user32847
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Im Wiki steht, dass es genau zwei Ausnahmen gibt (dhclient und avahi ). Bei mir ist allerdings auch noch ntpd mit dabei. sudo netstat -tulpen | grep -v '127.0.0.1' | grep -v '::1:'
| Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
udp 0 0 192.168.178.26:123 0.0.0.0:* 0 11966 1953/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 0 11958 1953/ntpd
udp6 0 0 fe80::4a5a:b6ff:fec:123 :::* 0 11970 1953/ntpd
udp6 0 0 fd00::4a5a:b6ff:fec:123 :::* 0 11969 1953/ntpd
udp6 0 0 fd00::4562:81ab:947:123 :::* 0 11967 1953/ntpd
udp6 0 0 :::123 :::* 0 11959 1953/ntpd
|
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21734
Wohnort: Lorchhausen im schönen Rheingau
|
Dann hast du ntpd wohl nachinstalliert
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
redknight schrieb: Dann hast du ntpd wohl nachinstalliert
Mh, scheint wohl daran zu liegen, dass die automatische Zeit-Synchronisation standardmäßig ausgeschaltet ist. Und bei mir war sie eingeschaltet. Inwiefern stellt das eigentlich ein Sicherheitsrisiko dar? Was kann (schlimmstenfalls) passieren?
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21734
Wohnort: Lorchhausen im schönen Rheingau
|
user32847 schrieb: redknight schrieb: Dann hast du ntpd wohl nachinstalliert
Mh, scheint wohl daran zu liegen, dass die automatische Zeit-Synchronisation standardmäßig ausgeschaltet ist. Und bei mir war sie eingeschaltet.
Ja, das Wiki beschreibt die Standardkonfiguration. Wenn Du einen Dienst dazuinstallierst, musst Du ihn auch ordentlich konfgurieren. Ich glaube nicht, dass ntpd nach außen lauschen muss, um nur deine Systemuhr zu synchronisieren. Inwiefern stellt das eigentlich ein Sicherheitsrisiko dar? Was kann (schlimmstenfalls) passieren?
kommt drauf an, welche Fehler im ntpd so schlummern.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
redknight schrieb: Ja, das Wiki beschreibt die Standardkonfiguration. Wenn Du einen Dienst dazuinstallierst, musst Du ihn auch ordentlich konfgurieren.
Nun, was heißt »dazuinstalliert«. Unter Lubuntu gibt es unter "Systemwerkzeuge" → "Datum und Uhrzeit" eben die Funktion "Abgleich mit Internet-Servern". Dass dann ein UDP-Port geöffnet wird, das habe ich nicht gewusst. redknight schrieb: Ich glaube nicht, dass ntpd nach außen lauschen muss, um nur deine Systemuhr zu synchronisieren.
Ich weiß es nicht. Wie ist das denn bei UDP-Ports - brauchen die einen offenen Port für Antworten oder müsste jede normale Firewall automatisch eine Antwort "durchlassen", auch ohne einen offenen Port?
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Warum ntpd einen offenen UDP-Port 123 braucht, verstehe ich noch immer nicht. Sollte es hier im Forum jemanden geben, der mir das erklären kann, würde ich mich freuen. ☺ Habe im Internet etwas gesucht und bin auf diesen Beitrag gestoßen. Nun habe ich immerhin eine ufw-Regel eingebaut. Müsste so passen, oder? Bitte um kurze Rückmeldung, dann könnte man das nämlich ins Wiki übernehmen. Zu Aktion Von
-- ------ ---
123/udp DENY Anywhere
123/udp (v6) DENY Anywhere (v6)
|
trollsportverein
Anmeldungsdatum: 21. Oktober 2010
Beiträge: 3425
|
user32847 schrieb: Warum ntpd einen offenen UDP-Port 123 braucht, verstehe ich noch immer nicht. Sollte es hier im Forum jemanden geben, der mir das erklären kann, würde ich mich freuen. ☺
Das "d" hinten dran weist auf "Daemon" hin. Dieser Network Time Protokoll Daemon liefert die Zeit im Netzwerk aus. Es gab da mal vor einiger Zeit ein Problem mit ntpd distributed reflection Denial of Service vulnerability. Es gab dann auch Sichereitsupdates und vor allem: die Konfiguration des Network Time Protokoll Daemons sollte beachtet werden. Kurz und knackig wird das hier beschrieben, auch wenn das dort kein Linux ist, dies ist die beste Zusammenfassung der Problematik: https://www.freebsd.org/security/advisories/FreeBSD-SA-14:02.ntpd.asc. Mit mehr Gelaber und Blendwerk und bunten Bildchen wird sich hier darüber ausufernd ausgebreitet: https://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks/.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
trollsportverein schrieb: user32847 schrieb: Warum ntpd einen offenen UDP-Port 123 braucht, verstehe ich noch immer nicht. Sollte es hier im Forum jemanden geben, der mir das erklären kann, würde ich mich freuen. ☺
Das "d" hinten dran weist auf "Daemon" hin. Dieser Network Time Protokoll Daemon liefert die Zeit im Netzwerk aus.
Das weiß ich. Ich möchte ntpd aber nur dazu nutzen, um mein System mit Timeservern zu synchronisieren. Ich selbst möchte aber nicht als Server fungieren.
|
trollsportverein
Anmeldungsdatum: 21. Oktober 2010
Beiträge: 3425
|
user32847 schrieb:
Das weiß ich. Ich möchte ntpd aber nur dazu nutzen, um mein System mit Timeservern zu synchronisieren. Ich selbst möchte aber nicht als Server fungieren.
Dann sollte ntpdate anstatt dem Paket ntp ausreichen, das Paket ntpdate ist der Client, das Paket npt ist der Network Time Protokoll Daemon (ntpd), also der Server.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
trollsportverein schrieb: user32847 schrieb:
Das weiß ich. Ich möchte ntpd aber nur dazu nutzen, um mein System mit Timeservern zu synchronisieren. Ich selbst möchte aber nicht als Server fungieren.
Dann sollte ntpdate anstatt dem Paket ntp ausreichen, das Paket ntpdate ist der Client, das Paket npt ist der Network Time Protokoll Daemon (ntpd), also der Server.
So, wie ich das verstanden habe, hat das mit ntpd schon seine Richtigkeit. Ist u. a. auch dafür gedacht, sein eigenes System zu synchronisieren. Dieser Beitrag erklärt die Zusammenhänge ziemlich gut: https://superuser.com/a/444744
|
trollsportverein
Anmeldungsdatum: 21. Oktober 2010
Beiträge: 3425
|
user32847 schrieb: trollsportverein schrieb: user32847 schrieb:
Das weiß ich. Ich möchte ntpd aber nur dazu nutzen, um mein System mit Timeservern zu synchronisieren. Ich selbst möchte aber nicht als Server fungieren.
Dann sollte ntpdate anstatt dem Paket ntp ausreichen, das Paket ntpdate ist der Client, das Paket npt ist der Network Time Protokoll Daemon (ntpd), also der Server.
So, wie ich das verstanden habe, hat das mit ntpd schon seine Richtigkeit. Ist u. a. auch dafür gedacht, sein eigenes System zu synchronisieren. Dieser Beitrag erklärt die Zusammenhänge ziemlich gut: https://superuser.com/a/444744
Wenn Du nur synchronsieren willst reicht der Client, ntpdate. Der Client macht das synchronsieren eben in einem Ruck. Der Daemon hingegen ist nun mal ein Server. Willst Du einen Server laufen lassen?
|