The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Доступен NTP-сервер NTPsec 1.2.3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от opennews (??), 31-Дек-23, 22:54 
После года разработки опубликован выпуск  системы синхронизации точного времени NTPsec 1.2.3, являющейся форком эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированным на переработке кодовой базы с целью повышения безопасности (выполнена чистка устаревшего кода, задействованы методы предотвращения атак, защищённые функции для работы с памятью и строками). Проект  развивается под руководством Эрика Реймонда (Eric S. Raymond) при участии некоторых разработчиков оригинального NTP Classic, инженеров из компаний Hewlett Packard и Akamai Technologies, а также проектов GPSD и RTEMS. Исходные тексты NTPsec распространяются под лицензиями BSD, MIT и NTP...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60377

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (-), 31-Дек-23, 22:54 
Странно на главной
"Доступен NTP-сервер NTPsec 1.2.3 ( +4)" - вроде сообщения есть, а вроде и нет (как и лога модерирования)
Ответить | Правка | Наверх | Cообщить модератору

2. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 31-Дек-23, 23:48 
Кому не пофиг на безопасность — ушли на chrony, кому пофиг ­— остались на ISC NTPD.
Ответить | Правка | Наверх | Cообщить модератору

4. "Доступен NTP-сервер NTPsec 1.2.3"  –2 +/
Сообщение от Аноним (4), 01-Янв-24, 02:08 
Кому не пофиг используют сразу несколько разных.
Ответить | Правка | Наверх | Cообщить модератору

22. "Доступен NTP-сервер NTPsec 1.2.3"  +1 +/
Сообщение от Аноним (2), 01-Янв-24, 14:25 
Чтобы хотя бы через один ломанули?
Ответить | Правка | Наверх | Cообщить модератору

45. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (4), 01-Янв-24, 19:52 
Ну ломанут, и что дальше-то с ним делать будут? 123/udp рейт-лимитится в обоих направлениях, всё остальное блэкхолится с алертом ещё до того, как во внутреннюю сеть попадёт. Если алерт без внимания три часа, виртуалка автоматически гасится с ещё более громким алертом. Диск у виртуалки в r/o и на нём только то, что нужно для запуска ntpd, даже SSH нет. В случае проблем с конкретной реализацией дежурный админ в ранбуке выбирает галочками кого снести, а кого оставить, а дальше автоматика уберёт лишнее и добавит недостающее. У нас так все публичные сервисы устроены, и ntp, и dns, и smtp, и http reverse proxy.
Ответить | Правка | Наверх | Cообщить модератору

61. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 02-Янв-24, 00:53 
Как минимум, можно продолжить дальше ломать внутреннюю сеть через NTP, либо попробовать вылезти в гипервизор.
Ответить | Правка | Наверх | Cообщить модератору

75. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (4), 02-Янв-24, 23:18 
А как гипервизор защищён, и как он мониторится — это совершенно иная история. Неуязвимых систем не бывает, но security in depth работает потому, что даёт время и возможность кому-то что-то заметить. Остальные — воля божия.
Ответить | Правка | Наверх | Cообщить модератору

5. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Vaso Kutaisskiy (?), 01-Янв-24, 02:27 
Кому не пофиг на безопасность, настраивают службы времени оффлайн ручками...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (7), 01-Янв-24, 03:41 
Настраиваем автоматически, потом отключаем.
Ответить | Правка | Наверх | Cообщить модератору

11. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от 12yoexpert (ok), 01-Янв-24, 06:09 
один раз не роскомнадзор?
Ответить | Правка | Наверх | Cообщить модератору

9. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (9), 01-Янв-24, 05:16 
Да да, часы подводят раз в неделю
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

12. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 07:51 
Осталось убедить ntp*.vniiftri.ru подключить NTPSec и IPv6 )))
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (4), 01-Янв-24, 07:56 
Зачем, если у pool.ntp.org всё есть?
Ответить | Правка | Наверх | Cообщить модератору

14. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 08:12 
Хотя бы тем, что у ntp*.vniiftri.ru Stratum I, а не Stratum II. В pool IPv6 поддерживают только 2* сервера, все остальные даже резолвятся только по IPv4.
Ответить | Правка | Наверх | Cообщить модератору

16. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 01-Янв-24, 10:03 
Тут еще вопрос в востребованности v6 клиентами. Выставил собственный Stratum 1 в pool.ntp.org. По статистике соотношение запросов v6/v4 плавает в районе 1/120
Ответить | Правка | Наверх | Cообщить модератору

17. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 10:47 
Я понимаю, что РФ не в передовиках по внедрению IPv6 (если IPv6 only вообще стоит копировать), но во многих странах именно IPv6 only c IPv4 через 464xlat.

> Выставил собственный Stratum 1 в pool.ntp.org...

В центральных регионах из pool'а часто перенаправляет на NTP сервер производителя глючных производственных дверей. Как-то анализировал трафик ещё лет 10 назад на предприятии и словил "а это г... что тут делает?" и с тех пор везде ntp*.vniiftri.ru прописываю. К госинституции у меня больше доверия в этом плане.

Ответить | Правка | Наверх | Cообщить модератору

20. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 01-Янв-24, 12:32 
У меня сервер анонсирован как доступный со всего мира, так что плюс-минус лапоть соотношение 1 к 120 общемировое для ntp-клиентов.
Ответить | Правка | Наверх | Cообщить модератору

21. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 12:50 
> У меня сервер анонсирован как доступный со всего мира, так что плюс-минус
> лапоть соотношение 1 к 120 общемировое для ntp-клиентов.

А смысл на тебя перенаправлять из Океании? Оно же работает по логике CDN, выбирается то, что географически ближе, т.к. при задержке под 300 мс и джиттере в 10 мс твой Stratum I даже в Папеэте нафиг никому не нужен. Аннонсировать и реально обслуживать, это разные вещи.

P.S. или ты из тех, кто пытается доказывать, что IPv6 никому не нужен и вообще им никто не пользуется?

Ответить | Правка | Наверх | Cообщить модератору

24. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 01-Янв-24, 14:27 
По статистике в админке pool.ntp.org где-то 70% приходится на Европу и "other world". На Россию и страны СНГ не более 30%. Для перенаправления на тебя запросов пинг до тебя и твоя география где-то на третьем-четвертом месте. На первом месте это чтобы твои часы не врали, и чтобы ты был доступен. Вот как раз по части доступности по v6 наблюдаются серьезные проблемы.

Не так давно pool.ntp.org основательно переработал свою системы управления и проверки доступности серверов участников, запустив сеть сенсоров по всему миру. И сейчас картина такова, что сервер по v4 доступен для всех сенсоров, а вот по v6 стабильно 3-5% дают -100 рейтинг (полная недоступность) а где-то треть култыхается от -20 до +19. У остальных +20.

И как раз я реально работаю с v6, и про проблемы с ним знаю напрямую. С v6 до сих пор серьезные проблемы. И если в случае с такими площадками как google, facebook, netflix и microsoft уже имеется серьезный прогресс, и клиенты обращаются к тамошним сервера по v6 даже не замечая этого, то вот в плане межсетевой доступности по v6 проблем дохрена и еще тележка по всему миру. Кстати, многими горячо обожаемая Sony до сих пор не прикручивает к своему PSN v6, хотя на консолях поддержка есть (у мелкомягких коробокс со своими серверами по v6 работают). О! И еще Rockstar игнорит v6.

Ответить | Правка | Наверх | Cообщить модератору

25. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 14:31 
> И как раз я реально работаю с v6, и про проблемы с ним знаю напрямую. С v6 до сих пор серьезные проблемы.

Конкретные примеры в студию! Да, не имеющие отношения к особенностям выбора между IPv4 и IPv6 в дуалстэке клиентского ПО вроде браузеров.

Ответить | Правка | Наверх | Cообщить модератору

27. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Tron is Whistling (?), 01-Янв-24, 15:53 
Просто прекратите фанатизм, и наконец примите как данность: IPv6 на данный момент - игрушка.
Мы уже обсуждали это в соседней теме. Ситуация с публичными пулами NTP - один из множества показательных примеров.
Ответить | Правка | Наверх | Cообщить модератору

29. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 16:09 
> IPv6 на данный момент - игрушка

Да-да-да. Около 50 процентов пользователей уже имеют IPv6 по общемировой статистике. Не говоря уже о том, что провайдеры миллиардной страны вообще IPv6 only стратегию выбрали.

Ответить | Правка | Наверх | Cообщить модератору

33. "Доступен NTP-сервер NTPsec 1.2.3"  +1 +/
Сообщение от Tron is Whistling (?), 01-Янв-24, 17:02 
146%, берите больше.
Я уже тоже объяснял. Мы допустим выдаём по запросу, но назад не отключаем - и те, кто побаловался или вообще засетапить не смог - все идут в статистику как имеющие v6. Если кто выдаёт по дефолту - там реальная ситуация вообще не известна, они просто в статистику всех сваливают, и всё.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

36. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 17:22 
> 146%, берите больше.
> Я уже тоже объяснял. Мы допустим выдаём по запросу, но назад не
> отключаем - и те, кто побаловался или вообще засетапить не смог
> - все идут в статистику как имеющие v6. Если кто выдаёт
> по дефолту - там реальная ситуация вообще не известна, они просто
> в статистику всех сваливают, и всё.

Ну да, ты же умнее инженеров Google. Куда уж им вычленить реальный процент использования IPv6. Хорошо, что хоть со статистикой по странам разобрались. Не ты им помогал?

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

52. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Tron is Whistling (?), 01-Янв-24, 22:25 
Честно? Мне фиолетово. Я вижу ситуацию на живых клиентах в отличие от тебя.
А если тебе ещё рассказать, сколько по времени Гугл пытался починить один из пирингов...
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

58. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 22:42 
> Честно? Мне фиолетово. Я вижу ситуацию на живых клиентах в отличие от
> тебя.
> А если тебе ещё рассказать, сколько по времени Гугл пытался починить один
> из пирингов...

И что ты видишь такого, что я не вижу?

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

34. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Tron is Whistling (?), 01-Янв-24, 17:03 
А, ну эти могут хоть Мао в очередной раз выбрать...
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

35. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 17:20 
> А, ну эти могут хоть Мао в очередной раз выбрать...

Там, где Мао, там с IPv6 намного хуже.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

26. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 14:36 
> На первом месте это чтобы твои часы не врали... и доступность

Это первоначальное требование.

> Для перенаправления на тебя запросов пинг до тебя и твоя география где-то на третьем-четвертом месте.

Т.е., если не считать того, что у тебя вообще есть работающий и достаточно точный сервер, то география и пинг являются первоочередными при выборе того, куда тебя перенаправят. Что и требовалось доказать.

Спасибо за то, что я и так уже знал.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

82. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (4), 03-Янв-24, 20:50 
У тебя нет задач, требующих s1. У тебя даже нет задач, для которых не зватило бы s3, так что все твои выверты — суть мастурбация, и как результат снижение надёжности синхронизации времени. Ляжет ntp*.vniiftri.ru и будешь по курантам время настраивать.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

83. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 03-Янв-24, 21:02 
А pool надёжнее? Реально? Регулярно выбрасывающий на сервера с пингом в 150+ мс и джиттером 10+? Ну, ОК. А ляжет сервер, у меня GPS/Глонасс есть )))
Ответить | Правка | Наверх | Cообщить модератору

84. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 04-Янв-24, 16:17 
Перестаньте уже теребонькать на пинг и джиттер. Нормальным участникам ntp обмена на эти параметры плевать, и на канале с большим пингом и джиттером спокойно выходят на синхронизацию с offset в единицы микросекунд.
Ответить | Правка | Наверх | Cообщить модератору

85. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 04-Янв-24, 17:07 
> Перестаньте уже теребонькать на пинг и джиттер. Нормальным участникам ntp обмена на
> эти параметры плевать, и на канале с большим пингом и джиттером
> спокойно выходят на синхронизацию с offset в единицы микросекунд.

До да, наплевать. Через packet radio на 300 бод ещё можно SSH сессию поднять. Сами сидите на таких серверах.

Ответить | Правка | Наверх | Cообщить модератору

86. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Аноним (16), 04-Янв-24, 19:12 
Блин, ну вы хоть в спецификацию NTP свое жало ткните. Его же специально создали для работы по любым каналам где пакет хоть как-то может пролезть. В отличии от PTP. И да, часы отлично засинхорнизируются с микросекундной разницей и на 300 бод. Даже больше скажу - самое точное время получается на канале связи с рейтом в 1 бод. (Подмена с SSH уж совсем неуклюжей вышла)
Ответить | Правка | Наверх | Cообщить модератору

87. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 04-Янв-24, 19:22 
> Блин, ну вы хоть в спецификацию NTP свое жало ткните. Его же
> специально создали для работы по любым каналам где пакет хоть как-то
> может пролезть. В отличии от PTP. И да, часы отлично засинхорнизируются
> с микросекундной разницей и на 300 бод. Даже больше скажу -
> самое точное время получается на канале связи с рейтом в 1
> бод. (Подмена с SSH уж совсем неуклюжей вышла)

Жало ты жене между ног тыкать будешь. Открой уже статистику по NTP, нахер её тогда придумали, если ты туда даже не смотришь? И сравни при синхронизации с сервером из США и с локальным. Сделай так 100 раз и сведи в таблицу.

То с BBR своим носится, даже тестирование не удосужившись сделать грамотное, теперь у него джиттер ни на что не влияет. Раз уж вспомнили. Как там в сетях в большим джиттером твой BBR поживает?

Ответить | Правка | Наверх | Cообщить модератору

89. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Аноним (16), 05-Янв-24, 06:35 
Статистика как раз и говорит, что срать хотели ntp-клиенты на твои фантазии. повторю, на Россию и ближнее зарубежье приходится всего 30% запросов, остальное это весь остальной мир. От Европы и Японии до США и Перу.
Ответить | Правка | Наверх | Cообщить модератору

90. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 05-Янв-24, 07:01 
> Статистика как раз и говорит, что срать хотели ntp-клиенты на твои фантазии.
> повторю, на Россию и ближнее зарубежье приходится всего 30% запросов, остальное
> это весь остальной мир. От Европы и Японии до США и
> Перу.

Что ты мычишь? Я тебя не про статистику адресов твоих клиентов спрашиваю.

Ответить | Правка | Наверх | Cообщить модератору

88. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 04-Янв-24, 19:49 
> И да, часы отлично засинхорнизируются
> с микросекундной разницей и на 300 бод.

https://blog.dan.drown.org/strat-2-tcxo/ - вот нечто аналогичное и я когда-то делал. Только тут ещё нет про влияние kernel tick(less) rate, обработки IRQ и размера буфера сетевой карты. Специально для тебя там упор на джиттер делается.

ТАК ЧТО ТАМ ПРО МИКРОСЕКУНДНУЮ ТОЧНОСТЬ БЫЛО? Давай, промычи что-нибудь предметное, как спецификация NTP тут тебе помогает.

Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

23. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 01-Янв-24, 14:27 
> Осталось убедить ntp*.vniiftri.ru подключить NTPSec и IPv6 )))

А зачем, если не секрет?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

44. "Доступен NTP-сервер NTPsec 1.2.3"  +1 +/
Сообщение от Ivan_83 (ok), 01-Янв-24, 19:17 
+1
после долгих мытарств дошёл до chrony.
Единственный недостаток это его невозможно заставить засинкать время если часы сильно далеко ушли вперёд (а может и назад).
Пришлось в стартовый скрипт ОС добавить проверки и выставление времени в том интервале из которого chrony принудительно синкает.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

46. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 01-Янв-24, 21:07 
Увеличение initstepslew не помогло?
Ответить | Правка | Наверх | Cообщить модератору

51. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Ivan_83 (ok), 01-Янв-24, 22:25 
Нет, я всё перекрутил и в исходники заглядывал.
Там какой то лимит захардкожен, не помню точно, вроде 2099 или 2049 года, а у меня на одном ноуте часы иногда 2200+ год выставляют.
Ответить | Правка | Наверх | Cообщить модератору

53. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Ivan_83 (ok), 01-Янв-24, 22:26 
# Check system time.
SYS_TIME_YEAR=`date "+%Y" | tr -cd '[:print:]'`
if [ "${SYS_TIME_YEAR}" -gt 2050 ]; then
    # Set date to: Sat Jun 13 16:27:00 EEST 2023
    date '202306131627'
    /usr/local/etc/rc.d/chronyd forcerestart
fi
Ответить | Правка | Наверх | Cообщить модератору

64. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 02-Янв-24, 11:06 
> после долгих мытарств дошёл до chrony.

какой вот только хренью люди не занимаются, лишь бы ntpd не использовать.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

65. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 02-Янв-24, 13:07 
В сети два собственных Stratum 1. На chrony. Время от времени посматриваю как оно там с альтернативами в плане надежности, точности и стабильности. Альтернативы пока что сасай по полной. Конкретно ntpd на том же самом железе с тем же самым источником PPS дает ошибку в 10-90ppm, когда у chrony  там же с тем же 0.005 ppm. Что за гении пишут ntpd, чтобы добиться таких результатов?
Ответить | Правка | Наверх | Cообщить модератору

66. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 02-Янв-24, 13:14 
> Конкретно ntpd на том же самом железе с тем же самым источником PPS дает ошибку в 10-90ppm, когда у chrony
> там же с тем же 0.005 ppm.

это имеет хоть малейшее значение в практических целях?

> Что за гении пишут ntpd, чтобы добиться таких результатов?

они переносимый софт писали, а не linoops only.

Ответить | Правка | Наверх | Cообщить модератору

68. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 02-Янв-24, 13:45 
Разница в погрешности в 4 порядка, вносимая программным методом, таки имеет значение. Тут обнарудилось при расковыривании внештатной ситуации, что горяче любимая одним из тутошних обитателей монга таки умеет внутри себя отслеживать события на уровне единиц микросекунд, и ошибка в 100 микросекунд будет не к месту.

А "переносимый софт" замечен за тем, что жрет время с откровенно кривого источника и уводит на него систему, в отличии от "не переносимого". Наверно это одна из причин, что там начали пилить NTPS.

Ответить | Правка | Наверх | Cообщить модератору

72. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 02-Янв-24, 16:19 
монга переживает без особых проблем таймшифты и по паре секунд.
redis'у вот такое почему-то не нравится. Но то и другое - далеко за пределами той мелочи которую может дать gpsd в сочетании с ntpd даже если там действительно все совсем плохо (но это вряд ли)

Ответить | Правка | Наверх | Cообщить модератору

91. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от semester (ok), 23-Мрт-24, 17:02 
А в нем можно как то из пула автоматически выбирать сервера? Все что находил это список примерно из 15 серверов на гитхабе которые нужно явно указать.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

15. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (15), 01-Янв-24, 09:29 
"(+4)" - это поставили плюс новости четыре человека, а не четыре комментария. При четырёх комментариях было бы "(4 +4)".

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

19. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (-), 01-Янв-24, 12:19 
Я все это время думал, что вторая цифра - это число добавленных или удаленных комменов, со времени последнего просмотра /_-
Спасибо за пояснение)
Ответить | Правка | Наверх | Cообщить модератору

10. "Доступен NTP-сервер NTPsec 1.2.3"  +1 +/
Сообщение от 12yoexpert (ok), 01-Янв-24, 06:08 
ну всё как всегда: форкнуть под благовидным предлогом, поломать обратную совместимость, засунуть во все дистры и усложнить до невозможности разобраться одному разработчику. и профит - минус один опенсорсный проект
Ответить | Правка | Наверх | Cообщить модератору

18. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Аноним (-), 01-Янв-24, 12:17 
> форкнуть под благовидным предлогом

разве форки это не ллучшее что есть в опенсорсе?)) 'тебе что-то не нравится - форкнул и сделал лучше'

> поломать обратную совместимость,

не вижу ничего плохого, если это сделано по существенной причине, например "переработка кодовой базы, чистка устаревшего кода, задействованы методы предотвращения атак, защищённые функции для работы с памятью и строками"

> засунуть во все дистры

стандартизация и унификация, в своем васянодистре можно пользоваться чем угодно
есть куча маргинальщиков которые кушают суп вилкой, но это их дело

> и усложнить до невозможности разобраться одному разработчику

перепись неосиляторов? если оно будет во всех дистрах - то явно расчитано на средний уровень интеллекта

> минус один опенсорсный проект

ты явно пессимист)
для меня наоборот +1 опенсорсный проект, старый вариант у вас никто не отбирает - можно сидеть хоть до посинения.
тем более там учавствуют разработчики оригинала, думаю у них было большое желание исправить ошибки в своем старом проекте

Ответить | Правка | Наверх | Cообщить модератору

30. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 01-Янв-24, 16:41 
справедливости ради - в коде оригинала тоже разобраться могли единицы.

Но это - это вообще мрак какой-то, мегапереусложненное феерическое ненужно.
Вот зачем ему супермегашифрование (непременно требующее наираспоследнюю версию openssl)?
hp c akamai страшно боятся что ВРАГ подглядит ИХ точное время и ... и .. ииии?!

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

32. "Доступен NTP-сервер NTPsec 1.2.3"  –4 +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 17:01 
Через сервера времени вполне себе можно делать целый ряд массированных атак через тот же отказ в обслуживании из-за якобы истёкших сертификатов.
Ответить | Правка | Наверх | Cообщить модератору

37. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 01-Янв-24, 17:55 
и о ужас - у тебя не пройдет целая одна синхронизация!

(не говоря уже о том что если ты этого боишься, тебе надо держать ntp в закрытом контуре и не выделываться)

Ответить | Правка | Наверх | Cообщить модератору

38. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 18:20 
> и о ужас - у тебя не пройдет целая одна синхронизация!
> (не говоря уже о том что если ты этого боишься, тебе надо
> держать ntp в закрытом контуре и не выделываться)

Если так рассуждать, то даже выгоревший датацентр никакой угрозы глобальной не представляет. Жизнь из-за этого не встанет.

Ответить | Правка | Наверх | Cообщить модератору

39. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 01-Янв-24, 18:26 
мастер подмены понятий. Следующий!
Ответить | Правка | Наверх | Cообщить модератору

42. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 18:36 
> мастер подмены понятий. Следующий!

Зачем так толсто? Ты реально никогда не встречался с отказом в обслуживании из-за неверного времени на сервере или на клиентском устройстве? Ну, если тебе так повезло, то можешь погуглить "NTP pool bad actors" и "NTP-based DDoS attack".

Ответить | Правка | Наверх | Cообщить модератору

63. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 02-Янв-24, 10:38 
Я реально никогда не встречался и не встречусь с какими-то отказами чего бы то ни было в любом реалистичном сценарии где используется ntp.

Гуглить фантастику и плохо понятые тобой совершенно бессмысленные заклинания мне неинтересно.

Как продемонстрировал аноним ниже - никакого реалистичного сценария с ужосомужосом при использовании обычного ntp ты предложить не можешь.

Ответить | Правка | Наверх | Cообщить модератору

67. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 02-Янв-24, 13:29 
> Как продемонстрировал аноним ниже - никакого реалистичного сценария с ужосомужосом при
> использовании обычного ntp ты предложить не можешь.

Ладно. Техническое видео ты не смотрел. Оно занудное и длинное. А вот документы электронные ты подписываешь? Ну вот представь, ты подписываешь юридически значимый документ, время подписи документа там берётся с сервера точного времени. Как думаешь, сколько аудитов подобных инфраструктур ты найдёшь, доказывающих, что там не незащищённый NTP?

> никакого реалистичного сценария с ужосомужосом...

Вот именно так и рассуждают те, кого ломают. А потом мычат, что этого нельзя было предвидеть.

Ответить | Правка | Наверх | Cообщить модератору

69. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 02-Янв-24, 14:28 
> Ну вот представь, ты подписываешь юридически значимый документ, время подписи документа там берётся с
> сервера точного времени.

нет.

Собственно, все что требуется знать о местных фантазерах.

Ответить | Правка | Наверх | Cообщить модератору

70. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 02-Янв-24, 15:07 
> нет.
> Собственно, все что требуется знать о местных фантазерах.

Юридических обязательств не имею, всё ещё на шее у родителей?

Ответить | Правка | Наверх | Cообщить модератору

41. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 01-Янв-24, 18:30 
>  Через сервера времени вполне себе можно делать целый ряд массированных атак через тот же отказ в обслуживании из-за якобы истёкших сертификатов.

Это как? Опишите, пожалуйста, реалистичный сценарий подобной атаки.
И обязательно уточните, на кого она должна быть направлена — на клиентов или на сервер?

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

43. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 18:38 
> Это как? Опишите, пожалуйста, реалистичный сценарий подобной атаки.
> И обязательно уточните, на кого она должна быть направлена — на клиентов
> или на сервер?

Отключи на сервере синхронизацию времени и выставь часы на лет 10 вперёд. А на клиентском устройстве можешь выставить назад на столько же. Удачи в игрищах. А теперь представь, что это случится в банке. Да-да-да, я из первых рук знаю, что там с свой сервер... который часто поверяется (или даже вообще синхронизируется без оглядки) через GPS. Но GPS же у нас криптографически защищен и его спуфить даже иранцы 10+ лет назад не умели.

Вы сильно доверяете коммерсантам. В реальности инфраструктура даже "серьёзных контор" полна подобных уязвимостей. Что там, давно ржали с провайдера с 20+ миллионами клиентов, где, как пару недель назад оказалось, всё хранилось в иностранном облаке :)

Ответить | Правка | Наверх | Cообщить модератору

47. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 01-Янв-24, 21:09 
> Отключи на сервере синхронизацию времени и выставь часы на лет 10 вперёд.

И как же от этого поможет использование NTS?

Ответить | Правка | Наверх | Cообщить модератору

49. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 21:21 
> И как же от этого поможет использование NTS?

https://youtu.be/hkw9tFnJk8k?si=a_S8K0YrSNVB8LBY - вы действительно настолько наивны?

Ответить | Правка | Наверх | Cообщить модератору

55. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 01-Янв-24, 22:29 
Не могли бы вы ответить на вопрос — как NTS поможет от описанного вами сценария, когда кто-то руками отключает синхронизацию и руками переводит время на 10 лет?
Ответить | Правка | Наверх | Cообщить модератору

56. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 22:39 
> Не могли бы вы ответить на вопрос — как NTS поможет от
> описанного вами сценария, когда кто-то руками отключает синхронизацию и руками переводит
> время на 10 лет?

А чем вообще по твоему занимается протокол NTP? Я тебе просто пример привёл, какие драматические последствия может имет неверно выставленное время. Не важно, кто его перевёл и как.

Ответить | Правка | Наверх | Cообщить модератору

59. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 02-Янв-24, 00:51 
> Я тебе просто пример привёл, какие драматические последствия может имет неверно выставленное время. Не важно, кто его перевёл и как.

Вас просили привести пример атаки, от которой защищает NTS.
Вы, очевидно, не смогли.

Возникает вопрос — вы вообще понимаете, в каких случая используется NTS, или просто слышали звон?

Ответить | Правка | Наверх | Cообщить модератору

48. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 01-Янв-24, 21:11 
И еще непонятно, как в таком случае организовывать массированные атаки? Врываться в датацентры банков, подключать ко всем сервакам консоли, перезагружать их в emergency и править там конфиги?
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

50. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 21:26 
> И еще непонятно, как в таком случае организовывать массированные атаки? Врываться в
> датацентры банков, подключать ко всем сервакам консоли, перезагружать их в emergency
> и править там конфиги?

Зачем? Достаточно начать с перехвата незашифрованного NTP трафик.

Я понимаю, что далеко не все застали начало интернетов. Но вообще из-за того, что у Венды часы идут по дефолту по местному времени и на первых порах никаких этих ваших NTP не было, только из-за этого было большое кол-во бугагашек, когда Netscape стал внедрять SSL.

Ответить | Правка | Наверх | Cообщить модератору

54. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 01-Янв-24, 22:27 
> Зачем? Достаточно начать с перехвата незашифрованного NTP трафик.

И как это позволит осуществить описанный вами сценарий атаки?

Ответить | Правка | Наверх | Cообщить модератору

57. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 22:40 
> И как это позволит осуществить описанный вами сценарий атаки?

Ты после НГ не отошёл или по жизни притрушенный?

Ответить | Правка | Наверх | Cообщить модератору

60. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 02-Янв-24, 00:52 
То есть, объяснить, от чего защищает NTS, вы не можете.
Ответить | Правка | Наверх | Cообщить модератору

62. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 02-Янв-24, 06:44 
Сходи на сайт проекта сам, мне лень копипастить.
Ответить | Правка | Наверх | Cообщить модератору

73. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 02-Янв-24, 22:08 
А вы сами-то хоть раз читали то, что вам "лень копипастить"?
Ответить | Правка | Наверх | Cообщить модератору

74. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 02-Янв-24, 22:26 
Я даже пользовал...
Ответить | Правка | Наверх | Cообщить модератору

76. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Второй из Кукуева (?), 03-Янв-24, 10:03 
Это хорошо, что ты не застал ранний интернет, без тебя тут было лучше
NTP появился в 1985 году уже в виде RFC, а первые реализации появились еще раньше
Когда в 1996-1997 годах в российские университеты массово пришел халявный интернет(хвала Соросу) там ставилась FreeBSD 2.2.x и конечно же ntp был
А ты дальше рассказывай свои сказки, ты-то тогда только родился
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

77. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 03-Янв-24, 12:20 
> Это хорошо, что ты не застал ранний интернет, без тебя тут было
> лучше
> NTP появился в 1985 году уже в виде RFC, а первые реализации
> появились еще раньше
> Когда в 1996-1997 годах в российские университеты массово пришел халявный интернет(хвала
> Соросу) там ставилась FreeBSD 2.2.x и конечно же ntp был
> А ты дальше рассказывай свои сказки, ты-то тогда только родился

Мне очень нравятся люди с ложными воспоминаниями. До третьей версии NTPD из Фри был малоюзабелен из-за врождённых багов и околонулевой пригодности к использованию через модем. Хвалить Сороса... ну такое себе. Я даже степуху от него получал, но такое себе никогда не позволял. Кабеля он не тянул никуда.

Да, в Венде как там в 3.11 FWG было с NTP? А когда же его, NTP, включили в Венде по дефолту... это вопрос тебе на засыпку.

Ответить | Правка | Наверх | Cообщить модератору

78. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от фнон (?), 03-Янв-24, 12:25 
> Хвалить Сороса... ну такое себе. Я даже степуху от
> него получал, но такое себе никогда не позволял. Кабеля он не тянул никуда.

А должены был сам тянуть по подвалам и чердакам?
Думаю достаточно дать денег тем кто сможет.

Но вообще показательная "благодарность" к тем кто доброе дело сделал.
что-то я нифига не удивлен (с)

Ответить | Правка | Наверх | Cообщить модератору

79. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от timur.davletshin (ok), 03-Янв-24, 12:33 
> Но вообще показательная "благодарность" к тем кто доброе дело сделал.
> что-то я нифига не удивлен (с)

Никто ничего бесплатно не давал и не делал. Я прекрасно знал это ещё в школе. И в попу целовать за то, что я сделал сам, никого кроме родителей не буду. Уж тем более каких-то агентов влияния. Интернеты у нас уже тогда были и DEC'и тоже. Но студенты работали на бездисковых станциях с 4Mb ОЗУ и этого было достаточно.

Но я прекрасно помню преподов, которые за "ножки Буша" и пару банок чёрной, как жизнь негра, фасоли готовы были и вприсядку станцевать. Покупали нынешнюю "либерду" очень за небольшие деньги. Часто даже натурой. Некоторые вон до сих пор носятся с воспоминаниями о том, как они в Макдак в мухосранске американском ходили и кушали пищу "богов". Рыжий, не так давно бежавший, инноватор и сколковостроитель тому пример с присевшим за корзину колбасы со взяткой бывшим министром. Ещё один юрист из Кировлеса есть... тоже "соросовец". Президент одной из южных республик, просравший территорию, тоже соросовец. Я уже молчу про "элиту" самой богатой когда-то республики... Достойная всяческого подражания компания )))

Ответить | Правка | Наверх | Cообщить модератору

80. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Второй из Кукуева (?), 03-Янв-24, 16:53 
Иди читай про университетские интернет-центры(УИК)
http://www.uic.unn.ru/
Вот тот в котором я работал, например
И они были по всей стране
То что ты о них не знал говорит о том, что либо ты родился поздно, либо учился в пту дупинска
Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

81. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 03-Янв-24, 17:12 
> ты родился поздно, либо учился в пту дупинска

Авторитетный аргумент, весомый такой. Страничка где-то на уровне конца 90-х так и осталась. Но куда там нам с нашими Дупинсками. Давай лучше ближе к теме. Так что там с NTP в венде, когда он был включен? А главное, какие публичные NTP сервера ты использовал в 1996 году на FreeBSD 2.x? Ответ в стиле: "Спросили у него воду дали или нет, так он три часа трындел" не прокатит.

Ответить | Правка | Наверх | Cообщить модератору

28. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Аноним (28), 01-Янв-24, 16:00 
>безопасный
>под руководством Эрика Реймонда (Eric S. Raymond)

Который свой собственный сайт защитить TLEом не осилил.

Ответить | Правка | Наверх | Cообщить модератору

31. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 01-Янв-24, 16:43 
"ну кто ж на чемодан с бумажками - замок вешает?"
Ответить | Правка | Наверх | Cообщить модератору

40. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Аноним (2), 01-Янв-24, 18:29 
Инкассаторы.
Ответить | Правка | Наверх | Cообщить модератору

71. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (71), 02-Янв-24, 16:14 
Это который написал один из самиых кривых и забагованных почтовых клиентов в истории человечества - fetchmail
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру