OS X Lion以前でのNTPの無効化

Apple は、Network Time Protocolソフトウェアパッケージの新しいセキュリティ脆弱性に続いて、Mountain Lionおよび新しいバージョンのOS X用のソフトウェアアップデートを提供しています。

いつものように、行き詰まっている可能性のある古いバージョンのOS X（ハードウェアは新しいバージョンをサポートしていないため、Rosettaが必要なので…）は、セキュリティアップデートの対象外です。

私の質問は：

ソフトウェア設定で「日付と時刻を自動的に設定」を無効にして、ntpdが実行されていないことを確認しますか？
OS X Snow LeopardまたはLionで安全のためにntdpバイナリが単に削除された場合、何が壊れるか？

疑わしいのですが、これらの手順を使用して、完全に無効化/削除せずにntpdのスコープを制限するかもしれませんが、この場合、誤解してntpdが公開されたままになるリスクが残っています。

— パスカルクオック
ソース

顧客がまだ使用しているバージョンのこのセキュリティフィックスの欠如をアップルに報告してください。→ apple.com/feedback/macosx.html。彼らは持っていないsecurity、まだフィードバックエントリを:(。

— ダン

@danielAzuelosブログ記事を書くところまで行きました：blog.frama-c.com/index.php

— Pascal Cuoq 2014

@PascalCuoq offtopic：あなたはiMacがNUCともっともらしいし、それを変換して）ことを復活させるかもしれない- google.com.ua/...思想私が17"かどうかを知りません。価値トラブルそれでも20"間違いありません

— イスクラ

回答:

ソフトウェア設定で「日付と時刻を自動的に設定」を無効にして、ntpdが実行されていないことを確認しますか？

はい。

これを自分で保証する方法は次のとおりです。Terminalまたはxtermウィンドウを開きます。

次のコマンドを実行します。

ps ax | grep ntp

ntpdプロセスが実行されていることに注意してください。

開いSystem PreferencesてオフにするSet date and time automatically:

ps上記のコマンドで、ntpd実行中のプロセスがないことを確認してください。

ntpdバイナリを削除しないでください。これは必須ではなく、Appleの修正を利用する機会を奪います:)。

疑わしい範囲を制限するためにこれらの指示を使用するかもしれません

いいえ。

このレシピは実行中のままntpdであり、攻撃にさらされます。

— 段
ソース

何らかの理由で「日付と時刻を自動的に設定する」のチェックを外しても、ntpdプロセスが強制終了されませんでした。私は実行しなければなりsudo launchctl unload /System/Library/LaunchDaemons/org.ntp.ntpd.plist

— ませんでした

使用したコマンドは、まさにGUI System Preferencesが実行しているものです。使用する場合は、tail -f /var/log/system.log内で何が問題になっているのかを確認する必要がありますSystem Preferences。この問題を調査するには、別の質問をすることをお勧めします。

— dan 2014

ntpdを無効にする代わりに、ntpのバージョン4.2.8のソースをダウンロードして、自分でコンパイルする必要があります。必要なのは、Xcode for Lion / SnowLeoだけです。10.6.xと10.7.xで問題なく動作するはずです。

CVEが公開されてソースコードがリリースされた直後に10.10インストールを更新しました。Appleが更新をリリースするのを待ちませんでした。

ntpdをコンパイルするには、ntp.orgからソースをダウンロードし、OS X / FreeBSDのパッチを適用します。このパッチを適用すると、「./ configure && make」を実行できるようになります。次に、バイナリを適切なディレクトリ（/ usr / sbin /および/ usr / bin /）にコピーできます。

Mac OS X 10.7（Lion）の場合：

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

上記のソースから作成される、それらが属するファイルとフォルダーのリストを次に示します。コンパイル後、これらのファイルはすべてさまざまなサブフォルダーに配置されます。

/usr/bin/sntp  
/usr/bin/ntp-keygen  
/usr/bin/ntpq  
/usr/sbin/ntpdc  
/usr/sbin/ntpdate  
/usr/sbin/ntpd

次のようなものを使用して古いものの名前を変更します。

sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old

次に、新しいファイルを移動します。ファイルを所定の位置に移動したら、必ずファイルをchownしてください。

sudo chown root:wheel /usr/sbin/ntpd

注：sudo make installMakefileを信頼していなかったため、私は使用しませんでした（Appleが最初にファイルを配置したフォルダと同じフォルダにファイルが配置されるかどうか確信がなく、古いファイルと同じ場所にあることを確認したいもの）。6つのファイルを手動で移動することは大きな問題ではありません。残りのファイル（manページ、htmlページなどは同じなので、移動する必要はありません。）

— MelB
ソース

コピーするファイルとコピー先を追加してください

— klanomath

@klanomath私はコメントを編集して詳細情報を追加しました。問題が発生した場合はお知らせください。

— MelB 2014

私は残りと10ポイントを追加しました;-)

— クラノマス

ntpsnmpdはどうですか？

— クラノマス2014

手動での置き換えを望まない場合は./configure --prefix='/usr'、最初のステップとして実行してから、でフォローアップするだけで十分ですmake ; sudo make install。

— Trane Francks、2014

私は違反のドキュメントを詳しく調べていません。通常、ntpはサーバーに定期的にクエリを送信して修正を取得します。ローカルクロックのずれが確立されると、これらのクエリは頻繁に行われなくなります。
ほとんどのファイアウォールは、外部からの要求パケットを無視するように構成されています。Ntp名目上ステートレスなUDPを使用していると思います。通常、ファイアウォールでは、UDPパケットが送信された後、UDPパケットが短い時間内に戻されます。戻りパケットは正しいIPからのものであり、正しいポートを持っている必要があります。ブラックハットは、DNSサーバーを破壊するか、NTPサーバーを破壊する必要があります。

それで、誰かが彼のntpサーバーとしてpool.ntp.orgを指定しないと仮定して、誰かがこの脅威が実際にどのように実行されるかを説明しますか？

これを回避する方法：

ソースからビルド-上記。
Macポートを使用します。これにより、インストールはかなり簡単になりますが、最初のビルドにはかなりの時間とかなりのスペースがかかります。詳細https://www.macports.org/

この方法でFinkまたはHomebrewを使用することもできますが、MacPortsはApple OSへの依存度が低いため、古いシステムでは長期的に見ると痛みが少ないと思います。

脆弱性のないマシンをローカルのntpサーバーとして構成します。脆弱なマシンをntpサーバーに向けます。ファイアウォールで、ntpserverマシン以外のすべてのntpの発信と着信の両方をブロックします。地元の学校のネットワークを実行しているとき、ntpを含む一連のネットワークサービスを実行するマシン（freebsd）が1台ありました。次に、64秒ごとに1つのntpパケットをブロードキャストします。

— シャーウッドボッツフォード
ソース