Pärast enam kui aasta kestnud arendust on avaldatud NTPsec 1.2.4 täpse aja sünkroniseerimisserveri versioon. Projekt loodi NTPv4 protokolli (NTP Classic 4.3.34) referentsteostuse haruna, keskendudes koodibaasi ümbertegemisele turvalisuse parandamiseks. NTPseci lähtekoodi levitatakse BSD, MIT ja NTP litsentside alusel.
NTPseci arendatakse Eric S. Raymondi juhtimisel, kus panustavad mõned algsed NTP Classicu arendajad, Hewlett Packardi ja Akamai Technologiesi insenerid ning GPSD ja RTEMS projektid. Erinevused NTP Classicust hõlmavad NTS (Network Time Security) protokolli toe lisamist, koodibaasi suuruse vähendamist enam kui poole võrra (aegunud funktsioonid ja ebaolulised platvormid on eemaldatud), autonoomse režiimi rakendamist, rünnakute ennetamise meetodite kasutamist (näiteks süsteemikõnede filtreerimine) ja üleminekut kaitstud funktsioonidele mälu ja stringidega töötamiseks.
Uues versioonis:
- Lisatud säte "lisaport xxxx", et saada päringuid täiendava võrgupordi kaudu, lisaks põhipordile, mis on konfigureeritud "nts-pordi xxxx" kaudu. Täiendav port võib olla kasulik tulemüüridel seadistatud välistele NTP-serveritele juurdepääsu blokeerimise vältimiseks.
- Lisatud tugi armhf arhitektuuriga Linuxi süsteemidele ehitamiseks.
- Pakutakse ntpd-operatsiooni tugi FIPS-režiimis süsteemides.
- Waf-i ehitussüsteem on uuendatud versioonile 2.1.4. Debianis installitakse Pythoni utiliidid, näiteks ntpq ja ntpmon, nüüd kataloogi "/usr/local/lib/python3.xx/site-packages" kataloogi "/usr/local/lib/python3.xx/dist-packages" asemel. Käsk „waf install” võimaldab nüüd installitud käivitatavate failide testimist ja käsk „waf configure --enable-Werror” saab nüüd lubada kompilaatori hoiatuste töötlemise vigadena.
- Pythoni minimaalne versioon on 2.7. Kavatsen lõpetada Python 2 toetamise järgmises versioonis.
- Vaikimisi on rakendatud suvand "--disable-fuzz", mis keelab "Clock fuzzing" mehhanismi (sisseb klientidele antud ajas millisekundite juhuslikud nihked, mis ei mõjuta üldist täpsust, kuid ei võimalda ründajatel ennustada tegelikku aja väärtust).
- Eemaldatud edastus- ja multiedastusrežiimides töötamisega seotud koodijäänused.
- Lisatud ntpdig-ile valik kindlaga sidumiseks IP-aadress.
- NTS-KE konfiguratsioonile on lisatud suvand TLS-i eelistatud krüpteerimisalgoritmide loendi konfigureerimiseks.
- Ntp_adjtime asemel kasutatakse kõnet ntp_gettime.
Allikas: opennet.ru
