19.8. Аутентификация с использованием ключей NTP

Проблема
Требуется организовать некоторую разновидность аутентификации на локальных сер верах. Случаи использования уязвимостей NTP злоумышленников встречаются
редко, но вам хотелось бы каким-то образом убедиться в том, что клиенты и сер веры — именно те, за кого они себя выдают.
Решение
Воспользуйтесь встроенной в ntp схемой аутентификации ntpkeys.
Начните с настройки сервера (в нашем примере serverl):
# /etc/ntp.conf
crypto pw seekitword
keysdir /etc/ntp/keys
Пароли хранятся в текстовом виде, поэтому для файла ntp.conf необходимо
установить права chmod 600.
Создайте ключ на сервере serverl:
# ntp-keygen -T -I -p seekritword
Скопируйте сгенерированный файл ntpkey_IFFpat_serverl.4558615255 в файлы
/etc/ntp всех клиентов serverl (временная пометка будет выглядеть иначе). Ключ
является секретным, поэтому пересылка должна быть защищена. Вполне подой дет обычная дискета (не забудьте надежно сохранить ее после завершения копи рования).
Переходите к настройке клиентов. Для начала создайте две символьные ссыл ки на новый ключ:
# In -s ntpkey_ IFFpat_serverl.4558615255 ntpkey_iff_serverl
# In -s ntpkey_ IFFpat_serverl.4558615255 ntpkey_iff_clientl
Отредактируйте запись сервера в файле /etc/ntp.conf клиента, добавив в нее
ключевое слово autokey:
server serverl autokey
Перезапустите ntpd на всех компьютерах-участниках и займитесь другими дела ми. Чтобы новая схема аутентификации синхронизировалась и заработала, клиентам
и серверам понадобится некоторое время. Через час или два все будет нормально.
Комментарий
Ключи ntp_keygen:
О -Т — сгенерировать доверенный сертификат;
О -I — применение схемы идентификации IFF с заменой существующих фай лов ключей;
О -р — назначение пароля.
Для использования аутентификации на общедоступных серверах времени не обходимо:
1. Найти общедоступные серверы, поддерживающие аутентификацию.
2. Включить в ntp.conf данные конкретных серверов (вместо пулов ntp).
Текущий список общедоступных серверов времени находится по адресу http://
www.eecis.udeL.edu/~miLls/ntp/servers.htmL.
На практике вероятность использования слабостей ntp невелика. Даже если
сервер злоумышленника выдаст себя за общедоступный сервер времени и начнет
передавать неверное время, вы отчасти защищены: ntp вносит небольшие измене ния, а при синхронизации используется целый пул серверов, поэтому любые ошиб ки (намеренные или случайные) быстро исправляются.