Deshabilitar NTP en OS X Lion o anterior

9

Tras una nueva vulnerabilidad de seguridad en el paquete de software Network Time Protocol , Apple ha proporcionado una actualización de software para Mountain Lion y versiones más recientes de OS X.

Como de costumbre, las versiones anteriores de OS X con las que uno puede estar atascado (porque el hardware no admite versiones más nuevas, porque uno necesita Rosetta, ...) no están cubiertas por la actualización de seguridad.

Mis preguntas son:

  • ¿Deshabilitar "establecer fecha y hora automáticamente" en Preferencias de software es suficiente para garantizar que ntpd no se esté ejecutando?

  • ¿Qué podría romperse si el binario ntdp simplemente se eliminó por seguridad en OS X Snow Leopard o Lion?

En caso de duda, podría usar estas instrucciones para limitar el alcance de ntpd sin deshabilitarlo / eliminarlo por completo, pero en este caso sigue existiendo el riesgo de equivocarse y dejar expuesto ntpd.

macos lion snow-leopard security ntp Pascal Cuoq
fuente
Informe a Apple sobre esta falta de corrección de seguridad de las versiones que los clientes siguen utilizando. → apple.com/feedback/macosx.html . Todavía no tienen una securityentrada de comentarios :(.
dan
1
@danielAzuelos Llegué a escribir una publicación de blog: blog.frama-c.com/index.php?post/2013/01/01/…
Pascal Cuoq
1
@PascalCuoq offtopic: Es posible revivir ese iMac con la conversión a hackintosh con NUC) - google.com.ua/... pensamiento no sé si 17" . Sin embargo, vale la pena 20" sin duda lo hace
Iskra

Respuestas:

7

¿Deshabilitar "establecer fecha y hora automáticamente" en Preferencias de software es suficiente para garantizar que ntpd no se esté ejecutando?

.

Aquí está la manera de asegurarte de esto. Abre una ventana Terminalo xterm.

Ejecute el siguiente comando:

ps ax | grep ntp

y observe que tiene un ntpdproceso en ejecución.

Abrir System Preferencesy apagarSet date and time automatically:

Verifique con el pscomando anterior que no tiene ningún ntpdproceso en ejecución.

No elimine el ntpdbinario, esto no es necesario y lo privaría de la oportunidad de aprovechar una solución de Apple :).

En caso de duda, podría usar estas instrucciones para limitar el alcance

No se .

Esta receta te dejará corriendo ntpdy, por lo tanto, expuesto a un ataque.

dan
fuente
1
Por alguna razón, desmarcar "establecer fecha y hora automáticamente" no eliminó el proceso ntpd para mí. Tuve que ejecutar:sudo launchctl unload /System/Library/LaunchDaemons/org.ntp.ntpd.plist
user12719
2
El comando que usó es exactamente lo que System Preferencesestá haciendo la GUI . Al usarlo, debe verificar con tail -f /var/log/system.loglo que podría estar mal dentro de su System Preferences. Para investigar este problema, le aconsejo que inicie otra pregunta.
dan
8

En lugar de deshabilitar ntpd, debe descargar la fuente para la versión 4.2.8 de ntp y compilarlo usted mismo. Todo lo que necesitas es Xcode para Lion / SnowLeo. Debería funcionar en 10.6.xy 10.7.x bien.

He actualizado mi instalación 10.10 inmediatamente después de que el CVE se hizo público y se lanzó el código fuente, y no esperé a que Apple lanzara la actualización.

Para compilar ntpd, descargue la fuente de ntp.org y aplique el parche para OS X / FreeBSD. Después de aplicar este parche, podrá ejecutar "./configure && make". Luego puede copiar los archivos binarios en los directorios apropiados (/ usr / sbin / y / usr / bin /).

Para Mac OS X 10.7 (Lion):

mkdir ntpd-fix
cd ntpd-fix
curl http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.8.tar.gz | tar zxf -
cd ntp-4.2.8/ntpd
curl http://bugs.ntp.org/attachment.cgi?id=1165 | patch -p1
cd ..
./configure && make

Aquí está la lista de archivos y carpetas a los que pertenecen que se creará a partir de la fuente anterior. Después de la compilación, todos estos archivos estarán en varias subcarpetas.

/usr/bin/sntp  
/usr/bin/ntp-keygen  
/usr/bin/ntpq  
/usr/sbin/ntpdc  
/usr/sbin/ntpdate  
/usr/sbin/ntpd

Cambie el nombre de los viejos usando algo como:

sudo mv /usr/sbin/ntpd /usr/sbin/ntpd.old

y luego mueva el nuevo. Asegúrese de compartir los archivos después de moverlos en su lugar:

sudo chown root:wheel /usr/sbin/ntpd

Nota : no lo utilicé sudo make installporque no confiaba en el Makefile (no estaba seguro de que colocaría los archivos en las mismas carpetas en las que Apple los colocó originalmente y quería estar seguro de que todavía están en el mismo lugar que antes) unos) Mover manualmente 6 archivos no es un gran problema. El resto de los archivos (páginas de manual, páginas html, etc. son iguales para que no tenga que molestarse en moverlos).

MelB
fuente
agregue qué archivos deben copiarse y dónde
klanomath
@klanomath Acabo de editar mi comentario con más información. Avísame si tienes algún problema.
MelB
agregué el resto y 10 puntos ;-)
klanomath
¿Qué pasa con ntpsnmpd?
klanomath
1
Para aquellos que no quieren hacer reemplazos manuales, debería ser suficiente para ejecutar ./configure --prefix='/usr'como el paso inicial y luego seguir con make ; sudo make install.
Trane Francks
1

  1. No he profundizado en la documentación de la violación en detalle. Normalmente, ntp realiza consultas periódicas a los servidores para obtener una corrección. Una vez que se establece la deriva del reloj local, estas consultas no son frecuentes.

  2. La mayoría de los firewalls están configurados para ignorar los paquetes de solicitud desde el exterior. Ntp creo que usa UDP, que nominalmente no tiene estado. Por lo general, un cortafuegos permitirá que un paquete UDP vuelva a entrar por un breve lapso de tiempo después de que un paquete UDP se haya apagado. El paquete de devolución debe ser de la IP correcta y tener el puerto correcto. Un sombrero negro tendría que subvertir su servidor DNS o subvertir su servidor NTP.

Entonces, ¿alguien explicaría cómo esta amenaza realmente se pone en juego, suponiendo que la persona no especifique pool.ntp.org como su servidor ntp?

Formas de evitar esto:

  1. Construir desde la fuente - arriba.
  2. Utiliza puertos mac. Esto hace que la instalación sea bastante sencilla, aunque la construcción inicial llevará un tiempo considerable y una buena cantidad de espacio. Más información https://www.macports.org/

También puede usar Fink o Homebrew de esta manera, pero MacPorts parece ser menos dependiente del sistema operativo Apple, por lo que a la larga para un sistema más antiguo, sospecho que habrá menos dolor.

  1. Configure una máquina no vulnerable para que sea un servidor ntp local. Apunte máquinas vulnerables al servidor ntp. En el cortafuegos, bloquee tanto la salida como la entrada para ntp para todos menos la máquina ntpserver. Cuando dirigía una red escolar local, tenía una máquina (freebsd) que ejecutaba un montón de servicios de red, incluido ntp. Luego emitiría un solo paquete ntp cada 64 segundos.
Sherwood Botsford
fuente