CentOS 7.5にNTP 4.2.6p5をインストールしました。 「ネットワークタイムプロトコルマルチセキュリティの脆弱性」の脆弱性のため、最新のNTPバージョン4.2.8p13にアップグレードする必要がありました。
今問題はyum whatprovides
。
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
この脆弱性を解決するために、NTPを最新バージョン4.2.8p13にアップグレードする方法を知っている人はいますか?
編集-1
ソースからNTPの最新バージョンをインストールしましたが、ソースからインストールした後にサービスを開始する方法がわかりません。
また、以前のrpmパッケージも削除しました。
編集2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
答え1
実際にはCentOSパッケージを使用する必要があります。すべてのバックポートされた修正があり、NTPが別のCVEをリリースするたびに再構築する必要があるソースで構築されたソリューションとは異なり、CentOSはセキュリティ更新プログラムを修正し続けます。
ただ「yum update ntp」を実行すると以下のすべてのCVEを解決しました。。これらのCVEが解決されていないと言う人もこのページを確認する必要があります。 Redhatは、これらの多くの場合、el7のntpパッケージも影響を受けないと言います。
セキュリティ監査人を盲目的に信頼しないでください。ほとんどの場合、彼らはWindowsシステム上でツールを実行し(Linuxについて知っていれば幸運です)、結果をオウムのように扱い、方法についての深い知識がない人だけです。実行してください。エンタープライズクラスのLinuxオペレーティングシステムがどのように機能するかをご覧ください。 Redhat(およびそれ以降のCentOS)は、セキュリティ修正を安定したパッケージバージョンにバックポートします。自分の最新バージョンを維持することは実際にもっとこれで、セキュリティ修正が発生するたびに再構築する必要があるため、セキュリティ上のリスクがあります。
編集:また、セキュリティ監査人またはntpを最新バージョンにアップグレードするように指示した人に指示して読んでください。バックポーティングに関するRedhat議論
。
答え2
私は多くのホストで信頼性と迅速な収束と時間を維持するためにntpの代わりにchronyを使用してきました。実際、RHEL / Centos 7.xからは、chronyが基本的に提供される主要なネットワークタイムパッケージだと思います。
ただし、お客様のリリースを継続するには、ベンダーが新しいバージョンをリリースするのを待つことができます。 RHEL / Centosの場合、パッケージに記載されているメジャーバージョンは通常、メジャーシステムリビジョン期間中は変更されません。パッチがバックポートされ、-#が変更を反映します。したがって、パッケージマニフェストにバージョンが表示されていても、現在のバージョンに更新される可能性が高くなります。これにより、管理者はパッケージの特定のバージョン番号を完全に確認して比較することが困難になります。
本当に新しいバージョンにアップグレードしたい場合は、ソースパッケージをダウンロードして新しいバージョンにアップグレードするための基盤として使用できます。いくつかの重要なパッケージに対してこれを行う必要がありました。それほど難しくありませんが、すでに存在するパッチをすべて削除する必要があります。