經過一年多的開發,NTPsec 1.2.4精確時間同步伺服器版本已經發布。該專案是作為 NTPv4 協定(NTP Classic 4.3.34)的參考實現的一個分支而創建的,專注於重新設計程式碼庫以提高安全性。 NTPsec 原始碼根據 BSD、MIT 和 NTP 許可證分發。
NTPsec 是在 Eric S. Raymond 的指導下開發的,一些原始 NTP Classic 開發人員、惠普和 Akamai 科技的工程師以及 GPSD 和 RTEMS 專案也做出了貢獻。與 NTP Classic 的差異包括增加了對 NTS(網路時間安全)協定的支援、將程式碼庫大小減少了一半以上(已刪除棄用的功能和不相關的平台)、實現了自主模式、使用攻擊預防方法(例如,過濾系統呼叫)以及過渡到用於處理記憶體和字串的受保護函數。
在新版本中:
- 新增了「額外連接埠 xxxx」設置,以便除了透過「nts 連接埠 xxxx」配置的主連接埠之外,還可以透過其他網路連接埠接收請求。附加連接埠可用於繞過防火牆上設定的對外部 NTP 伺服器的存取阻止。
- 增加了在具有 armhf 架構的 Linux 系統上建置的支援。
- 已提供對 FIPS 模式下系統上的 ntpd 操作的支援。
- Waf 建置系統已更新至 2.1.4 版本。在 Debian 上,ntpq 和 ntpmon 等 Python 實用程式現在安裝在目錄「/usr/local/lib/python3.xx/site-packages」中,而不是「/usr/local/lib/python3.xx/dist-packages」中。 “waf install”命令現在可以測試已安裝的可執行文件,而“waf configure --enable-Werror”命令現在可以將編譯器警告處理為錯誤。
- 所規定的 Python 最低版本為 2.7。我計劃在下一個版本中停止支援 Python 2。
- 預設情況下,套用「--disable-fuzz」選項,該選項會停用「時鐘模糊測試」機制(在給予客戶端的時間中引入毫秒隨機偏移量,這不會影響整體準確性,但不允許攻擊者預測實際時間值)。
- 刪除了與廣播和多播模式下工作相關的程式碼殘餘。
- ntpdig 新增了綁定到指定裝置的選項。 IP位址.
- NTS-KE 配置中新增了一個選項,用於配置 TLS 的首選加密演算法清單。
- 使用 ntp_gettime 調用,而不是 ntp_adjtime。
來源: opennet.ru
