Po nowej luce w zabezpieczeniach pakietu oprogramowania Network Time Protocol firma Apple dostarczyła aktualizację oprogramowania dla Mountain Lion i nowszych wersji OS X.
Jak zwykle starsze wersje OS X, z którymi można się utknąć (ponieważ sprzęt nie obsługuje nowszych wersji, ponieważ potrzebna jest Rosetta, ...) nie są objęte aktualizacją zabezpieczeń.
Moje pytania to:
czy wyłączenie „ustaw datę i czas automatycznie” w Preferencjach oprogramowania wystarcza, aby upewnić się, że ntpd nie działa?
co może się zepsuć, jeśli plik binarny ntdp został po prostu usunięty dla bezpieczeństwa w systemie OS X Snow Leopard lub Lion?
Wątpię, czy mógłbym użyć tych instrukcji, aby ograniczyć zakres ntpd bez całkowitego wyłączenia / usunięcia go, ale w tym przypadku istnieje ryzyko, że popełnisz błąd i wystawisz ntpd na działanie.
security
jeszcze wpisu opinii :(.Odpowiedzi:
Tak .
Oto sposób na zapewnienie sobie tego. Otwórz okno
Terminal
lubxterm
.Uruchom następujące polecenie:
i zauważ, że masz
ntpd
uruchomiony proces.Otwórz
System Preferences
i wyłączSet date and time automatically:
Sprawdź za pomocą
ps
powyższego polecenia, czy nie maszntpd
uruchomionego żadnego procesu.Nie usuwaj
ntpd
pliku binarnego, nie jest to konieczne i pozbawiłoby Cię możliwości skorzystania z poprawki od Apple :).Nie .
Ta recepta sprawi, że będziesz biegał,
ntpd
a zatem narażony na atak.źródło
sudo launchctl unload /System/Library/LaunchDaemons/org.ntp.ntpd.plist
System Preferences
robi GUI . Korzystając z niego, powinieneś sprawdzić,tail -f /var/log/system.log
co może pójść nie tak w twoimSystem Preferences
. Aby zbadać ten problem, radzę zadać kolejne pytanie.Zamiast wyłączać ntpd, powinieneś pobrać źródło dla wersji 4.2.8 ntp i sam je skompilować. Wszystko czego potrzebujesz to Xcode dla Lion / SnowLeo. Powinien działać dobrze w wersjach 10.6.xi 10.7.x.
Zaktualizowałem moją instalację 10.10 natychmiast po upublicznieniu CVE i wydaniu kodu źródłowego, i nie czekałem na Apple, aby opublikować aktualizację.
Aby skompilować ntpd, pobierz źródło ze strony ntp.org i zastosuj łatkę dla OS X / FreeBSD. Po zastosowaniu tej poprawki będziesz mógł uruchomić „./configure && make”. Następnie możesz skopiować pliki binarne do odpowiednich katalogów (/ usr / sbin / i / usr / bin /).
W systemie Mac OS X 10.7 (Lion):
Oto lista plików i folderów, do których należą, które zostaną utworzone ze źródła powyżej. Po kompilacji wszystkie te pliki będą w różnych podfolderach.
Zmień nazwę starych, używając czegoś takiego:
a następnie przenieś nowy. Upewnij się, że pliki zostały przeniesione po przeniesieniu ich na miejsce:
Uwaga : nie korzystałem,
sudo make install
ponieważ nie ufałem Makefile (nie byłem pewien, czy umieści pliki w tych samych folderach, w których pierwotnie umieścił je Apple, i chciałem mieć pewność, że nadal są w tym samym miejscu co stare te). Ręczne przenoszenie 6 plików nie jest dużym problemem. Pozostałe pliki (strony podręcznika, strony HTML itp. Są takie same, więc nie musisz się nimi przejmować).źródło
./configure --prefix='/usr'
jako krok początkowy, a następnie kontynuowaćmake ; sudo make install
.Nie zagłębiłem się szczegółowo w dokumentację naruszenia. Zwykle ntp dokonuje okresowych zapytań do serwerów, aby uzyskać poprawkę. Po ustaleniu dryfu lokalnego zegara zapytania nie są częste.
Większość zapór sieciowych jest skonfigurowana do ignorowania pakietów żądań z zewnątrz. Ntp Myślę, że używa UDP, który jest nominalnie bezpaństwowiec. Zazwyczaj zapora ogniowa pozwala na powrót pakietu UDP na krótki okres czasu po wygaśnięciu pakietu UDP. Pakiet zwrotny musi pochodzić z właściwego adresu IP i mieć prawidłowy port. Czarny kapelusz musiałby obalić serwer DNS lub serwer NTP.
Czy ktoś mógłby wyjaśnić, w jaki sposób zagraża to rzeczywistości, zakładając, że osoba ta nie określiła pool.ntp.org jako swojego serwera NTTP?
Sposoby na to:
Możesz także użyć Fink lub Homebrew w ten sposób, ale MacPorts wydaje się być mniej zależny od Apple OS, więc w dłuższej perspektywie dla starszych systemów podejrzewam, że będzie mniej bólu.
źródło