Disabilitazione di NTP su OS X Lion o precedente

9

A seguito di una nuova vulnerabilità di sicurezza nel pacchetto software Network Time Protocol , Apple ha fornito un aggiornamento software per Mountain Lion e versioni più recenti di OS X.

Come al solito, le versioni precedenti di OS X con cui si potrebbe essere bloccati (perché l'hardware non supporta le versioni più recenti, perché si ha bisogno di Rosetta, ...) non sono coperte dall'aggiornamento della sicurezza.

Le mie domande sono:

  • disabilitare “imposta data e ora automaticamente” in Preferenze software è sufficiente per garantire che ntpd non sia in esecuzione?

  • cosa potrebbe rompersi se il binario ntdp fosse semplicemente cancellato per sicurezza su OS X Snow Leopard o Lion?

Nel dubbio potrei usare queste istruzioni per limitare l'ambito di ntpd senza disabilitarlo / eliminarlo completamente, ma in questo caso permane il rischio di sbagliarlo e lasciare ntpd esposto.

macos  lion  snow-leopard  security  ntp 
Pascal Cuoq
fonte
Si prega di segnalare questa mancanza di correzione di sicurezza delle versioni che i clienti stanno ancora utilizzando ad Apple. → apple.com/feedback/macosx.html . Non hanno ancora un securityfeedback :(.
dan
1
@danielAzuelos Sono arrivato al punto di scrivere un post sul blog: blog.frama-c.com/index.php?post/2013/01/01/…
Pascal Cuoq
1
@PascalCuoq offtopic: Si potrebbe rivivere che iMac con convertirlo in Hackintosh con NUC) - google.com.ua/... Il pensiero non so se 17" . Ma vale la pena di 20" sicuramente fa
Iskra

Risposte:

7

disabilitare “imposta data e ora automaticamente” in Preferenze software è sufficiente per garantire che ntpd non sia in esecuzione?

.

Ecco il modo per assicurarti di questo. Apri una finestra Terminalo xterm.

Esegui il seguente comando:

ps ax | grep ntp

e noti che hai un ntpdprocesso in esecuzione.

Apri System Preferencese spegniSet date and time automatically:

Verificare con il pscomando sopra che non si abbia alcun ntpdprocesso in esecuzione.

Non rimuovere il file ntpdbinario, questo non è necessario e ti priverebbe della possibilità di approfittare di una correzione di Apple :).

Nel dubbio potrei usare queste istruzioni per limitare l'ambito

No .

Questa ricetta ti lascerà con una corsa ntpde quindi esposto ad un attacco.

dan
fonte
1
Per qualche motivo, deselezionando "imposta data e ora automaticamente" non mi ha ucciso il processo ntpd. Ho dovuto eseguire:sudo launchctl unload /System/Library/LaunchDaemons/org.ntp.ntpd.plist
user12719 il
2
Il comando che hai usato è esattamente quello che System Preferencessta facendo la GUI . Quando lo usi, dovresti verificare tail -f /var/log/system.logcosa potrebbe andare storto nel tuo System Preferences. Per indagare su questo problema, ti consiglio di lanciare un'altra domanda.
dan
8

Invece di disabilitare ntpd, è necessario scaricare il sorgente per la versione 4.2.8 di ntp e compilarlo da soli. Tutto ciò che serve è Xcode per Lion / SnowLeo. Dovrebbe funzionare su 10.6.xe 10.7.x bene.

Ho aggiornato la mia installazione 10.10 immediatamente dopo che il CVE è stato reso pubblico e il codice sorgente è stato rilasciato e non ho aspettato che Apple rilasci l'aggiornamento.

Per compilare ntpd, scarica il sorgente da ntp.org e applica la patch per OS X / FreeBSD. Dopo aver applicato questa patch, sarai in grado di eseguire "./configure && make". Quindi è possibile copiare i file binari nelle directory appropriate (/ usr / sbin / e / usr / bin /).

Per Mac OS X 10.7 (Lion):

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

Ecco l'elenco dei file e delle cartelle a cui appartengono che verranno creati dall'origine sopra. Dopo la compilazione, tutti questi file saranno in varie sottocartelle.

/usr/bin/sntp  
/usr/bin/ntp-keygen  
/usr/bin/ntpq  
/usr/sbin/ntpdc  
/usr/sbin/ntpdate  
/usr/sbin/ntpd

Rinomina quelli vecchi usando qualcosa come:

sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old

e poi sposta quello nuovo. Assicurati di chown i file dopo averli spostati in posizione:

sudo chown root:wheel /usr/sbin/ntpd

Nota : non l'ho usato sudo make installperché non mi fidavo del Makefile (non ero sicuro che avrebbe inserito i file nelle stesse cartelle in cui Apple li aveva originariamente posizionati e volevo essere sicuro che fossero ancora nello stesso punto del vecchio quelli). Lo spostamento manuale di 6 file non è un grosso problema. Il resto dei file (pagine man, pagine html, ecc. Sono gli stessi, quindi non devi preoccuparti di spostarli.)

Melb
fonte
si prega di aggiungere quali file devono essere copiati e dove
klanomath il
@klanomath Ho appena modificato il mio commento con maggiori informazioni. Fammi sapere se riscontri problemi.
MelB,
ho aggiunto il resto e 10 punti ;-)
klanomath il
che dire di ntpsnmpd?
klanomath,
1
Per coloro che non vogliono effettuare sostituzioni manuali, dovrebbe essere sufficiente eseguire ./configure --prefix='/usr'il passaggio iniziale e quindi eseguire il follow-up make ; sudo make install.
Trane Francks,
1

  1. Non ho approfondito la documentazione della violazione in dettaglio. Normalmente ntp effettua periodiche query ai server per ottenere una correzione. Una volta stabilita la deriva dell'orologio locale, queste query non sono frequenti.

  2. La maggior parte dei firewall sono configurati per ignorare i pacchetti di richiesta dall'esterno. Ntp penso che usi UDP che è nominalmente apolide. In genere, un firewall consente di riaccedere a un pacchetto UDP per una piccola finestra di tempo dopo che un pacchetto UDP è uscito. Il pacchetto di ritorno deve provenire dall'IP corretto e avere la porta corretta. Un cappello nero dovrebbe o sovvertire il server DNS o il server NTP.

Quindi qualcuno spiegherebbe come questa minaccia è effettivamente messa in gioco, supponendo che la persona non specifichi pool.ntp.org come suo server ntp?

Modi per aggirare questo:

  1. Costruisci dalla fonte - sopra.
  2. Usa le porte mac. Questo rende l'installazione abbastanza indolore, anche se la costruzione iniziale richiederà molto tempo e una buona porzione di spazio. Maggiori informazioni https://www.macports.org/

Puoi anche usare Fink o Homebrew in questo modo, ma i MacPorts sembrano essere meno dipendenti dal sistema operativo Apple, quindi nel lungo periodo per un sistema più vecchio sospetto che ci sarà meno dolore.

  1. Configurare una macchina non vulnerabile come server ntp locale. Indirizza i computer vulnerabili al server ntp. Nel firewall bloccare sia in entrata che in uscita per ntp per tutti tranne la macchina ntpserver. Quando gestivo una rete scolastica locale, avevo una macchina (freebsd) che gestiva un sacco di servizi di rete, incluso ntp. Trasmetterebbe quindi un singolo pacchetto ntp ogni 64 secondi.
Sherwood Botsford
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.