Quali conseguenze / implicazioni possono derivare da un orologio di sistema sbagliato?

8

Quali problemi riesci a pensare che potrebbero derivare da un'errata impostazione dell'orologio di sistema?

Principalmente interessato a potenziali problemi che interessano in particolare server e sistemi simili a Linux o UNIX.

E quanto gravi sono queste conseguenze, a seconda di quanto tempo di sistema è spento? Ad esempio, 5 minuti, 30 minuti, 1 ora, 1 giorno.

unix  linux  time  time-synchronization  clock-synchronization 
Archimedix
fonte
Il software di prova a tempo limitato potrebbe andare oltre la data di scadenza.
Simon Richter,

Risposte:

20

Bene per uno i tuoi timestamp su tutti i tuoi registri saranno disattivati ​​e non sincronizzati con altri server, il che rende molto difficile capire quando sono successe le cose. Inoltre, per alcuni protocolli di sicurezza si fa affidamento sulla sincronizzazione dell'ora (ad esempio Kerberos).

Quindi quello che sto dicendo è che la maggior parte delle cose continuerà a funzionare normalmente, alcuni protocolli o applicazioni che si basano su tempi precisi potrebbero rompersi e tu come amministratore generalmente avrai qualche mal di testa per questo.

Configura NTP con un provider come pool.ntp.org o NIST e chiamalo un giorno.

spacemanspiff
fonte
Vorrei poter votare questo più di una volta.
mfinni,
1
Sì, stavo pensando anche a generatori di token hardware e Kerberos come RSA SecurID. I tronchi sono un buon punto, anche se non direttamente critico (almeno prima che la Legge di Murphy colpisca ancora). Uso NTP per i miei server ad eccezione di un server virtuale in cui solo l'hoster può impostare l'ora del sistema e quello stesso server virtuale è inattivo circa 6 minuti in questo momento, motivo per cui sto riflettendo su questo problema in questo momento.
Archimedix,
Molte persone hanno problemi con l'host per i problemi di orario degli ospiti, preferisco disabilitarlo e lasciare che ogni ospite usi NTP da solo. Le macchine NetWare erano famose per questo.
SpacemanSpiff
beh, l'unico modo per me è contattare il mio fornitore, poiché non ho il controllo dell'host vs-server multi-cliente.
Archimedix,
Alcuni sistemi operativi hanno un interruttore o un'opzione per attivare o disattivare la sincronizzazione con l'ora "hardware", in questo caso l'hardware virtuale ma comunque.
SpacemanSpiff
8

Eccone alcuni:

  • Replica MySQL
  • Query del database utilizzando now () per la data / ora correnti
  • script di backup rsync
  • qualsiasi altra comunicazione tra server

NTP è il modo migliore per mantenere il tuo tempo corretto.

sreimer
fonte
non mi sono nemmeno reso conto di pensare al timestamp del database, che incubo che potrebbe essere :)
SpacemanSpiff
Mi aiuta a
risolvere il
Buon punto lì con i timestamp, specialmente nei database. Le applicazioni che fanno affidamento su timestamp per l'ordinamento o le persone che fanno affidamento su timestamp potrebbero causare mal di testa.
Archimedix,
4

Aggiungerò che due server DHCP ISC in esecuzione in modalità failover falliranno quando il tempo differisce di una determinata soglia. Rifiuteranno di riavviare dopo essere stati arrestati.

Modifica: a seconda di come è configurato, anche il DNS può fallire perché gli slave non saranno in grado di scaricare zone dai loro padroni e le loro zone memorizzate nella cache alla fine scadranno.

joechip
fonte
4

Una potenziale fonte di problemi che ho riscontrato oggi proviene da script di rotazione di backup o snapshot che si basano sul fatto che il tuo orologio non andrà mai indietro, o in altre parole, che non avrai mai backup denominati con date e orari "dal futuro", che potrebbe causare loro di rimuovere solo quei futuri backup / istantanee (dipende da come vengono implementati gli script).

Inoltre, alcune versioni di sudo potrebbero essere vulnerabili ai rollback dell'orologio, consentendo ai sudoer con requisiti di password di ottenere il root senza una password.

Archimedix
fonte
3

Il desktop remoto e altri strumenti di accesso remoto potrebbero smettere di funzionare poiché si basano sul tempo necessario per l'autenticazione. Ciò può rendere molto frustrante la risoluzione dei problemi (si tenta di accedere in remoto per risolvere il problema, ma non è nemmeno possibile farlo).

Lo avevo su una macchina che pensava in qualche modo che l'anno fosse l'8011 anziché il 2011. Anche i certificati SSL erano scaduti.

Andy
fonte
2

Il mio problema più fastidioso ancora: Scadenza dei certificati SSL. Molto fastidioso quando non riesci a capire perché non funzionano.

Lucas Kauffman
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.