомнительна - как только из общего доступа исчезла статья с детальным разбором полета. Но веб-архив-то всьо помнит:

    https://web.archive.org/web/20050304032724/http://bradknowles.typepad.com/considered_harmful/2004/09/openntpd.html

    (с тех пор кое-как решена проблема со stratum2, которая вообще йо..ный стыд неосиляторский, остальные где были, там и остались)

     
     
  • 3.3, лютый жабист__, 09:59, 10/10/2017 [^] [ответить] [смотреть все]
  • –1 +/
    Статья от 2004 года Не интересовался этим вопросом, но кажется ты как обычно пу... весь текст скрыт [показать]
     
     
  • 4.4, A.Stahl, 10:04, 10/10/2017 [^] [ответить] [смотреть все]  
  • +9 +/
    >6.2 весом с полмегабайта

    И всё те же 5000 строк?
    Ах, ты просто забыл о чём разговор -- слишком уж он длинный и со множеством неожиданных поворотов.

     
     
  • 5.7, бедный буратино, 10:09, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    нативная - 5000 строк, я специально посмотрел сейчас, взяв из транка... весь текст скрыт [показать]
     
     
  • 6.37, Аноим, 16:37, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Если нативная в два раза короче портируемой, назревает предположение, что часть ... весь текст скрыт [показать]
     
     
  • 7.41, Аноним, 17:11, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Или наоборот, вынужденная обвязка для пингвинячьих минимальных требываний - ды... весь текст скрыт [показать]
     
     
  • 8.47, Аноноим, 22:46, 13/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Отсутствие в ядре NTP-сервера В ISC ntpd всего этого нет, но на линуксе он чуде... весь текст скрыт [показать]
     
  • 5.8, Аноним, 10:12, 10/10/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    code cloc openntpd-3 6 1p1 60 text files 44 unique files ... весь текст скрыт [показать]
     
  • 4.5, Аноним, 10:04, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Да у него все кругом неосиляторы всего Непонятно только, почему сам великий оси... весь текст скрыт [показать]
     
     
  • 5.6, Andrey Mitrofanov, 10:09, 10/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Перепись же братьев жабиста_ по разуму Не стоим Записываемся ... весь текст скрыт [показать]
     
     
  • 6.13, Аноним, 13:45, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Не брат ты мне... ©
     
  • 5.12, пох, 13:29, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    ага, а живу на деньги из тумбочки просто мне платят зарплату за, в том числе, у... весь текст скрыт [показать]
     
     
  • 6.14, Аноним, 14:03, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Судя по твоим комментам, зря платят.
     
     
  • 7.17, пох, 14:33, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    канеш зря Модно вот так- даже когда вас носом ткнут в статью с детальным разбо... весь текст скрыт [показать]
     
     
  • 8.18, Аноним, 14:42, 10/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты бредишь. Какое отношение openntpd имеет к ESR с ntpsec?
     
     
  • 9.22, пох, 16:39, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    да никакого - кроме того что это опять попытка сделать то же самое, примерно тем... весь текст скрыт [показать]
     
     
  • 10.26, Andrey Mitrofanov, 17:27, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Как ты хорошо всё объяснил The attack surface that eight of these eleven secur... весь текст скрыт [показать]
     
     
  • 11.27, пох, 17:46, 10/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    ну то есть мне ты на слово не веришь, а вот если это целый эрик - то готов жрать... весь текст скрыт [показать]
     
     
  • 12.28, Аноним, 18:36, 10/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Эрика знаем, поха никакого знать не знаем Пох нам этот пох ... весь текст скрыт [показать]
     
     
  • 13.30, Аноним, 10:07, 11/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Читать не умеем, но мнение имеем.
     
     
  • 14.50, Аноним, 02:53, 14/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Натурально, как мы можем слушать человека толстого с такими усами, пусть похудее... весь текст скрыт [показать]
     
  • 12.31, Andrey Mitrofanov, 10:53, 11/10/2017 [^] [ответить] [смотреть все]  
  • +/
    И ч-чо Во всех программах обнаружены ошибки11 Мы все умрём111 ТЧК Ты тож тут... весь текст скрыт [показать]
     
     
  • 13.33, пох, 18:14, 11/10/2017 [^] [ответить] [смотреть все]  
  • +/
    передергиваем или тоже нечитатель В программе, автор кутанднепастер и контек... весь текст скрыт [показать]
     
  • 13.51, Аноним, 03:19, 14/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Какой прекрасный пост А расскажи-ка, мил человек, почему ты не пишешь такие гне... весь текст скрыт [показать]
     
  • 8.19, Аноним, 15:16, 10/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну и насчёт статейки, которую ты всем тычешь Ты что, хочешь сказать, её лично Т... весь текст скрыт [показать]
     
     
  • 9.21, пох, 16:34, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    нет Ты очередной читать-неумеха Удалил, тео там или какой еще фудомет, не ста... весь текст скрыт [показать]
     
     
  • 10.23, Аноним, 16:43, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Какая история Но ты забыл рассказать в подробностях о пытках, которыми Бреда за... весь текст скрыт [показать]
     
     
  • 11.25, пох, 17:09, 10/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    банальные ушаты грязи в рассылках это были Примерно вот в твоем стиле Придрать... весь текст скрыт [показать]
     
  • 3.35, Аноним, 15:41, 12/10/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Так ведь works же Время синхронизирует, да еще на других раздает И безопаснее ... весь текст скрыт [показать]
     
     
  • 4.39, Аноим, 16:40, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ваши ресницы станут в тысячу раз объемнее Как уже тошнит от такого примитивно... весь текст скрыт [показать]
     
     
  • 5.42, Аноним, 20:13, 12/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Я вообще не фанат Тео Но вот конкретно openntpd для меня works, весит намного м... весь текст скрыт [показать]
     
     
  • 6.43, пох, 21:33, 12/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    ну да, ну да - скажите, он уже научился исключать сервер, у которого часики непр... весь текст скрыт [показать]
     
     
  • 7.44, Аноним, 09:50, 13/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Это на самом деле намного менее тривиальный вопрос чем ты пытаешься тут представ... весь текст скрыт [показать]
     
     
  • 8.45, пох, 13:26, 13/10/2017 [^] [ответить] [смотреть все]  
  • +/
    эти вопросы решены профессором, по большей части - на этапе теоретической разраб... весь текст скрыт [показать]
     
  • 8.48, Аноноим, 22:49, 13/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    но тут внезапно выясняется, что работоспособность openntpd сильно преувеличе... весь текст скрыт [показать]
     
  • 2.36, Аноим, 16:34, 12/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    openntpd 1 6 0p1 sloc sh 11,521 ansic 10,305 yacc 663 makefile 305 Жирно... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, YetAnotherOnanym, 10:49, 10/10/2017 [ответить] [смотреть все]  
  • –1 +/
    > модернизация синтаксиса файла конфигурации

    Это они зря...

     
     
  • 2.10, proud_anon, 11:59, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    прочитал как монетизация синтаксиса файла конфигурации Чуть не бомбануло, поч... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, нах, 13:25, 10/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    да уж, заносит вас Просить донаты - это какое-то shareware 90х годов прошлого с... весь текст скрыт [показать]
     
  • 1.15, Аноним, 14:04, 10/10/2017 [ответить] [смотреть все]  
  • –2 +/
    pacman -Q openssl openssl 1 1 0 f-2 что openwrt, что это не собирается, ругается... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 14:13, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Тут ничего поделать нельзя -- долго коты не живут, стареют по человеческим мерка... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, слакварявод, 15:28, 10/10/2017 [ответить] [смотреть все]  
  • –2 +/
    Hewlett Packard и Akamai Technologies...
    попахивает как-то не очень.
     
     
  • 2.24, пох, 16:43, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    > Hewlett Packard и Akamai Technologies...
    > попахивает как-то не очень.

    скорее Рэймонд - не очень. А akamai-то вполне приличный cdn.
    Правда, я так понял, речь об инжене...э...скорее эффективных менеджерах, которых выставили за порог, что из хепе, что из akamai - а это совсем другой мех.
    А бабки там, походу, мазильные.

     
  • 1.29, Аноним, 22:24, 10/10/2017 [ответить] [смотреть все]  
  • +/
    >внедрены передовые техники предотвращения атак.

    Даже selfrando?

     
     
  • 2.34, Ф, 18:28, 11/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А если даже и нет, ты им помоги, они и осилят!
     
  • 1.38, Аноним, 16:39, 12/10/2017 [ответить] [смотреть все]  
  • –2 +/
    На кой оно надо если crony есть?
     
     
  • 2.40, Аноним, 16:40, 12/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Точнее https://chrony.tuxfamily.org/
     
  • 2.46, пох, 13:37, 13/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > На кой оно надо если cHrony есть?

    multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую очередь в обратную. Интересно, почему?

    Ну и насколько оно надежнее ntpd - никто в общем-то внимательно не изучал.
    Соответственно, вопрос "на кой оно надо" можно задать и в обратную сторону.

    хотя, в отличие от корявого форка и продукции cut¬-paste'ров и контекстнозаменятелей родился здоровеньким, жаль что им никто толком не пользуется.

     
     
  • 3.49, Аноноим, 22:51, 13/10/2017 [^] [ответить] [смотреть все]  
  • +/
    >> На кой оно надо если cHrony есть?
    > multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую
    > очередь в обратную. Интересно, почему?

    Чтобы нормально оценить латенси и джиттер, нужно гонять пакеты в обе стороны. А это по стоимости уже не отличается от уникаста.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor