さらにセキュリティを確保するために、パーソナルコンピュータでNTPデーモンを実行する必要がありますか？

Question 1

NTP はネットワーク時間プロトコルです。

NTPデーモンは、単にコンピュータの時計を低レベルのタイムサーバー（Debianの場合は*.debian.pool.ntp.orgデフォルト）と同期したままにします。コンピュータで実行することをお勧めしますが、セキュリティ関連の操作は実行されません。

インストールするには、以下を実行してください。

apt-get install ntp

Answer

NTP はネットワーク時間プロトコルです。

NTPデーモンは、単にコンピュータの時計を低レベルのタイムサーバー（Debianの場合は*.debian.pool.ntp.orgデフォルト）と同期したままにします。コンピュータで実行することをお勧めしますが、セキュリティ関連の操作は実行されません。

インストールするには、以下を実行してください。

apt-get install ntp

Question 2

時計はGUI画面に表示される可能性が高いので、正確な時計を維持することをお勧めします。間違った時間が表示され、混乱することがよくあります:)しかし、攻撃の表面を減らしてntpdate手動で一度だけ実行する必要がある場合、私の考えは悪い決断ではありません。

セキュリティの問題がありますが、パーソナルコンピュータではこれは非常に重要ではありません。推理：

正確な時計には2つのセキュリティ上の利点があります。

よく同期されたログ情報は、セキュリティ事故対応に非常に役立つと言われています。これはPCとは関係ありません。
日付が範囲外の場合、期限切れの特定のSSL証明書の期限切れに使用されるセキュリティメカニズムは正しく機能しません。

システムの実行中に日付の不一致が発生するほど、時計がドリフトすることを望まない。しかし、時計は他の理由で間違っている可能性があります。たとえば、RTCバッテリーが放電される可能性があります。

この場合は、nptdこのオプションで始めます（例：Debian initスクリプトのデフォルト）-g。どんなに古いものであっても、インターネットタイムサーバーに従って時計を設定します。

古い、期限切れのSSL証明書を同時に再生する攻撃に対して脆弱な可能性はほとんどありません。攻撃者はあなたの時計も古いと確信しています。誤ったクロックは、偽の否定エラーよりも偽の肯定エラーを引き起こす可能性が高いです。より大きなセキュリティ問題は、ユーザーがSSLの期限切れエラーによって混乱を感じ、実際のSSLエラーを「クリック」できることです。

しかし、私はこれが攻撃としてそれほど実用的ではないと思います。

「可用性」もセキュリティ属性ですが、これはサービス拒否につながる特定のアクティブな攻撃を意味します。ハードウェア障害またはユーザーエラーが原因で正確なタイムサービスが失われた場合、それ自体はセキュリティ障害ではありません。

2番目の理由は、NTPのセキュリティがSSL（https：//）またはapt-getのセキュリティとは異なるためです。ntpd -gそれにもかかわらず、敵対的なネットワークは間違った時間を検出して提供しようとします。

Answer

時計はGUI画面に表示される可能性が高いので、正確な時計を維持することをお勧めします。間違った時間が表示され、混乱することがよくあります:)しかし、攻撃の表面を減らしてntpdate手動で一度だけ実行する必要がある場合、私の考えは悪い決断ではありません。

セキュリティの問題がありますが、パーソナルコンピュータではこれは非常に重要ではありません。推理：

正確な時計には2つのセキュリティ上の利点があります。

よく同期されたログ情報は、セキュリティ事故対応に非常に役立つと言われています。これはPCとは関係ありません。
日付が範囲外の場合、期限切れの特定のSSL証明書の期限切れに使用されるセキュリティメカニズムは正しく機能しません。

システムの実行中に日付の不一致が発生するほど、時計がドリフトすることを望まない。しかし、時計は他の理由で間違っている可能性があります。たとえば、RTCバッテリーが放電される可能性があります。

この場合は、nptdこのオプションで始めます（例：Debian initスクリプトのデフォルト）-g。どんなに古いものであっても、インターネットタイムサーバーに従って時計を設定します。

古い、期限切れのSSL証明書を同時に再生する攻撃に対して脆弱な可能性はほとんどありません。攻撃者はあなたの時計も古いと確信しています。誤ったクロックは、偽の否定エラーよりも偽の肯定エラーを引き起こす可能性が高いです。より大きなセキュリティ問題は、ユーザーがSSLの期限切れエラーによって混乱を感じ、実際のSSLエラーを「クリック」できることです。

しかし、私はこれが攻撃としてそれほど実用的ではないと思います。

「可用性」もセキュリティ属性ですが、これはサービス拒否につながる特定のアクティブな攻撃を意味します。ハードウェア障害またはユーザーエラーが原因で正確なタイムサービスが失われた場合、それ自体はセキュリティ障害ではありません。

2番目の理由は、NTPのセキュリティがSSL（https：//）またはapt-getのセキュリティとは異なるためです。ntpd -gそれにもかかわらず、敵対的なネットワークは間違った時間を検出して提供しようとします。

Question 3

NTPに関連する2つの概念があります。 1つ目はNTPクライアント、2つ目はNTPサーバーです。

NTPサーバーはポート123を介してNTPクライアントに正確な時間を提供するため、DDOS攻撃の犠牲になる可能性があります。いくつかあります統計資料多くのNTPサーバーは、非常に古いバージョンのNTPデーモン（おそらく1/4以上）を使用しています。攻撃者はNTPデーモンの古いバージョンで発見された脆弱性を悪用する可能性があります。

しかし、NTPクライアントが必要なので問題ではありません。現地時間の同期パブリックNTPサーバーを使用します。あなたはする必要があります信頼できるサーバーを選択してください（例えばhttp://www.pool.ntp.org/ru/) デーモンを正しく設定してください。

Answer

NTPに関連する2つの概念があります。 1つ目はNTPクライアント、2つ目はNTPサーバーです。

NTPサーバーはポート123を介してNTPクライアントに正確な時間を提供するため、DDOS攻撃の犠牲になる可能性があります。いくつかあります統計資料多くのNTPサーバーは、非常に古いバージョンのNTPデーモン（おそらく1/4以上）を使用しています。攻撃者はNTPデーモンの古いバージョンで発見された脆弱性を悪用する可能性があります。

しかし、NTPクライアントが必要なので問題ではありません。現地時間の同期パブリックNTPサーバーを使用します。あなたはする必要があります信頼できるサーバーを選択してください（例えばhttp://www.pool.ntp.org/ru/) デーモンを正しく設定してください。

Question 4

各提案はPCとクライアントの両方に適用できますが、これについての背景知識が必要です... dr01が言ったように、この特定のサービスは時間中毒を避けることができます。ここ時間中毒について...

いくつかの有用な提案は次のとおりです。

常に信頼できるネットワーク内でサービスを実行してください。

つまり、サービスを実行する必要がある場合や実行する場合は、サービスをネットワーク内に維持する必要があります。セキュリティを維持するには、ルーターの背後に良いファイアウォールが必要です。

実際にサービスを実行してみると必要それ

あなたなら簡単です必要サービスを実行して実行しない場合は避けてください。より多くのサービスを実行すると、攻撃者が攻撃を試みることができるパスが増えます。

必要なサービス以外はrootでサービスを実行しないでください。

これは明らかですが、常に覚えておいてください。不要なサービスをrootとして実行しないでください。サービスのいずれかが破損すると、システム全体が破損します。

私たちのコミュニティには素晴らしいガイドがありますサービスセキュリティの保証現在実行中の他のサービスの詳細を検索する必要がある場合。

Answer