linux sunucumuzu ntp olarak yapılandırdığımızda, ntp servisinden kaynaklı güvenlik açığı çıkmaktadır.
Bunun önlemenin şu anki tek yolu, ntp sorgularını sınırlamaktır. Aşağıda test edilmiş bir ntp.conf dosyası bulunuyor.
[root@dns01 ~]# cat /etc/ntp.conf
driftfile /var/lib/ntp/drift
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 10.254.254.0 mask 255.255.0.0 notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1
server 0.rhel.pool.ntp.org iburst
includefile /etc/ntp/crypto/pw
keys /etc/ntp/keys
# Specify the key identifiers which are trusted.
trustedkey 14570
requestkey 14570
controlkey 14570
# Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats
# Disable the monitoring facility to prevent amplification attacks using ntpdc
# monlist command when default restrict does not include the noquery flag. See
# CVE-2013-5211 for more details.
# Note: Monitoring will not be disabled with the limited restriction flag.
disable monitor
[root@dns01 ~]#
İşin püf noktası, varsayılan olarak sorgulamaları sınırlandırmak, izin verilen networkten gelen sorgulamalarıda sınırlandırarak gerekli izin vermek. Şayet belli bir sunucuya daha fazla yetki vermek gerekiyorsa, o sunucuya güvenli anahtar ile yetkilendirme(key authentication) yaparak ona özel restrict kuralı ayarlanması gerekir.
Linuxle eğlenceye devam :)
Kaydol:
Kayıt Yorumları (Atom)
ansible ile yerel quay sunucusu üzerinden execution environment kullanımı
Yerel quay veya registry sunucularımızdaki ee leri ansible ile kullanabiliyoruz. Bunun için kendi yaptığımız ee leri veya hazır ee leri yük...
-
Bu gün ttnetin hediyesi olan tilgin yönlendiriciyle biraz oynayayım dedim Matkap, ve rg316-rp-sma kablo alıp cihazın kapağını tekrar açtım. ...
-
Bu hafta bir kaç gün iett otobüsleriyle istanbul içinde bir yerden bir başka yere gideyim dedim. Otobüslerde klima çalışmaz, pencereler açıl...
-
RHEL tabanlı her hangi bir sistemde felaket durumunda kurtarma modunda açtığımızda chroot yapmadan önce aşağıdaki bağlantı işlemlerini yapma...
Hiç yorum yok:
Yorum Gönder