The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.10.2017 08:28  Первый стабильный релиз NTPsec, защищённого форка NTPD

Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative), представил первый стабильный выпуск NTPsec 1.0, форка эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированного на переработке кодовой базы с целью повышения безопасности. В развитии NTPsec участвуют некоторые разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Исходные тексты NTPsec размещены в репозитории на GitLab.

NTPsec 1.0 подвёл итог двух с половиной лет работы над проектом и позиционируется как первый выпуск, пригодный для промышленного внедрения. В ходе работы кодовая база была сокращена на 76% от состояния в момент форка - число строк кода уменьшилось со 178 тысяч до 55 тысяч, в основном за счёт чистки устаревших возможностей, неактуальных платформ и необязательных инструментов. Уменьшение кодовой базы позволило избавиться от кода, связанного с 75% из уязвимостей, выявленных в классическом NTPD. При этом проект остался полностью совместим с классическим пакетом NTP и использует те же алгоритмы.

Кроме чистки также проведена переработка внутренностей и внедрены передовые техники предотвращения атак. Совместно с организацией IETF ведётся работа по разработке нового стандарта NTS (Network Time Security) для безопасной синхронизации времени. Из улучшений отмечается работа по увеличению точности учёта времени, расширение средств мониторинга и статистики, модернизация синтаксиса файла конфигурации, сокращение времени запуска.

В выпуске NTPsec 1.0 также представлен режим автономной работы, при котором используются только локальные источники времени без обращения к внешним серверам и GPS. Новый режим позволяет создавать самодостаточные серверы для окружений повышенной защищённости, которые никак не контактируют в внешним миром и исключают проведение атаки в момент синхронизации с другими NTP-серверами.

Среди других особенностей проекта:

  • Все функции работы с памятью и строками заменены на защищённые аналоги, не допускающие переполнения буфера.
  • Поставляемые в комплекте экземпляры libevent2 заменены на внешние зависимости.
  • Удалены неиспользуемые компоненты библиотек ISC.
  • Осуществлён переход к манипуляции наносекундными отрезками времени вместо микросекунд.
  • Исправлены ошибки, выявленные при использовании статических анализаторов.
  • C целью унификации их имён изменены названия утилит: sntp переименован в ntpdig, ntp-keygen в ntpkeygen, ntp-wait в ntpwait, update-leap в ntpleapfetch;
  • Из состава исключён демон ntpsnmpd, который не соответствует RFC 5907;
  • Удалены утилиты ntpdc, вместо которых следует использовать ntpq;
  • Прекращена поддержка устаревших типов эталонных часов;
  • Добавлена новая утилита ntpfrob, предоставляющая средства для диагностики и тонкой настройки локального хронометра.
  • Вместо программы ntpdate предложена shell-обвязка над утилитой ntpdig.
  • Вывод часов приведён в соответствие с форматом ISO8601.


  1. Главная ссылка к новости (https://blog.ntpsec.org/2017/1...)
  2. OpenNews: Компания Mozilla распределила 539 тысяч долларов на гранты открытым проектам
  3. OpenNews: Выпуск NTPsec 0.9.7, защищённого форка NTPD
  4. OpenNews: В рамках проекта NTPsec создан защищённый форк NTPD
  5. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
  6. OpenNews: Проект OpenBSD опубликовал выпуски NTP-сервера OpenNTPD 6.1 и 6.2
Лицензия: CC-BY
Тип: Программы
Ключевые слова: ntpsec, ntp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, бедный буратино (ok), 09:13, 10/10/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –3 +/
    openntpd - 5000 строк :)
     
     
  • 2.2, пох (?), 09:42, 10/10/2017 [^] [ответить]    [к модератору]
  • +10 +/
    > openntpd - 5000 строк

    так это типичный openbsd-way - рассказать как у других все плохо, и что мы щас научим весь мир как надо, написать 1/10 функционала, и ту - в режиме "works for me", игнорируя принятый стандарт, обосраться, вместо доработки - заняться FUD-company.
    А, да - и стереть с сайта страницу, где написано, почему поделка не является не то что полноценной заменой настоящему ntpd, а вообще крайне сомнительна - как только из общего доступа исчезла статья с детальным разбором полета. Но веб-архив-то всьо помнит:

    https://web.archive.org/web/20050304032724/http://bradknowles.typepad.com/considered_harmful/2004/09/openntpd.html

    (с тех пор кое-как решена проблема со stratum2, которая вообще йо..ный стыд неосиляторский, остальные где были, там и остались)

     
     
  • 3.3, лютый жабист__ (?), 09:59, 10/10/2017 [^] [ответить]     [к модератору]
  • –1 +/
    Статья от 2004 года Не интересовался этим вопросом, но кажется ты как обычно пу... весь текст скрыт [показать]
     
     
  • 4.4, A.Stahl (ok), 10:04, 10/10/2017 [^] [ответить]    [к модератору]  
  • +9 +/
    >6.2 весом с полмегабайта

    И всё те же 5000 строк?
    Ах, ты просто забыл о чём разговор -- слишком уж он длинный и со множеством неожиданных поворотов.

     
     
  • 5.7, бедный буратино (ok), 10:09, 10/10/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    > И всё те же 5000 строк?

    нативная - 5000 строк, я специально посмотрел сейчас, взяв из транка

     
     
  • 6.37, Аноим (?), 16:37, 12/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Если нативная в два раза короче портируемой, назревает предположение, что часть ... весь текст скрыт [показать]
     
     
  • 7.41, Аноним (-), 17:11, 12/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Или наоборот, вынужденная обвязка для пингвинячьих минимальных требываний - ды... весь текст скрыт [показать]
     
     
  • 8.47, Аноноим (?), 22:46, 13/10/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Отсутствие в ядре NTP-сервера В ISC ntpd всего этого нет, но на линуксе он чуде... весь текст скрыт [показать]
     
  • 5.8, Аноним (-), 10:12, 10/10/2017 [^] [ответить]     [к модератору]  
  • +4 +/
    code cloc openntpd-3 6 1p1 60 text files 44 unique files ... весь текст скрыт [показать]
     
  • 4.5, Аноним (-), 10:04, 10/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Да у него все кругом неосиляторы всего. Непонятно только, почему сам великий осилятор ничего толкового не делает, а исключительно пердит в лужу.
     
     
  • 5.6, Andrey Mitrofanov (?), 10:09, 10/10/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Перепись же братьев жабиста_ по разуму Не стоим Записываемся ... весь текст скрыт [показать]
     
     
  • 6.13, Аноним (-), 13:45, 10/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Не брат ты мне... ©
     
  • 5.12, пох (?), 13:29, 10/10/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    ага, а живу на деньги из тумбочки просто мне платят зарплату за, в том числе, у... весь текст скрыт [показать]
     
     
  • 6.14, Аноним (-), 14:03, 10/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Судя по твоим комментам, зря платят.
     
     
  • 7.17, пох (?), 14:33, 10/10/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    канеш зря Модно вот так- даже когда вас носом ткнут в статью с детальным разбо... весь текст скрыт [показать]
     
     
  • 8.18, Аноним (-), 14:42, 10/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты бредишь. Какое отношение openntpd имеет к ESR с ntpsec?
     
     
  • 9.22, пох (?), 16:39, 10/10/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    да никакого - кроме того что это опять попытка сделать то же самое, примерно тем... весь текст скрыт [показать]
     
     
  • 10.26, Andrey Mitrofanov (?), 17:27, 10/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Как ты хорошо всё объяснил The attack surface that eight of these eleven secur... весь текст скрыт [показать]
     
     
  • 11.27, пох (?), 17:46, 10/10/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    ну то есть мне ты на слово не веришь, а вот если это целый эрик - то готов жрать... весь текст скрыт [показать]
     
     
  • 12.28, Аноним (-), 18:36, 10/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > ну то есть мне ты на слово не веришь, а вот если это целый эрик

    Эрика знаем, поха никакого знать не знаем. Пох нам этот пох.

     
     
  • 13.30, Аноним (-), 10:07, 11/10/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Читать не умеем, но мнение имеем.
     
     
  • 14.50, Аноним (-), 02:53, 14/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Натурально, как мы можем слушать человека толстого с такими усами, пусть похудеет, сбреет усы, тогда и поговорим.
     
  • 12.31, Andrey Mitrofanov (?), 10:53, 11/10/2017 [^] [ответить]     [к модератору]  
  • +/
    И ч-чо Во всех программах обнаружены ошибки11 Мы все умрём111 ТЧК Ты тож тут... весь текст скрыт [показать]
     
     
  • 13.33, пох (?), 18:14, 11/10/2017 [^] [ответить]     [к модератору]  
  • +/
    передергиваем или тоже нечитатель В программе, автор кутанднепастер и контек... весь текст скрыт [показать]
     
  • 13.51, Аноним (-), 03:19, 14/10/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Какой прекрасный пост А расскажи-ка, мил человек, почему ты не пишешь такие гне... весь текст скрыт [показать]
     
  • 8.19, Аноним (-), 15:16, 10/10/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну и насчёт статейки, которую ты всем тычешь Ты что, хочешь сказать, её лично Т... весь текст скрыт [показать]
     
     
  • 9.21, пох (?), 16:34, 10/10/2017 [^] [ответить]     [к модератору]  
  • +/
    нет Ты очередной читать-неумеха Удалил, тео там или какой еще фудомет, не ста... весь текст скрыт [показать]
     
     
  • 10.23, Аноним (-), 16:43, 10/10/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Какая история! Но ты забыл рассказать в подробностях о пытках, которыми Бреда заставили удалить свой пост. Или это был банальный шантаж?
     
     
  • 11.25, пох (?), 17:09, 10/10/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    банальные ушаты грязи в рассылках это были Примерно вот в твоем стиле Придрать... весь текст скрыт [показать]
     
  • 3.35, Аноним (-), 15:41, 12/10/2017 [^] [ответить]     [к модератору]  
  • –4 +/
    Так ведь works же Время синхронизирует, да еще на других раздает И безопаснее ... весь текст скрыт [показать]
     
     
  • 4.39, Аноим (?), 16:40, 12/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Ваши ресницы станут в тысячу раз объемнее Как уже тошнит от такого примитивно... весь текст скрыт [показать]
     
     
  • 5.42, Аноним (-), 20:13, 12/10/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Я вообще не фанат Тео Но вот конкретно openntpd для меня works, весит намного м... весь текст скрыт [показать]
     
     
  • 6.43, пох (?), 21:33, 12/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > И стало быть vuln-ов.

    ну да, ну да - скажите, он уже научился исключать сервер, у которого часики неприлично разбежались с остальными? Или все как в третьей версии, с кого первого ответ, то и жрем без разбору?

    Как это можно использовать, надо объяснять?

    > Засуньте вашу энтерпрайзятину с технологическими отверстиями для подвода системных часов
    > знаете куда?

    угадайте, что работает на тех серверах stratum1, с которых вы тянете время (хоть и пытался профессор уговорить не трахать зазря своим кривым софтом все что выше 2)

    Или, может, вы один из тех немногих, кто использует промышленный gps? (ах, ну да, ну да, поделка-то с ними тоже не работает)

     
     
  • 7.44, Аноним (-), 09:50, 13/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Это на самом деле намного менее тривиальный вопрос чем ты пытаешься тут представ... весь текст скрыт [показать]
     
     
  • 8.45, пох (?), 13:26, 13/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > Это на самом деле намного менее тривиальный вопрос чем ты пытаешься тут представить.

    эти вопросы решены профессором, по большей части - на этапе теоретической разработки протокола. И оформлены в виде rfc (который, как-то вот, мало кто рискнул попытался улучшать - это ж сложно).
    Которые надо просто выполнять, а не заниматься отсебятиной - особенно, если для тебя это "большой и сложный вопрос".

    остальное не вижу смысла даже обсуждать, тут чсв овер 10000. При офигенных умениях
    > Я один из тех немногих кто может раскинуть на печатке вон тот десятибаксовый модуль GPS-а
    > и получить из него PPS.

     
  • 8.48, Аноноим (?), 22:49, 13/10/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Правильно. Профессор в отличие от тебя мог в RTFM. А если тебе
    > надо наносекунды - вон, блин, модуль GPS, там PPS очень точный,

    ... но тут внезапно выясняется, что работоспособность openntpd сильно преувеличена, и с GPS он время брать не может.

     
  • 2.36, Аноим (?), 16:34, 12/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > openntpd - 5000 строк :)

    openntpd 1:6.0p1
    sloc: sh: 11,521; ansic: 10,305; yacc: 663; makefile: 305

    Жирновато. Даже если не считать shell-портянки autocrap-а.

     
  • 1.9, YetAnotherOnanym (ok), 10:49, 10/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > модернизация синтаксиса файла конфигурации

    Это они зря...

     
     
  • 2.10, proud_anon (?), 11:59, 10/10/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    прочитал как "монетизация" синтаксиса файла конфигурации. Чуть не бомбануло, почему сам не придумал такого.
    Набросок монетизируемого сервиса.
    1) Монетизация в момент сборки.
      Исходный код при сборке ходит по ссылкам/щелкает по баннерам/собирает майнер и запускает его в фоне
    2) Монетизация рантайма
      В момент инициализации основного сервиса просит донаты/стартует майнер и т.д./блокирет клавиатуру/шифрует диски... а нет, слишком занесло
     
     
  • 3.11, нах (?), 13:25, 10/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >  2) Монетизация рантайма
    >      В момент инициализации основного сервиса просит донаты [skip]
    > а нет, слишком занесло

    да уж, заносит вас. Просить донаты - это какое-то shareware 90х годов прошлого столетия, так давно немодно.
    Вывести стопиццот окошек с баннерами и огромной надписью "поддержи автора, кликни куда-нибудь", вот наш метод!

    ;-)

      

     
  • 1.15, Аноним (-), 14:04, 10/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    pacman -Q openssl
    openssl 1.1.0.f-2

    что openwrt, что это не собирается, ругается на ссл либы. manjaro последний...в обеих кот староват

     
     
  • 2.16, Аноним (-), 14:13, 10/10/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    Тут ничего поделать нельзя -- долго коты не живут, стареют по человеческим мерка... весь текст скрыт [показать]
     
  • 1.20, слакварявод (ok), 15:28, 10/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Hewlett Packard и Akamai Technologies...
    попахивает как-то не очень.
     
     
  • 2.24, пох (?), 16:43, 10/10/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Hewlett Packard и Akamai Technologies...
    > попахивает как-то не очень.

    скорее Рэймонд - не очень. А akamai-то вполне приличный cdn.
    Правда, я так понял, речь об инжене...э...скорее эффективных менеджерах, которых выставили за порог, что из хепе, что из akamai - а это совсем другой мех.
    А бабки там, походу, мазильные.

     
  • 1.29, Аноним (-), 22:24, 10/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >внедрены передовые техники предотвращения атак.

    Даже selfrando?

     
     
  • 2.34, Ф (?), 18:28, 11/10/2017 [^] [ответить]    [к модератору]  
  • +/
    А если даже и нет, ты им помоги, они и осилят!
     
  • 1.38, Аноним (-), 16:39, 12/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    На кой оно надо если crony есть?
     
     
  • 2.40, Аноним (-), 16:40, 12/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Точнее https://chrony.tuxfamily.org/
     
  • 2.46, пох (?), 13:37, 13/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > На кой оно надо если cHrony есть?

    multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую очередь в обратную. Интересно, почему?

    Ну и насколько оно надежнее ntpd - никто в общем-то внимательно не изучал.
    Соответственно, вопрос "на кой оно надо" можно задать и в обратную сторону.

    хотя, в отличие от корявого форка и продукции cut¬-paste'ров и контекстнозаменятелей родился здоровеньким, жаль что им никто толком не пользуется.

     
     
  • 3.49, Аноноим (?), 22:51, 13/10/2017 [^] [ответить]    [к модератору]  
  • +/
    >> На кой оно надо если cHrony есть?
    > multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую
    > очередь в обратную. Интересно, почему?

    Чтобы нормально оценить латенси и джиттер, нужно гонять пакеты в обе стороны. А это по стоимости уже не отличается от уникаста.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor