The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.10.2017 08:28  Первый стабильный релиз NTPsec, защищённого форка NTPD

Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative), представил первый стабильный выпуск NTPsec 1.0, форка эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированного на переработке кодовой базы с целью повышения безопасности. В развитии NTPsec участвуют некоторые разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Исходные тексты NTPsec размещены в репозитории на GitLab.

NTPsec 1.0 подвёл итог двух с половиной лет работы над проектом и позиционируется как первый выпуск, пригодный для промышленного внедрения. В ходе работы кодовая база была сокращена на 76% от состояния в момент форка - число строк кода уменьшилось со 178 тысяч до 55 тысяч, в основном за счёт чистки устаревших возможностей, неактуальных платформ и необязательных инструментов. Уменьшение кодовой базы позволило избавиться от кода, связанного с 75% из уязвимостей, выявленных в классическом NTPD. При этом проект остался полностью совместим с классическим пакетом NTP и использует те же алгоритмы.

Кроме чистки также проведена переработка внутренностей и внедрены передовые техники предотвращения атак. Совместно с организацией IETF ведётся работа по разработке нового стандарта NTS (Network Time Security) для безопасной синхронизации времени. Из улучшений отмечается работа по увеличению точности учёта времени, расширение средств мониторинга и статистики, модернизация синтаксиса файла конфигурации, сокращение времени запуска.

В выпуске NTPsec 1.0 также представлен режим автономной работы, при котором используются только локальные источники времени без обращения к внешним серверам и GPS. Новый режим позволяет создавать самодостаточные серверы для окружений повышенной защищённости, которые никак не контактируют в внешним миром и исключают проведение атаки в момент синхронизации с другими NTP-серверами.

Среди других особенностей проекта:

  • Все функции работы с памятью и строками заменены на защищённые аналоги, не допускающие переполнения буфера.
  • Поставляемые в комплекте экземпляры libevent2 заменены на внешние зависимости.
  • Удалены неиспользуемые компоненты библиотек ISC.
  • Осуществлён переход к манипуляции наносекундными отрезками времени вместо микросекунд.
  • Исправлены ошибки, выявленные при использовании статических анализаторов.
  • C целью унификации их имён изменены названия утилит: sntp переименован в ntpdig, ntp-keygen в ntpkeygen, ntp-wait в ntpwait, update-leap в ntpleapfetch;
  • Из состава исключён демон ntpsnmpd, который не соответствует RFC 5907;
  • Удалены утилиты ntpdc, вместо которых следует использовать ntpq;
  • Прекращена поддержка устаревших типов эталонных часов;
  • Добавлена новая утилита ntpfrob, предоставляющая средства для диагностики и тонкой настройки локального хронометра.
  • Вместо программы ntpdate предложена shell-обвязка над утилитой ntpdig.
  • Вывод часов приведён в соответствие с форматом ISO8601.


  1. Главная ссылка к новости (https://blog.ntpsec.org/2017/1...)
  2. OpenNews: Компания Mozilla распределила 539 тысяч долларов на гранты открытым проектам
  3. OpenNews: Выпуск NTPsec 0.9.7, защищённого форка NTPD
  4. OpenNews: В рамках проекта NTPsec создан защищённый форк NTPD
  5. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
  6. OpenNews: Проект OpenBSD опубликовал выпуски NTP-сервера OpenNTPD 6.1 и 6.2
Лицензия: CC-BY
Тип: Программы
Ключевые слова: ntpsec, ntp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, бедный буратино, 09:13, 10/10/2017 [ответить] [смотреть все]    [к модератору]
  • –3 +/
    openntpd - 5000 строк :)
     
     
  • 2.2, пох, 09:42, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +10 +/
    > openntpd - 5000 строк

    так это типичный openbsd-way - рассказать как у других все плохо, и что мы щас научим весь мир как надо, написать 1/10 функционала, и ту - в режиме "works for me", игнорируя принятый стандарт, обосраться, вместо доработки - заняться FUD-company.
    А, да - и стереть с сайта страницу, где написано, почему поделка не является не то что полноценной заменой настоящему ntpd, а вообще крайне сомнительна - как только из общего доступа исчезла статья с детальным разбором полета. Но веб-архив-то всьо помнит:

    https://web.archive.org/web/20050304032724/http://bradknowles.typepad.com/considered_harmful/2004/09/openntpd.html

    (с тех пор кое-как решена проблема со stratum2, которая вообще йо..ный стыд неосиляторский, остальные где были, там и остались)

     
     
  • 3.3, лютый жабист__, 09:59, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]
  • –1 +/
    Статья от 2004 года Не интересовался этим вопросом, но кажется ты как обычно пу... весь текст скрыт [показать]
     
     
  • 4.4, A.Stahl, 10:04, 10/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    >6.2 весом с полмегабайта

    И всё те же 5000 строк?
    Ах, ты просто забыл о чём разговор -- слишком уж он длинный и со множеством неожиданных поворотов.

     
     
  • 5.7, бедный буратино, 10:09, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    нативная - 5000 строк, я специально посмотрел сейчас, взяв из транка... весь текст скрыт [показать]
     
     
  • 6.37, Аноим, 16:37, 12/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если нативная в два раза короче портируемой, назревает предположение, что часть ... весь текст скрыт [показать]
     
     
  • 7.41, Аноним, 17:11, 12/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Или наоборот, вынужденная обвязка для пингвинячьих минимальных требываний - ды... весь текст скрыт [показать]
     
     
  • 8.47, Аноноим, 22:46, 13/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Отсутствие в ядре NTP-сервера В ISC ntpd всего этого нет, но на линуксе он чуде... весь текст скрыт [показать]
     
  • 5.8, Аноним, 10:12, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    code cloc openntpd-3 6 1p1 60 text files 44 unique files ... весь текст скрыт [показать]
     
  • 4.5, Аноним, 10:04, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да у него все кругом неосиляторы всего Непонятно только, почему сам великий оси... весь текст скрыт [показать]
     
     
  • 5.6, Andrey Mitrofanov, 10:09, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Перепись же братьев жабиста_ по разуму Не стоим Записываемся ... весь текст скрыт [показать]
     
     
  • 6.13, Аноним, 13:45, 10/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не брат ты мне... ©
     
  • 5.12, пох, 13:29, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    ага, а живу на деньги из тумбочки просто мне платят зарплату за, в том числе, у... весь текст скрыт [показать]
     
     
  • 6.14, Аноним, 14:03, 10/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Судя по твоим комментам, зря платят.
     
     
  • 7.17, пох, 14:33, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    канеш зря Модно вот так- даже когда вас носом ткнут в статью с детальным разбо... весь текст скрыт [показать]
     
     
  • 8.18, Аноним, 14:42, 10/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ты бредишь. Какое отношение openntpd имеет к ESR с ntpsec?
     
     
  • 9.22, пох, 16:39, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    да никакого - кроме того что это опять попытка сделать то же самое, примерно тем... весь текст скрыт [показать]
     
     
  • 10.26, Andrey Mitrofanov, 17:27, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Как ты хорошо всё объяснил The attack surface that eight of these eleven secur... весь текст скрыт [показать]
     
     
  • 11.27, пох, 17:46, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    ну то есть мне ты на слово не веришь, а вот если это целый эрик - то готов жрать... весь текст скрыт [показать]
     
     
  • 12.28, Аноним, 18:36, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Эрика знаем, поха никакого знать не знаем Пох нам этот пох ... весь текст скрыт [показать]
     
     
  • 13.30, Аноним, 10:07, 11/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Читать не умеем, но мнение имеем.
     
     
  • 14.50, Аноним, 02:53, 14/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Натурально, как мы можем слушать человека толстого с такими усами, пусть похудее... весь текст скрыт [показать]
     
  • 12.31, Andrey Mitrofanov, 10:53, 11/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И ч-чо Во всех программах обнаружены ошибки11 Мы все умрём111 ТЧК Ты тож тут... весь текст скрыт [показать]
     
     
  • 13.33, пох, 18:14, 11/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    передергиваем или тоже нечитатель В программе, автор кутанднепастер и контек... весь текст скрыт [показать]
     
  • 13.51, Аноним, 03:19, 14/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Какой прекрасный пост А расскажи-ка, мил человек, почему ты не пишешь такие гне... весь текст скрыт [показать]
     
  • 8.19, Аноним, 15:16, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ну и насчёт статейки, которую ты всем тычешь Ты что, хочешь сказать, её лично Т... весь текст скрыт [показать]
     
     
  • 9.21, пох, 16:34, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    нет Ты очередной читать-неумеха Удалил, тео там или какой еще фудомет, не ста... весь текст скрыт [показать]
     
     
  • 10.23, Аноним, 16:43, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Какая история Но ты забыл рассказать в подробностях о пытках, которыми Бреда за... весь текст скрыт [показать]
     
     
  • 11.25, пох, 17:09, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    банальные ушаты грязи в рассылках это были Примерно вот в твоем стиле Придрать... весь текст скрыт [показать]
     
  • 3.35, Аноним, 15:41, 12/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Так ведь works же Время синхронизирует, да еще на других раздает И безопаснее ... весь текст скрыт [показать]
     
     
  • 4.39, Аноим, 16:40, 12/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ваши ресницы станут в тысячу раз объемнее Как уже тошнит от такого примитивно... весь текст скрыт [показать]
     
     
  • 5.42, Аноним, 20:13, 12/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Я вообще не фанат Тео Но вот конкретно openntpd для меня works, весит намного м... весь текст скрыт [показать]
     
     
  • 6.43, пох, 21:33, 12/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    ну да, ну да - скажите, он уже научился исключать сервер, у которого часики непр... весь текст скрыт [показать]
     
     
  • 7.44, Аноним, 09:50, 13/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это на самом деле намного менее тривиальный вопрос чем ты пытаешься тут представ... весь текст скрыт [показать]
     
     
  • 8.45, пох, 13:26, 13/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    эти вопросы решены профессором, по большей части - на этапе теоретической разраб... весь текст скрыт [показать]
     
  • 8.48, Аноноим, 22:49, 13/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    но тут внезапно выясняется, что работоспособность openntpd сильно преувеличе... весь текст скрыт [показать]
     
  • 2.36, Аноим, 16:34, 12/10/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    openntpd 1 6 0p1 sloc sh 11,521 ansic 10,305 yacc 663 makefile 305 Жирно... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, YetAnotherOnanym, 10:49, 10/10/2017 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > модернизация синтаксиса файла конфигурации

    Это они зря...

     
     
  • 2.10, proud_anon, 11:59, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    прочитал как монетизация синтаксиса файла конфигурации Чуть не бомбануло, поч... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, нах, 13:25, 10/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    да уж, заносит вас Просить донаты - это какое-то shareware 90х годов прошлого с... весь текст скрыт [показать]
     
  • 1.15, Аноним, 14:04, 10/10/2017 [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    pacman -Q openssl openssl 1 1 0 f-2 что openwrt, что это не собирается, ругается... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 14:13, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Тут ничего поделать нельзя -- долго коты не живут, стареют по человеческим мерка... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, слакварявод, 15:28, 10/10/2017 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Hewlett Packard и Akamai Technologies...
    попахивает как-то не очень.
     
     
  • 2.24, пох, 16:43, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –2 +/
    > Hewlett Packard и Akamai Technologies...
    > попахивает как-то не очень.

    скорее Рэймонд - не очень. А akamai-то вполне приличный cdn.
    Правда, я так понял, речь об инжене...э...скорее эффективных менеджерах, которых выставили за порог, что из хепе, что из akamai - а это совсем другой мех.
    А бабки там, походу, мазильные.

     
  • 1.29, Аноним, 22:24, 10/10/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    >внедрены передовые техники предотвращения атак.

    Даже selfrando?

     
     
  • 2.34, Ф, 18:28, 11/10/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    А если даже и нет, ты им помоги, они и осилят!
     
  • 1.38, Аноним, 16:39, 12/10/2017 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    На кой оно надо если crony есть?
     
     
  • 2.40, Аноним, 16:40, 12/10/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Точнее https://chrony.tuxfamily.org/
     
  • 2.46, пох, 13:37, 13/10/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    > На кой оно надо если cHrony есть?

    multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую очередь в обратную. Интересно, почему?

    Ну и насколько оно надежнее ntpd - никто в общем-то внимательно не изучал.
    Соответственно, вопрос "на кой оно надо" можно задать и в обратную сторону.

    хотя, в отличие от корявого форка и продукции cut¬-paste'ров и контекстнозаменятелей родился здоровеньким, жаль что им никто толком не пользуется.

     
     
  • 3.49, Аноноим, 22:51, 13/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> На кой оно надо если cHrony есть?
    > multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую
    > очередь в обратную. Интересно, почему?

    Чтобы нормально оценить латенси и джиттер, нужно гонять пакеты в обе стороны. А это по стоимости уже не отличается от уникаста.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor