J'ai une installation propre de Debian 7, et j'ai entré manuellement les lignes suivantes dans /etc/ntp.conf:
interface ignore wildcard
interface listen <local_nic_ip>
En espérant que NTP== n'écoute plus sur UDP6, mais après un redémarrage, cela fait toujours:
5:udp 0 0 <local_nic_ip>:123 0.0.0.0:* 9172/ntpd
6:udp 0 0 127.0.0.1:123 0.0.0.0:* 9172/ntpd
8:udp6 0 0 ::1:123 :::* 9172/ntpd
La ligne de commande de NTP montre rien d'inhabituel:
/usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 121:130
Comment arrêter NTP d'écouter sur ce port UDP6?
J'ai pu désactiver IPv6 pour NTP sur mon debian 5/6/7 et Ubuntu 12.04 de cette façon:
Modifier le fichier /etc/default/ntp
et remplacer
NTPD_OPTS='-g'
par
NTPD_OPTS='-4 -g'
Ensuite, vous pouvez garder vos directives dans ntp.conf
, ils ne sont pas ignorés:
interface ignore wildcard
interface listen <local_nic_ip>
interface ignore wildcard
NTP J'écoutera également 0.0.0.0
interface listen <local_nic_ip>
NTP= J'écoutera uniquement 127.0.0.1
(bien sûr)Cela se traduit par:
# netstat -anp | grep :123
udp 0 0 192.168.0.38:123 0.0.0.0:* 2901/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 2901/ntpd
En outre, je confirme que OpenNTPD
écoute de l'endroit où vous lui demandez d'écouter plus sympathique (pas besoin d'éditer plusieurs fichiers de configuration). Par défaut, il écoute nulle part jusqu'à ce que vous le configuriez pour le faire (très sécurisé);)
Dans le fichier de configuration, juste motos
listen on 127.0.0.1
Et ajouter une ligne
listen on <local_nic_ip>
Résulte en :
# netstat -anp | grep :123
udp 0 0 192.168.0.38:123 0.0.0.0:* 8581/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 8581/ntpd
Si vous considérez cela, un bug (et je le fais certainement: ntpd
ignore une directive de configuration) Vous allez devoir le supporter avec les auteurs du maintien de paquets ou des auteurs en amont. Je ne crois pas qu'on ne sortne-t-il ici - reportez-vous aux informations de paquet pour leurs coordonnées.
Alternativement, vous pouvez essayer un autre NTP Mise en œuvre (comme OpenNTPD - Je ne l'ai pas utilisé personnellement, mais les gens openbsd ont tendance à être absolument paranoïde sur la sécurité, alors j'imagine Il n'écoute que là où il est dit de).
Comme Sander a souligné cependant, votre NTP Daemon écoute sur Localhost (127.0.0.1
& ::1
) - Si vous craignez d'être piraté de localhost, vous avez probablement de plus gros problèmes que votre NTP Daemon.
[.____] Je suis un peu féroce que le démon ignore une directive de configuration, mais je ne considérerais pas cela une préoccupation de sécurité sérieuse.