Caros Paulo e Cleiton 2015-10-10 8:16 GMT-03:00 Paulo Henrique - BSDs Brasil < paulo.rd...@bsd.com.br>:
> Opa Eduardo como está, respostas no final do e-mail !! > > > Em 10/10/2015 07:52, Eduardo Lemos de Sa escreveu: > >> Oi Paulo >> >> Obrigado por sua atenção (meus comentários vêm no final deste email). >> >> 2015-10-09 23:24 GMT-03:00 Paulo Olivier Cavalcanti < >> procavalca...@gmail.com >> >>> : >>> Em 09/10/2015 22:02, Eduardo Lemos de Sa escreveu: >>> >>>> Caríssimos >>>> >>>> Eu tenho várias máquinas rodando o 10.2-RELEASE (atualizadas >>>> >>> semanalmente). >>> >>>> Para a minha surpresa, recebi esta mensagem do CAIS (Centro de >>>> >>> Atendimento >>> >>>> a Incidentes de Seguranca): >>>> [...] >>>> >>>> >>>> *Por favor, alguém tem algum comentário a fazer sobre isto?* >>>> >>>> >>>> *Agradeço desde já a atenção* >>>> >>>> >>>> *Um abraço* >>>> >>>> >>>> >>>> *Edu* >>>> >>>> A versão do ntpd que vem com o 10.2 é a 4.2.8p3-a (1). Portanto ela não >>> está vulnerável, segundo o CAIS. >>> >>> Rodei o comando para o IP do servidor do meu trabalho e não retornou >>> qualquer mensagem. Qual versão vc tá usando do ntpd? >>> >>> >>> Isto é o que eu achei mais estranho: >> >> >> ntpd --version >> >> ntpd 4.2.8p3-a (1) >> >> >> o que significa que não está vulnerável, mas o ntpq -c rv ipdamaquina não >> retorna timeout. Todas as outras 4 máquinas rodam a mesma versão do >> FreeBSD >> e do ntpd, porém só reclamaram de uma única máquina !?!? >> >> Outra descoberta interessante: eu habilitei, para testes, o ntpdate - e >> desabilitei o ntpd . Como eu acredito que o ntpdate não lê as >> configurações >> no ntp.conf, eu obtive dois resultados interessantes: >> >> 1) o ntpq -c rv ipdamaquna retorna timeout >> 2) o ntpdate me retorna: >> >> Setting date via ntp. >> 10 Oct 07:46:21 ntpdate[88545]: step time server 200.160.7.193 offset >> 0.000012 sec >> >> O que não seria estranho se, no momento do boot, eu não recebesse >> mensagens >> dizendo que alguém (o Centro de Computação Eletrônica da minha >> universidade) bloqueou o acesso à rede na porta usada pelo ntp. Logo, os >> horários são sempre desatualizados. >> >> Um abraço e, novamente, obrigado pela atenção >> >> Edu >> >> > Bom creio que você está se confundindo quanto ao ntpd e o ntpdupdate. > Devido a utilização de daemons ntpd em ataques DDOS de amplificação de > ntp/udp o recomendável é ter configurações no firewall para que apenas um > ou daemons locais tenha acesso aos ips dos servidores do pool da NIC.br, as > demais maquinas devem utilizar esses dois hosts com permissão de acesso aos > pools da NIC.br para sincronizar os seus relógios. > > Em resumo o recomendado seria: > > Maquina X e Y rodam o ntpd para sincronizar com o NIC.br. ( aqui usamos o > ntpd ) > Maquina A, B, C ... utilizam o ntpdate apontando para as maquinas X e Y > para sincronizar os seus relógios. > > A diferença de horário ficará muito baixa, quase que despresivel entre A, > B, C ... e as maquinas do NIC.br, com relação a segurança a possivilidade > de alguém usar a sua infraestrutura para efetuar amplificação de DDoS > UDP/ntp será sanada. > > Att. > Agradeço ao Paulo pela explicação. De qualquer modo, se eu inicio o nptdate ao invés do ntpd, os problemas desaparecem. Fica a dica se mais alguém encontrar este problemas. Cleiton, eu te enviei um email onde segue o texto completo enviado pelo CAIS. Espero que ele te seja útil. Um abraço Eduardo > -- >> >>> http://about.me/paulocavalcanti >>> >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> >> >> > -- > :UNI><BSD: > > Paulo Henrique. > UnixBSD Tecnologia > Segurança em Tecnologia da Informação. > Fone: (21) 96713-5042 / (21) 3708-9388 > Site: https://www.unixbsd.com.br > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > -- Eduardo Lemos de Sa Associated Professor Level 4 Dep. Quimica da Universidade Federal do Paraná fone: +55(41)3361-3300 fax: +55(41)3361-3186 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
