безопасность синхронизации времени

Помню в IOS (тот, что от Cisco) есть аутентификация по ключам, так что не всё так плохо. А вообще стоит напомнить ещё и про DNS : ) Сейчас в России это будет особенно актуально.

а накой оно там? при рассинхроне времени секурный софт будет просто ругаться и не работать

а накой оно там? при рассинхроне времени секурный софт будет просто ругаться и не работать

для того чтобы потом ещё и подсунуть и просроченный (взломанный) TLS/SSL-сертификат, например... не прокатит?

А вообще стоит напомнить ещё и про DNS

DNS не так страшен... ну не зайдёшь ты на пару сайтов, или не сможешь сделать обновление дистрибутива.

но в целом подмена DNS не компромитирует же безопасность https-трафика?!

так что с горем-пополам можно так иж и быть — слегка призакрыть глаза на дырявый DNS :-)

Помню в IOS (тот, что от Cisco) есть аутентификация по ключам, так что не всё так плохо

вот они — молодцы! да!

(то есть сам по себе NTP-протокол — не так плох?)

а остальные реализации?

ИМХО, сильно неправильное время ты заметишь, а несильно неправильное время в случае сертификата значения не сыграет.

DNS не так страшен... ну не зайдёшь ты на пару сайтов, или не сможешь сделать обновление дистрибутива.

Или зайдешь на какой-нибудь «левый» сайт, который будет выглядеть как настоящий, введешь там свои данные, нутыпонел.

Да, именно это я и имел в виду. Когда ip-шник не тот, что нужен. Для HTTPS нужно пошаманить с сертификатами, что не всегда получится.

Не они, а создатели протокола. Это же не их проприетарная реализация. Вот ссылко на офсайт http://www.ntp.org/ntpfaq/NTP-s-config-adv.htm

ИМХО, сильно неправильное время ты заметишь

думаю ты переоцениваешь мою внимательность :-D !

а несильно неправильное время в случае сертификата значения не сыграет.

ды на самом деле фиг бы с https .. можно продумать и другие применения!? так ведь?

например! предположим у меня на компьютере есть НЕбезопасный сервис (который можно взломать, подберя какие-то к нему простенькие данные по сети)

и предположим что Хакер в моём подъезде — знает что у меня на компьютере такой сервис.

если Хакер предварительно испортит время, а только потом начнёт свой взлом — то в итоге — когда я замечу что что-то не так я буду смотреть journalctl-события на определённые отрезки времени! (а ведь время-то (во время взлома) было уже НЕ ТО!)

запутать таким образом следы — это на много лучше чем удалить journal-файлы, ведь НЕудалённые journal-файлы будут больше времени мне пудрить мозги :-)

Поэтому, чтобы уснуть ночью и не бояться хакеров, настрой аутентификацию.

как я понял для этого требуется «настоящий» ntpd ?

timedatectl — остаётся уязвимым?

но а какже фанатские предпочтения? :)

мне придётся разорваться между Леннардом и паранойей? :-D

не пользуйся NTP, синхронизируй время вручную

твои опасения верны

Наиболее безопасный метод – использовать сеть GPS, спутники которой передают информацию о времени, или же длинноволновые передачи, хотя они не везде доступны.

https://marc.info/?l=openbsd-tech&m=142356166731390&w=2

Если все серъезно, то можно купить GPS приемник и сделать свой Stratum 1 сервер. На швабре даже статья про это была.

Хм, в таком ли случае не будут ли GSM-спутники 1-ым стратумом? Я всегда думал, что первый стратум - атомные часы.

если Хакер предварительно испортит время, а только потом начнёт свой взлом — то в итоге — когда я замечу что что-то не так я буду смотреть journalctl-события на определённые отрезки времени! (а ведь время-то (во время взлома) было уже НЕ ТО!)

Если заботишься о безопасности, то будет не лишним давать копию логов какому-нибудь rsyslog'у (systemd это умеет), и поставить какой-нибудь анализатор, который тебе расскажет о событиях независимо от текущего времени на компьютере. Также можно смотреть ВСЕ логи, не только для какого-то конкретного времени.

Вообще говоря, как мне кажется, любые потенциальные уязвимости софта в условиях постоянной смены времени можно обойти просто качеством кода, который будет это учитывать.

чтобы пресекать все эти Хакерские взломы — мне нужно понимать что именно твориться в голове школьника :-) .. какой он думает и какие у него идеи...

а так — вот подумал .. «чёрт, а NTP не является ли дырой?» (а дальше уже особо продолжить эту мысль я не в силах :))

при рассинхроне времени секурный софт будет просто ругаться и не работать

например, какой? Браузеры точно не реагируют на внезапный скачок системно времени на пару лет назад, и соответственно просроченный сертификат легко могут схавать

не пользуйся NTP, синхронизируй время вручную

твои опасения верны

последние пол года — так и делаю. :)

но как долго мне ещё так страдать? :-D решил создать тему... :)

чтобы пресекать все эти Хакерские взломы — мне нужно понимать что именно твориться в голове школьника

Подход неверен, надо делать такую безопасность, чтобы она нас не подвела независимо от того, что может быть в голове школьника. Эдак мы уподобимся шахматистам, которые проигрывают машинам потому, что не находят человеческой(!) логики в их действиях. Советую почитать книгу Шнайдера, кстати, я сам до конца ее не осилил, но вещь хорошая, по слухам.

а так — вот подумал .. «чёрт, а NTP не является ли дырой?»

Так или иначе, надо рассматривать все, что может повлиять на машину. Для построения надежной защиты из нормального софта обычно хватает чтения мануалов и небольшого копания в матчасти.

Вообще, если очень интересно, можешь спросить совета у ktulhu666, Gotf, возможно erfea. Был еще winddos, но он перестал сюда ходить.

Вообще, если очень интересно, можешь спросить совета у ktulhu666, Gotf, возможно erfea. Был еще winddos, но он перестал сюда ходить.

надо бы .. да...

Хороший вопрос. Чтоб не подсунули время под просроченный сертификат, просто синкай ручками. Я так всю жизнь и делаю. Если на сетку, локальный ntp сервер, контролируем только его. А вот если речь о уязвимостях связанных с временной дельтой малого размера тут даже хз что делать. У ТОРа такая есть, исключается проксёй с порезанием заголовков. Подозреваю что данное палево можно использовать где-то ещё, но тема имхо на данный момент не популярная...

Что касается отношения systemd ко всему этому — могу сказать только одно: если протокол NTP и предусматривает какие-то опциональные средства аутентификации серверов, то systemd-timesyncd их не умеет. Действительно, если всё настолько критично, то либо пользуйся другим NTP-клиентом (никто не запрещает), либо устанавливай время вручную / с помощью аппаратных источников точного времени.

в багтрекере — нет ещё на эту тему билетиков? (я конечно и сам погуглю, но вдруг ты уже знаешь)

в списках рассылки — не было обсуждений?

Не было обсуждений. Насчёт репортов не знаю.