The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.10.2017 08:28  Первый стабильный релиз NTPsec, защищённого форка NTPD

Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative), представил первый стабильный выпуск NTPsec 1.0, форка эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированного на переработке кодовой базы с целью повышения безопасности. В развитии NTPsec участвуют некоторые разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Исходные тексты NTPsec размещены в репозитории на GitLab.

NTPsec 1.0 подвёл итог двух с половиной лет работы над проектом и позиционируется как первый выпуск, пригодный для промышленного внедрения. В ходе работы кодовая база была сокращена на 76% от состояния в момент форка - число строк кода уменьшилось со 178 тысяч до 55 тысяч, в основном за счёт чистки устаревших возможностей, неактуальных платформ и необязательных инструментов. Уменьшение кодовой базы позволило избавиться от кода, связанного с 75% из уязвимостей, выявленных в классическом NTPD. При этом проект остался полностью совместим с классическим пакетом NTP и использует те же алгоритмы.

Кроме чистки также проведена переработка внутренностей и внедрены передовые техники предотвращения атак. Совместно с организацией IETF ведётся работа по разработке нового стандарта NTS (Network Time Security) для безопасной синхронизации времени. Из улучшений отмечается работа по увеличению точности учёта времени, расширение средств мониторинга и статистики, модернизация синтаксиса файла конфигурации, сокращение времени запуска.

В выпуске NTPsec 1.0 также представлен режим автономной работы, при котором используются только локальные источники времени без обращения к внешним серверам и GPS. Новый режим позволяет создавать самодостаточные серверы для окружений повышенной защищённости, которые никак не контактируют в внешним миром и исключают проведение атаки в момент синхронизации с другими NTP-серверами.

Среди других особенностей проекта:

  • Все функции работы с памятью и строками заменены на защищённые аналоги, не допускающие переполнения буфера.
  • Поставляемые в комплекте экземпляры libevent2 заменены на внешние зависимости.
  • Удалены неиспользуемые компоненты библиотек ISC.
  • Осуществлён переход к манипуляции наносекундными отрезками времени вместо микросекунд.
  • Исправлены ошибки, выявленные при использовании статических анализаторов.
  • C целью унификации их имён изменены названия утилит: sntp переименован в ntpdig, ntp-keygen в ntpkeygen, ntp-wait в ntpwait, update-leap в ntpleapfetch;
  • Из состава исключён демон ntpsnmpd, который не соответствует RFC 5907;
  • Удалены утилиты ntpdc, вместо которых следует использовать ntpq;
  • Прекращена поддержка устаревших типов эталонных часов;
  • Добавлена новая утилита ntpfrob, предоставляющая средства для диагностики и тонкой настройки локального хронометра.
  • Вместо программы ntpdate предложена shell-обвязка над утилитой ntpdig.
  • Вывод часов приведён в соответствие с форматом ISO8601.


  1. Главная ссылка к новости (https://blog.ntpsec.org/2017/1...)
  2. OpenNews: Компания Mozilla распределила 539 тысяч долларов на гранты открытым проектам
  3. OpenNews: Выпуск NTPsec 0.9.7, защищённого форка NTPD
  4. OpenNews: В рамках проекта NTPsec создан защищённый форк NTPD
  5. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
  6. OpenNews: Проект OpenBSD опубликовал выпуски NTP-сервера OpenNTPD 6.1 и 6.2
Лицензия: CC-BY
Тип: Программы
Ключевые слова: ntpsec, ntp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, бедный буратино, 09:13, 10/10/2017 [ответить] [смотреть все]
  • –3 +/
    openntpd - 5000 строк :)
     
     
  • 2.2, пох, 09:42, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +10 +/
    > openntpd - 5000 строк

    так это типичный openbsd-way - рассказать как у других все плохо, и что мы щас научим весь мир как надо, написать 1/10 функционала, и ту - в режиме "works for me", игнорируя принятый стандарт, обосраться, вместо доработки - заняться FUD-company.
    А, да - и стереть с сайта страницу, где написано, почему поделка не является не то что полноценной заменой настоящему ntpd, а вообще крайне сомнительна - как только из общего доступа исчезла статья с детальным разбором полета. Но веб-архив-то всьо помнит:

    https://web.archive.org/web/20050304032724/http://bradknowles.typepad.com/considered_harmful/2004/09/openntpd.html

    (с тех пор кое-как решена проблема со stratum2, которая вообще йо..ный стыд неосиляторский, остальные где были, там и остались)

     
     
  • 3.3, лютый жабист__, 09:59, 10/10/2017 [^] [ответить] [смотреть все]
  • –1 +/
    Статья от 2004 года Не интересовался этим вопросом, но кажется ты как обычно пу... весь текст скрыт [показать]
     
     
  • 4.4, A.Stahl, 10:04, 10/10/2017 [^] [ответить] [смотреть все]  
  • +9 +/
    >6.2 весом с полмегабайта

    И всё те же 5000 строк?
    Ах, ты просто забыл о чём разговор -- слишком уж он длинный и со множеством неожиданных поворотов.

     
     
  • 5.7, бедный буратино, 10:09, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    нативная - 5000 строк, я специально посмотрел сейчас, взяв из транка... весь текст скрыт [показать]
     
     
  • 6.37, Аноим, 16:37, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    >> И всё те же 5000 строк?
    > нативная - 5000 строк, я специально посмотрел сейчас, взяв из транка

    Если нативная в два раза короче портируемой, назревает предположение, что часть функциональность просто вынесена в ядро :-)
    Вполне вписывается в концепцию Security by OpenBSD.

     
     
  • 7.41, Аноним, 17:11, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Или наоборот, вынужденная обвязка для пингвинячьих минимальных требываний - ды... весь текст скрыт [показать]
     
     
  • 8.47, Аноноим, 22:46, 13/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > Или наоборот, вынужденная обвязка для пингвинячьих "минимальных требываний"

    Отсутствие в ядре NTP-сервера?

    > дыбас, системд, гуй, "добавькомбайнповкусу"

    В ISC ntpd всего этого нет, но на линуксе он чудесным образом работает. Видимо, только Тео без хардбаса и системды жить не может.

     
  • 5.8, Аноним, 10:12, 10/10/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    code cloc openntpd-3 6 1p1 60 text files 44 unique files ... весь текст скрыт [показать]
     
  • 4.5, Аноним, 10:04, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Да у него все кругом неосиляторы всего Непонятно только, почему сам великий оси... весь текст скрыт [показать]
     
     
  • 5.6, Andrey Mitrofanov, 10:09, 10/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Перепись же братьев жабиста_ по разуму Не стоим Записываемся ... весь текст скрыт [показать]
     
     
  • 6.13, Аноним, 13:45, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Не брат ты мне... ©
     
  • 5.12, пох, 13:29, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    ага, а живу на деньги из тумбочки просто мне платят зарплату за, в том числе, у... весь текст скрыт [показать]
     
     
  • 6.14, Аноним, 14:03, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Судя по твоим комментам, зря платят.
     
     
  • 7.17, пох, 14:33, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    канеш зря Модно вот так- даже когда вас носом ткнут в статью с детальным разбо... весь текст скрыт [показать]
     
     
  • 8.18, Аноним, 14:42, 10/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты бредишь. Какое отношение openntpd имеет к ESR с ntpsec?
     
     
  • 9.22, пох, 16:39, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    да никакого - кроме того что это опять попытка сделать то же самое, примерно тем... весь текст скрыт [показать]
     
     
  • 10.26, Andrey Mitrofanov, 17:27, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Как ты хорошо всё объяснил The attack surface that eight of these eleven secur... весь текст скрыт [показать]
     
     
  • 11.27, пох, 17:46, 10/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    ну то есть мне ты на слово не веришь, а вот если это целый эрик - то готов жрать... весь текст скрыт [показать]
     
     
  • 12.28, Аноним, 18:36, 10/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Эрика знаем, поха никакого знать не знаем Пох нам этот пох ... весь текст скрыт [показать]
     
     
  • 13.30, Аноним, 10:07, 11/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Читать не умеем, но мнение имеем.
     
     
  • 14.50, Аноним, 02:53, 14/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Натурально, как мы можем слушать человека толстого с такими усами, пусть похудее... весь текст скрыт [показать]
     
  • 12.31, Andrey Mitrofanov, 10:53, 11/10/2017 [^] [ответить] [смотреть все]  
  • +/
    И ч-чо Во всех программах обнаружены ошибки11 Мы все умрём111 ТЧК Ты тож тут... весь текст скрыт [показать]
     
     
  • 13.33, пох, 18:14, 11/10/2017 [^] [ответить] [смотреть все]  
  • +/
    передергиваем или тоже нечитатель В программе, автор кутанднепастер и контек... весь текст скрыт [показать]
     
  • 13.51, Аноним, 03:19, 14/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Какой прекрасный пост А расскажи-ка, мил человек, почему ты не пишешь такие гне... весь текст скрыт [показать]
     
  • 8.19, Аноним, 15:16, 10/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну и насчёт статейки, которую ты всем тычешь Ты что, хочешь сказать, её лично Т... весь текст скрыт [показать]
     
     
  • 9.21, пох, 16:34, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    нет Ты очередной читать-неумеха Удалил, тео там или какой еще фудомет, не ста... весь текст скрыт [показать]
     
     
  • 10.23, Аноним, 16:43, 10/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Какая история Но ты забыл рассказать в подробностях о пытках, которыми Бреда за... весь текст скрыт [показать]
     
     
  • 11.25, пох, 17:09, 10/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    банальные ушаты грязи в рассылках это были Примерно вот в твоем стиле Придрать... весь текст скрыт [показать]
     
  • 3.35, Аноним, 15:41, 12/10/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Так ведь works же Время синхронизирует, да еще на других раздает И безопаснее ... весь текст скрыт [показать]
     
     
  • 4.39, Аноим, 16:40, 12/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > И безопаснее того монстра с тентаклями в который вымахал ntpd в тысячу раз.

    "Ваши ресницы станут в тысячу раз объемнее." Как уже тошнит от такого примитивного маркетинга... А больше ничего у Тео и нет, увы.

     
     
  • 5.42, Аноним, 20:13, 12/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Я вообще не фанат Тео Но вот конкретно openntpd для меня works, весит намного м... весь текст скрыт [показать]
     
     
  • 6.43, пох, 21:33, 12/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > И стало быть vuln-ов.

    ну да, ну да - скажите, он уже научился исключать сервер, у которого часики неприлично разбежались с остальными? Или все как в третьей версии, с кого первого ответ, то и жрем без разбору?

    Как это можно использовать, надо объяснять?

    > Засуньте вашу энтерпрайзятину с технологическими отверстиями для подвода системных часов
    > знаете куда?

    угадайте, что работает на тех серверах stratum1, с которых вы тянете время (хоть и пытался профессор уговорить не трахать зазря своим кривым софтом все что выше 2)

    Или, может, вы один из тех немногих, кто использует промышленный gps? (ах, ну да, ну да, поделка-то с ними тоже не работает)

     
     
  • 7.44, Аноним, 09:50, 13/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Это на самом деле намного менее тривиальный вопрос чем ты пытаешься тут представ... весь текст скрыт [показать]
     
     
  • 8.45, пох, 13:26, 13/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Это на самом деле намного менее тривиальный вопрос чем ты пытаешься тут представить.

    эти вопросы решены профессором, по большей части - на этапе теоретической разработки протокола. И оформлены в виде rfc (который, как-то вот, мало кто рискнул попытался улучшать - это ж сложно).
    Которые надо просто выполнять, а не заниматься отсебятиной - особенно, если для тебя это "большой и сложный вопрос".

    остальное не вижу смысла даже обсуждать, тут чсв овер 10000. При офигенных умениях
    > Я один из тех немногих кто может раскинуть на печатке вон тот десятибаксовый модуль GPS-а
    > и получить из него PPS.

     
  • 8.48, Аноноим, 22:49, 13/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > Правильно. Профессор в отличие от тебя мог в RTFM. А если тебе
    > надо наносекунды - вон, блин, модуль GPS, там PPS очень точный,

    ... но тут внезапно выясняется, что работоспособность openntpd сильно преувеличена, и с GPS он время брать не может.

     
  • 2.36, Аноим, 16:34, 12/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > openntpd - 5000 строк :)

    openntpd 1:6.0p1
    sloc: sh: 11,521; ansic: 10,305; yacc: 663; makefile: 305

    Жирновато. Даже если не считать shell-портянки autocrap-а.

     
  • 1.9, YetAnotherOnanym, 10:49, 10/10/2017 [ответить] [смотреть все]  
  • –1 +/
    > модернизация синтаксиса файла конфигурации

    Это они зря...

     
     
  • 2.10, proud_anon, 11:59, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    прочитал как монетизация синтаксиса файла конфигурации Чуть не бомбануло, поч... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, нах, 13:25, 10/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    да уж, заносит вас Просить донаты - это какое-то shareware 90х годов прошлого с... весь текст скрыт [показать]
     
  • 1.15, Аноним, 14:04, 10/10/2017 [ответить] [смотреть все]  
  • –2 +/
    pacman -Q openssl openssl 1 1 0 f-2 что openwrt, что это не собирается, ругается... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 14:13, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Тут ничего поделать нельзя -- долго коты не живут, стареют по человеческим мерка... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, слакварявод, 15:28, 10/10/2017 [ответить] [смотреть все]  
  • –2 +/
    Hewlett Packard и Akamai Technologies...
    попахивает как-то не очень.
     
     
  • 2.24, пох, 16:43, 10/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    > Hewlett Packard и Akamai Technologies...
    > попахивает как-то не очень.

    скорее Рэймонд - не очень. А akamai-то вполне приличный cdn.
    Правда, я так понял, речь об инжене...э...скорее эффективных менеджерах, которых выставили за порог, что из хепе, что из akamai - а это совсем другой мех.
    А бабки там, походу, мазильные.

     
  • 1.29, Аноним, 22:24, 10/10/2017 [ответить] [смотреть все]  
  • +/
    >внедрены передовые техники предотвращения атак.

    Даже selfrando?

     
     
  • 2.34, Ф, 18:28, 11/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А если даже и нет, ты им помоги, они и осилят!
     
  • 1.38, Аноним, 16:39, 12/10/2017 [ответить] [смотреть все]  
  • –2 +/
    На кой оно надо если crony есть?
     
     
  • 2.40, Аноним, 16:40, 12/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Точнее https://chrony.tuxfamily.org/
     
  • 2.46, пох, 13:37, 13/10/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    > На кой оно надо если cHrony есть?

    multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую очередь в обратную. Интересно, почему?

    Ну и насколько оно надежнее ntpd - никто в общем-то внимательно не изучал.
    Соответственно, вопрос "на кой оно надо" можно задать и в обратную сторону.

    хотя, в отличие от корявого форка и продукции cut¬-paste'ров и контекстнозаменятелей родился здоровеньким, жаль что им никто толком не пользуется.

     
     
  • 3.49, Аноноим, 22:51, 13/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> На кой оно надо если cHrony есть?
    > multicast ниасилен, broadcast почему-то только в одну сторону, хотя надо в первую
    > очередь в обратную. Интересно, почему?

    Чтобы нормально оценить латенси и джиттер, нужно гонять пакеты в обе стороны. А это по стоимости уже не отличается от уникаста.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor