Доступен релиз переносимой редакции системы синхронизации точного времени OpenNTPD 6.8p1, развиваемой проектом OpenBSD. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от специального оборудования через sensorsd(8). Настройка осуществляется через файл конфигурации...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54249
Читая оригинал, видятся сишные дыры по всем пунктам. В переводе как-то не так очевидно. Очень рад за опенбсд, но продолжу пользоваться редхатовским chrony. Главный вопрос, зачем столько реализаций одного и того же?
>Главный вопрос, зачем столько реализаций одного и того же?"В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код)." у редгадовского chrony, нет первичной оглядки еа обеспечение безопастности.
Это пустые слова, ни о чём. Скорее там где больше корпоративных пользователей, там и меньше возможностей для ошибок, и они быстрее находятся.Я бы не стал использовать ничего связанного с опенбсд все опенбсд, вед тамошние разработчики прямо заявляли, что ошибочное поведение их кода в прочих системах их не беспокоит.
Так посмотрите в код и сделайте выводы. Даже беглого взгляда достаточно, чтобы понять, где overengineering, а где разумный для обычного компьютера или небольшой сети набор функций.
>https://chrony.tuxfamily.org/comparison.html#_securityТут написано что только на openbsd работает. Судя по фичам, chrony — это просто мастхэв, естественно что их поддержка потребует дополнительного кода (судя по размеру бинаря не так и много кода).
>>https://chrony.tuxfamily.org/comparison.html#_security
> Тут написано что только на openbsd работает.«Не всему написанному в Интернете можно верить» ©В.И.Ленин
> Даже беглого взгляда достаточно, чтобы понять, где overengineering, а где разумный для обычного компьютера или небольшой сети набор функций.Дайте угадаю,
> В фоновом процессе ntpd в процессе загрузки реализована безопасная установка и получение значения времени, даже на системах без автономного питания таймера.
до еще вчера дня был overengineering, но сегодня внезапно перешел в "разумный набор функций".
Типичное оправдание для NIH-синдрома:
— Я тут сделал велосипед, но не сделал регулировку седла по высоте, потому что это вредная и ненужная фича"!!!1
…Two years later…
— Смотрите, я прикрутил регулировку седла по высоте! Но регулировка руля пока еще вредная и ненужная фича!!!1
>[оверквотинг удален]
> Дайте угадаю,
>> В фоновом процессе ntpd в процессе загрузки реализована безопасная установка и получение значения времени, даже на системах без автономного питания таймера.
> до еще вчера дня был overengineering, но сегодня внезапно перешел в "разумный
> набор функций".
> Типичное оправдание для NIH-синдрома:
> — Я тут сделал велосипед, но не сделал регулировку седла по высоте,
> потому что это вредная и ненужная фича"!!!1
> …Two years later…
> — Смотрите, я прикрутил регулировку седла по высоте! Но регулировка руля пока
> еще вредная и ненужная фича!!!1Ну, если по-вашему разнос функциональности по зонам ответственности и изоляция на уровне процессов — это overengineering, то даже и не знаю что сказать-то. Удачи вам в с реальным кодом.
А лучше всё-таки загляните в сорцы, прежде чем голословно что-то утверждать.
Когда я ещё пытался использовать линукс в качестве десктопа, пользовался этой штукой на различных дистрах, проблем не было.
А у меня были проблемы, периодически обнаруживал на каком-нибудь хосте убежавшее время. Сейчас использую chrony и проблем нет.
>Сейчас использую chrony и проблем нет.Ну и отличненько.
Т.е. ты не используешь OpenSSH?
> Т.е. ты не используешь OpenSSH?Использую. Какой у меня выбор, putty? Клиент, допустим. Сервер lsh никуда не годится. А подождите, есть же dropbear, он повсюду! Я и забыл. Sftp не поддерживает, что ещё? Получается, можно и заменить при желании.
Удачи отуазаться от OpenSSH и OpenSSL.
Наоборот же, мы отказываемся от дырявой опенбсдшной либрессл в пользу опенссл.
> Удачи отуазаться от OpenSSH и OpenSSL.Опенсш предпочтительнее путти в качестве клиента, но дропбеар это не только сервер но и клиент. Я не использовал на клиенте если честно.
> Я бы не стал использовать ничего связанного с опенбсдПерестань использовать OpenSSH.
> Я бы не стал использовать ничего связанного с опенбсд все опенбсд,Выкиньте из своей системы OpenSSH. Выкиньте NTP-сервер, т.к. он использует пришедший из OpenBSD adjtime(2). Выкиньте весь софт, использующий мерзкий getentropy(2). Не ходите в Интернет через роутеры, работающие на OpenBGPd. Да, и не ходите на сервера, управляемые тем же OpenSSH, тоже. Выкиньте софт, использующий snprintf(3) и strlcpy(3). Продолжать?
> вед
> тамошние разработчики прямо заявляли, что ошибочное поведение их кода в прочих
> системах их не беспокоит.А если не выдирать слова из контекста, то жить не так интересно, ага.
Done, Done, Done, Done, Done, Done, Done. What's next?
> "В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код)."Типичная лапша на уши от Тео и Ко. Как показали не очень давние новости, дыры там встречаются достаточно эпичные, просто работает эффект неуловимого Джо.
> дырыПочему ты пишешь о ней во множественном числе?
https://www.cvedetails.com/vulnerability-search.php?f=1&prod...> достаточно эпичные
score 4.3
Для сравнения:
https://www.cvedetails.com/vulnerability-search.php?f=1&prod...
Я настолько разочаровался в этих базах CVE, что могу только горько усмехнуться, когда кто-то всерьёз в очередной раз что-то там сравнивает по ним. Клоунада чистой воды.
Научи нас, как правильно сравнивать, о великий гуру! Вот два проекта. Что делать, как понять, какой дырявее?
Никак ты не сравнишь, это всё пустое. Там, где больше исправлений, там дыр потенциально меньше. Или же код совсем плох, можно посмотреть на критичность проблем. Однако, в популярный софт злоумышленники пропихивают свои бэкдоры, это обратная сторона, но есть вероятность, что заметят раньше. Принцип Неуловимого Джо работает до тех пор, пока ты, или используемое тобой ПО, кого-нибудь да не заинтересует.
>Там, где больше исправлений, там дыр потенциально меньше.А не больше? Обосновать сможешь?
Число дыр величина плюс минус постоянная. Там, где их не нашли, они остаются. Все проекты, которые кичились отсутствием дыр и безопасностью, оказывались далеко не такими идеальными и дыры висели десятилетиями. Но их было некому найти, поскольку простотой и безопасностью объясняют и фактическую ущербность. Это не значит, что они не применялись при необходимости.
> Число дыр величина плюс минус постоянная. Там, где их не нашли, они
> остаются. Все проекты, которые кичились отсутствием дыр и безопасностью, оказывались далеко
> не такими идеальными и дыры висели десятилетиями. Но их было некому
> найти, поскольку простотой и безопасностью объясняют и фактическую ущербность. Это не
> значит, что они не применялись при необходимости.И что, в коде объёмом 1000 строк и 1000 000 строк будет одинаковое количество дыр, да?
Если 99000 строк макросы, пространные комментарии, и форматирование, то почему нет? Это встречается чаще, чем можно подумать. Если бинарник отличается в 2 раза, а фич больше раз в 100, это говорит только о том, что код не шибко эффективный.
А если нет? Что это вы вилять начали?
$ cat chony-4.0/*.[ch] | wc -l
49528
$ cat ntpd/*.[ch] | wc -l
5980Оценить количество комментариев и макросов, думаю, вы и сами сможете. Не говоря об объёме зависимостей, которые тоже суть код, работающий в контексте процесса.
Только вот сабж не работает в отличии от chrony.
> Читая оригинал, видятся сишные дырыСенсация! Срочно в номер! Сишные дыры умеют читать!
Тео - вождь.
Вождь крacноглазых.
Линус на эту тему выразился более метко, но менее политкорректно.
>Вождь крacноглазых.Торвальдс же.
>Тео - вождь.Индеец Тео Безопасно Неуловимый.
Везде, по возможности, использую OpenBSDишный софт. Изящно спроектированный, элементарный в настройке, супер стабильный и безопасный.Безусловно, один из самых значимых проектов.
ух, как живописал! Прямо презерватив, а не софт.
>NTP без Network Time SecurityОС позиционирующая себя как защищенная не планирует переход на безопасный стандарт?
Под NTS я имел ввиду RFC 8915
она не самая безопасная, она самая редкая и непроверенная. линь тоже был жутко безопасным, пока не стал популярен у корпораций)) единственная безопасность это другая платформа и небольшое её количество, вот тогда никто не полезет. например как были маки до перехода на интел. их было мало , хоть ось и была популярна, но она никому для взлома нафиг была не нужна и особенно руткиты под неё писать было оч неудобно. ну а как увеличили продажи вместе с интеллом, то и оказалось, что без антивиря жить не может как винда( ну почти), но там сильно упростили работы прав доступа, да и политика приложений на подобии флатпаков там уже давно.
О, божечки! Я же 13 лет сижу без антивируса на маке!!! Видимо, у меня по всей системе одни вирусы да руткиты. Бида-бида!!!
> В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код).То есть никто аудитом не занимался. Как только займутся, сразу окажется, что там дыра на дыре, как это обычно в OpenBSD.
Приведите пожалуйста примеры, чтобы я понимал о чём вы говорите. Пока что для меня ваша речь выглядит как наброс от неспециалиста.
https://www.opennet.me/opennews/art.shtml?num=51979
> We thank Theo de Raadt and the OpenBSD developers for their incredibly
> quick response: they published patches for these vulnerabilities less
> than 40 hours after our initial contact.Неплохо. Сразу видно, кто о безопасности действительно беспокоится.
А вот это чо за дыра?https://habr.com/ru/post/532556/
http://www.freezepage.com/1607909222JRSYNRXLUQ
И получаем SSH ключ.
Как-то хитро, не хочется вникать во все эти много буков, как они зарутились в SSH в двух словах?
Разве это не remote дыра которых в OpenBSD никогда не было и вот опять, кукареку.
Там шляпа.
Какой-то открытый 80 порт.
Имя пользователя, которое они узнали телепатически.
Я так понял, они через php приложение утащили ключ пользователя.
Похоже, что это подготовленная машина для взлома для тренировки ЧСВ.
Очередной кукарекаст, не умеющий то ли читать, то ли понимать прочитанное.
Это специально проделанная дыра. Там речь о каком-то конкурсе кулхацкеров. Специально поставили дырявый пхп-скрипт в преднамеренно криво настроенный апач, чтобы его ломали.
И тогда вопрос, а если не OpenBSD, то кто/что для безопасного headless шлюза?Разве есть еще другие варианты?
nuTyx OS
Местные одобряют
Да, васянская сборка это безопасно.
Linux - вы издеваетесь?
Какая железка?
Какая самая безопасная железка?
Beagebone Black вестимо
chrony лучше.Когда юзал сабж он не умел принудительно выставлять время, только плавные корректировки.
Если если часы уехали на пару дней и более оно будет целую вечность выправлять время, вместо того чтобы сразу выставить правильное время.
Он обязан так делать по RFC. Впрочем, опция -s, позволяющая наплевать на RFC, в нём тоже есть (лень заниматься изысканиями, насколько давно).
> Он обязан так делать по RFC. Впрочем, опция -s, позволяющая наплевать на
> RFC, в нём тоже есть (лень заниматься изысканиями, насколько давно).Более того, эта опция без пяти минут выкинута в пользу более любопытного механизма constraints, позволяющего грубо выставить время на основании HTTPS-запроса к доверенному серверу. ХЗ, как там с этим у chrony, если честно.
HTTPS со сбитыми часами? Ну-ну, удачи.
Ну, идите, сбейте часы у Google или у CloudFlare (используются в штатном примере конфига).
Имелось ввиду что часы могут быть сбиты на годы, и тогда валидация сертификата не пройдёт, тк он будет из будущего или прошлого.
Не хочу я этот костыль.
В том плане что если потребуется секурность то я озабочусь доверенным источником времени, но делать чтобы он отдавал его по https - фигня полная.
Справедливости ради, в общем случае доверенному источнику времени неоткуда взяться, так что хак с https может быть вполне оправдан.> Имелось ввиду что часы могут быть сбиты на годы, и тогда валидация сертификата не пройдёт, тк он будет из будущего или прошлого.
Я думаю, что разработчики не глупее нас и в случае начальной установки времени по https отрывают проверку даты действия сертификата.
Я всё пробовал, ничего не помогло.
Я сейчас не помню деталей, руку на отсечение не дам, но вроде бы у меня openntpd переставал работать после некоторого (продолжительного) аптайма. Это было много лет назад, сейчас, возможно, проблемы пофиксили, но никакого желания проверять это у меня нет, chrony всем устраивает (сейчас глянул, в установленном виде он вдвое больше, но в абсолютных цифрах это пара сотен килобайт)