OpenNTPDでいこう (FreeBSD 10.1R、2015/01/31) [FreeBSD]
OpenSSLのダメさを調べている過程で、OpenNTPDというキーワードが浮上してきました。OpenNTPD自体は以前から知っており、OpenBSDプロジェクト内で開発しているソフトウェアであることや、シンプルであること、厳密な精度としてはntpdに劣ること(ほんのちょっとですが)などは既知でした。
しかしここにきて、ntpdは非常に複雑な実装をしているらしく、OpenSSLほどではないですが、ソースコードの肥大化など若干のイケてない要素があると再認識させられました。ま、ntpdに関する脆弱性は、確かに目にするんですよね。
と、思い立ったが吉日。私の手はOpenNTPDをインストールしていました。インストールはとっても簡単。pkg install openntpdとタイピングするのみ。
FreeBSD標準のntpdでは、driftfileやら、fudgeやら、restrictやら、いろいろとオプションがあります。面倒なのでマニュアルを一切見ずにntpdのコンフィグをOpenNTPDに全て移植したら、軒並み文法エラーと表示される始末(当たり前ですが)。
結論から言うと、オプションなんてほとんどありませんでした。結局ちゃんと調べて入力したのは「server ntp.so-net.ne.jp」というたった一行。これはこれで潔いですね。OpenBSDプロジェクトのアイデンティティであり、OpenBSDがOpenBSDたる所以が少し分かりました。
個人的には、相手のntpdサーバに負荷を掛けたくないのでポーリング時間を1000~2000秒間隔ぐらいまで増やしたかったのですけどね。…と思ったら、安定したらそのぐらいまの同期間隔が増えてました。すげぇ。
しかしここにきて、ntpdは非常に複雑な実装をしているらしく、OpenSSLほどではないですが、ソースコードの肥大化など若干のイケてない要素があると再認識させられました。ま、ntpdに関する脆弱性は、確かに目にするんですよね。
---------------------------------------------------------------------------------------------------------
FreeBSD-SA-14:31.ntp Security Advisory
The FreeBSD Project
Topic: Multiple vulnerabilities in NTP suite
Category: contrib
Module: ntp
Announced: 2014-12-23
Affects: All supported versions of FreeBSD.
Corrected: 2014-12-22 19:07:16 UTC (stable/10, 10.1-STABLE)
2014-12-23 22:56:01 UTC (releng/10.1, 10.1-RELEASE-p3)
2014-12-23 22:55:14 UTC (releng/10.0, 10.0-RELEASE-p15)
2014-12-22 19:08:09 UTC (stable/9, 9.3-STABLE)
2014-12-23 22:54:25 UTC (releng/9.3, 9.3-RELEASE-p7)
2014-12-23 22:53:44 UTC (releng/9.2, 9.2-RELEASE-p17)
2014-12-23 22:53:03 UTC (releng/9.1, 9.1-RELEASE-p24)
2014-12-22 19:08:09 UTC (stable/8, 8.4-STABLE)
2014-12-23 22:52:22 UTC (releng/8.4, 8.4-RELEASE-p21)
CVE Name: CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296
---------------------------------------------------------------------------------------------------------と、思い立ったが吉日。私の手はOpenNTPDをインストールしていました。インストールはとっても簡単。pkg install openntpdとタイピングするのみ。
FreeBSD標準のntpdでは、driftfileやら、fudgeやら、restrictやら、いろいろとオプションがあります。面倒なのでマニュアルを一切見ずにntpdのコンフィグをOpenNTPDに全て移植したら、軒並み文法エラーと表示される始末(当たり前ですが)。
結論から言うと、オプションなんてほとんどありませんでした。結局ちゃんと調べて入力したのは「server ntp.so-net.ne.jp」というたった一行。これはこれで潔いですね。OpenBSDプロジェクトのアイデンティティであり、OpenBSDがOpenBSDたる所以が少し分かりました。
個人的には、相手のntpdサーバに負荷を掛けたくないのでポーリング時間を1000~2000秒間隔ぐらいまで増やしたかったのですけどね。…と思ったら、安定したらそのぐらいまの同期間隔が増えてました。すげぇ。
root@mybsd:~ # ntpctl -s all 1/1 peers valid, clock synced, stratum 3 peer wt tl st next poll offset delay jitter 210.139.246.140 ntp.so-net.ne.jp * 1 10 2 957s 1552s 0.384ms 4.705ms 0.311ms
タグ:openntpd
コメント 0