ntpdなどのNTPコマンドはntpdate権限を持ち、ルートグループに属します。 root以外のユーザーとしてこれらのコマンドを実行する最良の方法は何ですか? Linuxの機能、所有権、アプローチがありますか?私はopenSUSE 13.2を使用していますが、役に立つ可能性のあるLinux機能がある場合はもっと好みます(もちろん該当する場合)。私はLinux機能のリストを見て、両方にCAP_DAC_OVERRIDE、、、、を適用してみましたが、成功しませんでした。CAP_SYS_ADMINCAP_SYS_RAWIOCAP_SYS_TIMEntpdntpdate
答え1
次の2つの設定オプションは、セキュリティを向上させるのに役立ちますntpd。
NTPD_OPTIONS="-g -u ntp:ntp"
NTPD_RUN_CHROOTED="yes"
説明する
NTPD_OPTIONS="-g -u ntp:ntp"--g起動時に一度設定すると、ntpdは1000に設定されたデフォルトのしきい値を無視します。-u ntp:ntpデーモンをntpユーザーとグループとして実行します。NTPD_RUN_CHROOTED="yes"- ntpdを実行する根を引いた、脆弱性の悪用によるダメージを軽減します。
ntpdはntpユーザーとして実行され、ntpdateを使用して手動で時間を調整するため、これは良いアプローチではありません。、なぜntpdateを気にするのか理解できません。手動クエリを強制するには、sudo ntpd -gq次のように/etc/sudoersファイルに追加します。
your-username ALL = (root) NOPASSWD: /usr/sbin/ntpd -gq