web-dev-qa-db-fra.com

Pourquoi NTP Daemon continue d'écouter sur UDP6?

J'ai une installation propre de Debian 7, et j'ai entré manuellement les lignes suivantes dans /etc/ntp.conf:

interface ignore wildcard
interface listen <local_nic_ip>

En espérant que NTP== n'écoute plus sur UDP6, mais après un redémarrage, cela fait toujours:

5:udp        0      0 <local_nic_ip>:123       0.0.0.0:*                           9172/ntpd       
6:udp        0      0 127.0.0.1:123           0.0.0.0:*                           9172/ntpd       
8:udp6       0      0 ::1:123                 :::*                                9172/ntpd

La ligne de commande de NTP montre rien d'inhabituel:

/usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 121:130

Comment arrêter NTP d'écouter sur ce port UDP6?

6
Howard

J'ai pu désactiver IPv6 pour NTP sur mon debian 5/6/7 et Ubuntu 12.04 de cette façon:

Modifier le fichier /etc/default/ntp et remplacer

NTPD_OPTS='-g'

par

NTPD_OPTS='-4 -g'

Ensuite, vous pouvez garder vos directives dans ntp.conf, ils ne sont pas ignorés:

interface ignore wildcard
interface listen <local_nic_ip>
  • Sans interface ignore wildcard NTP J'écoutera également 0.0.0.0
  • Sans interface listen <local_nic_ip> NTP= J'écoutera uniquement 127.0.0.1 (bien sûr)

Cela se traduit par:

# netstat -anp | grep :123
udp    0      0 192.168.0.38:123     0.0.0.0:*                 2901/ntpd
udp    0      0 127.0.0.1:123        0.0.0.0:*                 2901/ntpd

En outre, je confirme que OpenNTPD écoute de l'endroit où vous lui demandez d'écouter plus sympathique (pas besoin d'éditer plusieurs fichiers de configuration). Par défaut, il écoute nulle part jusqu'à ce que vous le configuriez pour le faire (très sécurisé);)

Dans le fichier de configuration, juste motos

listen on 127.0.0.1

Et ajouter une ligne

listen on <local_nic_ip>

Résulte en :

# netstat -anp | grep :123
udp   0    0 192.168.0.38:123     0.0.0.0:*                 8581/ntpd
udp   0    0 127.0.0.1:123        0.0.0.0:*                 8581/ntpd
13
krisFR

Si vous considérez cela, un bug (et je le fais certainement: ntpd ignore une directive de configuration) Vous allez devoir le supporter avec les auteurs du maintien de paquets ou des auteurs en amont. Je ne crois pas qu'on ne sortne-t-il ici - reportez-vous aux informations de paquet pour leurs coordonnées.

Alternativement, vous pouvez essayer un autre NTP Mise en œuvre (comme OpenNTPD - Je ne l'ai pas utilisé personnellement, mais les gens openbsd ont tendance à être absolument paranoïde sur la sécurité, alors j'imagine Il n'écoute que là où il est dit de).

Comme Sander a souligné cependant, votre NTP Daemon écoute sur Localhost (127.0.0.1 & ::1) - Si vous craignez d'être piraté de localhost, vous avez probablement de plus gros problèmes que votre NTP Daemon.
[.____] Je suis un peu féroce que le démon ignore une directive de configuration, mais je ne considérerais pas cela une préoccupation de sécurité sérieuse.

4
voretaq7