¿Qué consecuencias / implicaciones pueden surgir de un reloj de sistema incorrecto?

8

¿Qué problemas puede pensar que puedan surgir de una configuración incorrecta del reloj del sistema?

Principalmente interesado en problemas potenciales que afectan a servidores y sistemas Linux o UNIX en particular.

¿Y cuán severas son estas consecuencias, dependiendo de cuánto tiempo esté apagado el sistema? Por ejemplo, 5 minutos, 30 minutos, 1 hora, 1 día.

Archimedix
fuente
El software de prueba por tiempo limitado puede pasar su fecha de vencimiento.
Simon Richter

Respuestas:

20

Bueno, por un lado, sus marcas de tiempo en todos sus registros estarán apagadas y no sincronizadas con otros servidores, lo que hace que sea muy difícil saber cuándo sucedieron las cosas. Además, la sincronización horaria se basa en algunos protocolos de seguridad (kerberos, por ejemplo).

Entonces, lo que digo es que la mayoría de las cosas continuarán funcionando normalmente, algunos protocolos o aplicaciones que dependen de un tiempo preciso pueden romperse, y usted, como administrador, generalmente tendrá algunos dolores de cabeza por ello.

Configure NTP contra un proveedor como pool.ntp.org o NIST y llámelo al día.

SpacemanSpiff
fuente
Ojalá pudiera votar esto más de una vez.
mfinni
1
Sí, estaba pensando en Kerberos y generadores de tokens de hardware como RSA SecurID también. Los registros son un buen punto, aunque no directamente crítico (al menos antes de que la Ley de Murphy vuelva a atacar). Utilizo NTP para mis servidores, excepto para un servidor virtual donde solo el host puede configurar la hora del sistema, y ​​ese mismo vserver está fuera de tiempo aproximadamente 6 minutos en este momento, por lo que estoy reflexionando sobre este problema en este momento.
Archimedix
Mucha gente tiene problemas con los problemas de tiempo de host a invitado, prefiero deshabilitar eso y dejar que cada invitado use NTP yo mismo. Las máquinas NetWare eran conocidas por esto.
SpacemanSpiff
bueno, la única forma para mí es contactar a mi proveedor, ya que no tengo el control del host de servidor múltiple para clientes.
Archimedix
Algunos sistemas operativos tienen un conmutador u opción para alternar si se sincroniza o no con el tiempo de "hardware", en este caso hardware virtual pero no obstante.
SpacemanSpiff
8

Aquí hay algunos:

  • Replicación MySQL
  • Consultas de bases de datos usando now () para la fecha / hora actual
  • scripts de copia de seguridad rsync
  • cualquier otra comunicación entre servidores

NTP es la mejor manera de mantener su hora correcta.

sreimer
fuente
ni siquiera darme cuenta de que pensar timestamping base de datos, lo que es una pesadilla que podría ser :)
SpacemanSpiff
Ayuda que haya tratado con ese problema
sreimer
Buen punto allí con marcas de tiempo, especialmente en bases de datos. Las aplicaciones que dependen de marcas de tiempo para clasificar o las personas que dependen de marcas de tiempo pueden causar algunos dolores de cabeza.
Archimedix
4

Agregaré que dos servidores DHCP de ISC que se ejecutan en modo de conmutación por error fallarán cuando el tiempo difiera en cierto umbral. Se negarán a reiniciar después de haber sido detenidos.

Editar: dependiendo de cómo esté configurado, el DNS también puede fallar porque los esclavos no podrán descargar zonas de sus maestros y sus zonas en caché finalmente caducarán.

joechip
fuente
4

Una fuente potencial de problemas que encontré hoy proviene de los scripts de rotación de copias de seguridad o instantáneas que se basan en el hecho de que su reloj nunca retrocederá, o en otras palabras, que nunca tendrá copias de seguridad nombradas con fechas y horas "del futuro", lo que puede hacer que simplemente eliminen esas copias de seguridad / instantáneas futuras (depende de cómo se implementen los scripts).

Además, algunas versiones de sudo pueden ser vulnerables a las reversiones de reloj, lo que permite a los sudoers con requisito de contraseña obtener root sin una contraseña.

Archimedix
fuente
3

El escritorio remoto y otras herramientas de acceso remoto pueden dejar de funcionar ya que dependen del tiempo para autenticarse. Esto puede hacer que la solución de problemas sea muy frustrante (intenta controlarlo a distancia para solucionar el problema, pero ni siquiera puede hacerlo).

Tenía esto en una máquina que de alguna manera pensaba que el año era 8011 en lugar de 2011. Los certificados SSL también caducaron.

Andy
fuente
2

Mi problema más molesto hasta el momento: expirar los certificados SSL. Muy molesto cuando no puedes entender por qué no funcionan.

Lucas Kauffman
fuente