Dopo oltre un anno di sviluppo, è stata pubblicata la versione 1.2.4 del server di sincronizzazione oraria precisa NTPsec. Il progetto è stato creato come fork dell'implementazione di riferimento del protocollo NTPv4 (NTP Classic 4.3.34), focalizzato sulla rielaborazione della base di codice per migliorare la sicurezza. Il codice sorgente di NTPsec è distribuito secondo le licenze BSD, MIT e NTP.
NTPsec è in fase di sviluppo sotto la direzione di Eric S. Raymond, con il contributo di alcuni degli sviluppatori originali di NTP Classic, degli ingegneri di Hewlett Packard e Akamai Technologies e dei progetti GPSD e RTEMS. Le differenze rispetto a NTP Classic includono l'aggiunta del supporto per il protocollo NTS (Network Time Security), una riduzione delle dimensioni della base di codice di oltre la metà (funzionalità deprecate e piattaforme irrilevanti sono state rimosse), l'implementazione di una modalità autonoma, l'uso di metodi di prevenzione degli attacchi (ad esempio, il filtraggio delle chiamate di sistema) e il passaggio a funzioni protette per lavorare con memoria e stringhe.
Nella nuova versione:
- Aggiunta l'impostazione "porta extra xxxx" per ricevere richieste su una porta di rete aggiuntiva, oltre alla porta principale configurata tramite "nts port xxxx". Una porta aggiuntiva può essere utile per aggirare il blocco dell'accesso ai server NTP esterni impostati sui firewall.
- Aggiunto supporto per la compilazione su sistemi Linux con architettura armhf.
- È stato fornito il supporto per il funzionamento di ntpd su sistemi in modalità FIPS.
- Il sistema di compilazione WAF è stato aggiornato alla versione 2.1.4. Su Debian, le utilità Python come ntpq e ntpmon sono ora installate nella directory "/usr/local/lib/python3.xx/site-packages" invece che in "/usr/local/lib/python3.xx/dist-packages". Il comando "waf install" ora consente di testare gli eseguibili installati, mentre il comando "waf configure --enable-Werror" può ora abilitare l'elaborazione degli avvisi del compilatore come errori.
- La versione minima di Python dichiarata è la 2.7. Ho intenzione di interrompere il supporto per Python 2 nella prossima versione.
- Per impostazione predefinita, viene applicata l'opzione "--disable-fuzz", che disabilita il meccanismo di "Clock fuzzing" (che introduce offset casuali di millisecondi nell'ora fornita ai client, i quali non influiscono sulla precisione complessiva, ma non consentono agli aggressori di prevedere il valore effettivo dell'ora).
- Rimossi i resti di codice relativi al funzionamento in modalità broadcast e multicast.
- Aggiunta l'opzione a ntpdig per associarsi a un oggetto specificato indirizzo IP.
- È stata aggiunta un'opzione alla configurazione NTS-KE per configurare un elenco di algoritmi di crittografia preferiti per TLS.
- Invece di ntp_adjtime, viene utilizzata la chiamata ntp_gettime.
Fonte: opennet.ru
