Deshabilitando NTP en OS X Lion o mayor

9

Tras una nueva vulnerabilidad de seguridad en el paquete de software Network Time Protocol , Apple ha proporcionado una actualización de software para Mountain Lion y versiones más recientes de OS X.

Como es habitual, las versiones anteriores de OS X con las que se puede atascar (porque el hardware no admite las versiones más recientes, porque se necesita Rosetta, ...) no están cubiertas por la actualización de seguridad.

Mis preguntas son:

  • está deshabilitando "establecer la fecha y la hora automáticamente" en las Preferencias de Software lo suficiente como para garantizar que ntpd no se esté ejecutando?

  • ¿Qué podría romperse si simplemente se eliminara el binario ntdp por seguridad en OS X Snow Leopard o Lion?

En caso de duda, podría usar estos instrucciones para limitar el alcance de ntpd sin deshabilitarlo / eliminarlo por completo, pero en este caso existe el riesgo de equivocarse y dejar ntpd expuesto.

    
pregunta Pascal Cuoq 23.12.2014 - 09:47

3 respuestas

7
  

¿está deshabilitando "establecer la fecha y la hora automáticamente" en las Preferencias de Software lo suficiente como para garantizar que ntpd no se esté ejecutando?

Sí .

Aquí está la manera de asegurarse de esto. Abra una ventana Terminal o xterm .

Ejecuta el siguiente comando:

ps ax | grep ntp

y observa que tienes un proceso ntpd en ejecución.

Abrir System Preferences y desactiva Set date and time automatically:

Verifique con el comando ps anterior que no tiene ningún proceso ntpd en ejecución.

No elimines el binario ntpd , esto no es necesario y te privará de la oportunidad de aprovechar una solución de Apple :).
  

En caso de duda, podría usar estas instrucciones para limitar el alcance

No .

Esta receta te dejará con un ntpd en ejecución y, por lo tanto, expuesto a un ataque.

    
respondido por el daniel Azuelos 23.12.2014 - 13:47
8

En lugar de deshabilitar ntpd, debe descargar la fuente para la versión 4.2.8 de ntp y compilarla usted mismo. Todo lo que necesitas es Xcode para Lion / SnowLeo. Debería funcionar en 10.6.xy 10.7.x simplemente bien.

He actualizado mi instalación 10.10 inmediatamente después de que el CVE se hiciera público y se liberara el código fuente, y no esperé a que Apple lanzara la actualización.

Para compilar ntpd, descargue la fuente de ntp.org y aplique el parche para OS X / FreeBSD. Después de aplicar este parche, podrá ejecutar "./configure & & make". Luego, puede copiar los archivos binarios en los directorios apropiados (/ usr / sbin / y / usr / bin /).

Para Mac OS X 10.7 (Lion):

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

Aquí está la lista de archivos y carpetas a la que pertenecen que se construirá a partir de la fuente anterior. Después de la compilación, todos estos archivos estarán en varias subcarpetas.

/usr/bin/sntp  
/usr/bin/ntp-keygen  
/usr/bin/ntpq  
/usr/sbin/ntpdc  
/usr/sbin/ntpdate  
/usr/sbin/ntpd

Renombra los antiguos usando algo como:

sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old

y luego mueva el nuevo hacia adentro. Asegúrese de chown los archivos después de moverlos en su lugar:

sudo chown root:wheel /usr/sbin/ntpd

Nota : no usé sudo make install porque no confiaba en el Makefile (no estaba seguro de que ubicaría los archivos en las mismas carpetas en las que Apple originalmente los colocó y quería para estar seguro de que todavía están en el mismo lugar que los antiguos). Mover manualmente 6 archivos no es un gran problema. El resto de los archivos (páginas del manual, páginas html, etc. son iguales, por lo que no tiene que molestar en moverlos).

    
respondido por el MelB 23.12.2014 - 22:34
1
  1. No he profundizado en la documentación de la violación en detalle. Normalmente, ntp realiza consultas periódicas a los servidores para obtener una corrección. Una vez establecida la tendencia del reloj local, estas consultas no son frecuentes.

  2. La mayoría de los firewalls están configurados para ignorar los paquetes de solicitud desde el exterior. Ntp Creo que utiliza UDP, que es nominalmente sin estado. Por lo general, un firewall permitirá que un paquete UDP vuelva a entrar por un período corto de tiempo después de que un paquete UDP haya salido. El paquete de retorno debe ser del IP correcto y tener el puerto correcto. Un sombrero negro tendría que subvertir su servidor DNS o subvertir su servidor NTP.

Entonces, ¿alguien explicaría cómo se pone realmente en juego esta amenaza, asumiendo que la persona no especifica pool.ntp.org como su servidor ntp?

Formas de evitar esto:

  1. Construir desde la fuente - arriba.
  2. Usa puertos mac Esto hace que la instalación sea bastante sencilla, aunque la construcción inicial llevará mucho tiempo y una buena cantidad de espacio. Más información enlace

También puedes usar Fink o Homebrew de esta manera, pero MacPorts parece ser menos dependiente del sistema operativo Apple, por lo que a largo plazo para un sistema más antiguo, sospecho que habrá menos dolor.

  1. Configure una máquina no vulnerable para que sea un servidor local ntp. Apunte las máquinas vulnerables al servidor ntp. En su firewall, bloquee tanto la salida como la entrada para ntp para todos, excepto para la máquina ntpserver. Cuando ejecuté una red de escuelas locales, tenía una máquina (freebsd) que ejecutaba una gran cantidad de servicios de red, incluido el ntp. Luego emitiría un único paquete ntp cada 64 segundos.
respondido por el Sherwood Botsford 29.12.2014 - 01:00

Lea otras preguntas en las etiquetas