Ana içeriğe atla

ntp sunucusunu güvenli hale getirme

linux sunucumuzu ntp olarak yapılandırdığımızda, ntp servisinden kaynaklı güvenlik açığı çıkmaktadır.
Bunun önlemenin şu anki tek yolu, ntp sorgularını sınırlamaktır. Aşağıda test edilmiş bir ntp.conf dosyası bulunuyor.

[root@dns01 ~]# cat /etc/ntp.conf
driftfile /var/lib/ntp/drift

restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery


restrict 10.254.254.0      mask 255.255.0.0    notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1

server  0.rhel.pool.ntp.org  iburst

includefile /etc/ntp/crypto/pw
keys /etc/ntp/keys

# Specify the key identifiers which are trusted.
trustedkey 14570
requestkey 14570
controlkey 14570

# Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats

# Disable the monitoring facility to prevent amplification attacks using ntpdc
# monlist command when default restrict does not include the noquery flag. See
# CVE-2013-5211 for more details.
# Note: Monitoring will not be disabled with the limited restriction flag.
disable monitor
[root@dns01 ~]#

İşin püf noktası, varsayılan olarak sorgulamaları sınırlandırmak, izin verilen networkten gelen sorgulamalarıda sınırlandırarak gerekli izin vermek. Şayet belli bir sunucuya daha fazla yetki vermek gerekiyorsa, o sunucuya güvenli anahtar ile yetkilendirme(key authentication) yaparak ona özel restrict kuralı ayarlanması gerekir.

Linuxle eğlenceye devam :)


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

ttnet tilgin hg1332 modem(router) kablosuz özelliğini güçlendirmek

Bu gün ttnetin hediyesi olan tilgin yönlendiriciyle biraz oynayayım dedim Matkap, ve rg316-rp-sma kablo alıp cihazın kapağını tekrar açtım. Matkapla usb çıkışın yanına bir delik açarak kaployu taktım. Sonra elimdeki antenlerden ikiti tanesini takıp test ettim. . Bu iki antenin, gözle farkedilir derecede sinyalleri kuvvetlendirdiğini fark ettim.. Normalde bu cihaz ile evin iki en uc noktaları arasında haberleşme olmaz iken şimdi en kör iki uç arasında sorun olmadan kablosuz kullanılabildiğini gördüm. Arada 4 tane kuvvetli beton duvar mevcut. Deneme bitti, tilgin rafa kalktı yine. Her nekadar ben bu cihazı kaldırsamda, kullanmak zorunda olan arkadaşlar, bir kablo ve ikitane anten takarak her herde kullanabilirler. İyi eğlenceler.
2 yorum
Devamı

yerel ssl ca sertifikasını güvenli sertifika olarak kabul etmek. (özet tekrar)

  openssl s_client  -connect akyuz.tech:443 -showcerts > /tmp/akyuz.tech.cacrt keytool -import -alias akyuz.tech  -keystore  /etc/pki/ca-trust/extracted/java/cacerts -file /tmp/akyuz.tech.cacrt /etc/pki/ca-trust/extracted/java/cacerts dosyası varsayılan java için varsayılan ca cert dosyasıdır.   cp -iv /tmp/akyuz.tech.cacrt /etc/pki/ca-trust/source/anchors/ update-ca-trust     DOMAIN=akyuz.tech openssl s_client -showcerts -connect ${DOMAIN}:443 </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p' > ${DOMAIN}.cert
Yorum Gönder
Devamı