Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Доступен NTP-сервер NTPsec 1.2.3"	+/–
Сообщение от opennews (??), 31-Дек-23, 22:54
После года разработки опубликован выпуск  системы синхронизации точного времени NTPsec 1.2.3, являющейся форком эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированным на переработке кодовой базы с целью повышения безопасности (выполнена чистка устаревшего кода, задействованы методы предотвращения атак, защищённые функции для работы с памятью и строками). Проект  развивается под руководством Эрика Реймонда (Eric S. Raymond) при участии некоторых разработчиков оригинального NTP Classic, инженеров из компаний Hewlett Packard и Akamai Technologies, а также проектов GPSD и RTEMS. Исходные тексты NTPsec распространяются под лицензиями BSD, MIT и NTP... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60377
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 31-Дек-23, 22:54	+/–
Странно на главной "Доступен NTP-сервер NTPsec 1.2.3 ( +4)" - вроде сообщения есть, а вроде и нет (как и лога модерирования)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #15

2. Сообщение от Аноним (2), 31-Дек-23, 23:48	+/–
Кому не пофиг на безопасность — ушли на chrony, кому пофиг ­— остались на ISC NTPD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #5, #12, #44

4. Сообщение от Аноним (4), 01-Янв-24, 02:08	–2 +/–
Кому не пофиг используют сразу несколько разных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #22

5. Сообщение от Vaso Kutaisskiy (?), 01-Янв-24, 02:27	+/–
Кому не пофиг на безопасность, настраивают службы времени оффлайн ручками...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7, #9

7. Сообщение от Аноним (7), 01-Янв-24, 03:41	+/–
Настраиваем автоматически, потом отключаем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11

9. Сообщение от Аноним (9), 01-Янв-24, 05:16	+/–
Да да, часы подводят раз в неделю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от 12yoexpert (ok), 01-Янв-24, 06:08	+1 +/–
ну всё как всегда: форкнуть под благовидным предлогом, поломать обратную совместимость, засунуть во все дистры и усложнить до невозможности разобраться одному разработчику. и профит - минус один опенсорсный проект
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #30

11. Сообщение от 12yoexpert (ok), 01-Янв-24, 06:09	+/–
один раз не роскомнадзор?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

12. Сообщение от timur.davletshin (ok), 01-Янв-24, 07:51	–1 +/–
Осталось убедить ntp*.vniiftri.ru подключить NTPSec и IPv6 )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13, #23

13. Сообщение от Аноним (4), 01-Янв-24, 07:56	+/–
Зачем, если у pool.ntp.org всё есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #14

14. Сообщение от timur.davletshin (ok), 01-Янв-24, 08:12	–1 +/–
Хотя бы тем, что у ntp*.vniiftri.ru Stratum I, а не Stratum II. В pool IPv6 поддерживают только 2* сервера, все остальные даже резолвятся только по IPv4.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #16, #82

15. Сообщение от Аноним (15), 01-Янв-24, 09:29	+/–
"(+4)" - это поставили плюс новости четыре человека, а не четыре комментария. При четырёх комментариях было бы "(4 +4)".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #19

16. Сообщение от Аноним (16), 01-Янв-24, 10:03	+/–
Тут еще вопрос в востребованности v6 клиентами. Выставил собственный Stratum 1 в pool.ntp.org. По статистике соотношение запросов v6/v4 плавает в районе 1/120
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #17

17. Сообщение от timur.davletshin (ok), 01-Янв-24, 10:47	–1 +/–
Я понимаю, что РФ не в передовиках по внедрению IPv6 (если IPv6 only вообще стоит копировать), но во многих странах именно IPv6 only c IPv4 через 464xlat. > Выставил собственный Stratum 1 в pool.ntp.org... В центральных регионах из pool'а часто перенаправляет на NTP сервер производителя глючных производственных дверей. Как-то анализировал трафик ещё лет 10 назад на предприятии и словил "а это г... что тут делает?" и с тех пор везде ntp*.vniiftri.ru прописываю. К госинституции у меня больше доверия в этом плане.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #20

18. Сообщение от Аноним (-), 01-Янв-24, 12:17	–1 +/–
> форкнуть под благовидным предлогом разве форки это не ллучшее что есть в опенсорсе?)) 'тебе что-то не нравится - форкнул и сделал лучше' > поломать обратную совместимость, не вижу ничего плохого, если это сделано по существенной причине, например "переработка кодовой базы, чистка устаревшего кода, задействованы методы предотвращения атак, защищённые функции для работы с памятью и строками" > засунуть во все дистры стандартизация и унификация, в своем васянодистре можно пользоваться чем угодно есть куча маргинальщиков которые кушают суп вилкой, но это их дело > и усложнить до невозможности разобраться одному разработчику перепись неосиляторов? если оно будет во всех дистрах - то явно расчитано на средний уровень интеллекта > минус один опенсорсный проект ты явно пессимист) для меня наоборот +1 опенсорсный проект, старый вариант у вас никто не отбирает - можно сидеть хоть до посинения. тем более там учавствуют разработчики оригинала, думаю у них было большое желание исправить ошибки в своем старом проекте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

19. Сообщение от Аноним (-), 01-Янв-24, 12:19	+/–
Я все это время думал, что вторая цифра - это число добавленных или удаленных комменов, со времени последнего просмотра /_- Спасибо за пояснение)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

20. Сообщение от Аноним (16), 01-Янв-24, 12:32	+/–
У меня сервер анонсирован как доступный со всего мира, так что плюс-минус лапоть соотношение 1 к 120 общемировое для ntp-клиентов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #21

21. Сообщение от timur.davletshin (ok), 01-Янв-24, 12:50	+/–
> У меня сервер анонсирован как доступный со всего мира, так что плюс-минус > лапоть соотношение 1 к 120 общемировое для ntp-клиентов. А смысл на тебя перенаправлять из Океании? Оно же работает по логике CDN, выбирается то, что географически ближе, т.к. при задержке под 300 мс и джиттере в 10 мс твой Stratum I даже в Папеэте нафиг никому не нужен. Аннонсировать и реально обслуживать, это разные вещи. P.S. или ты из тех, кто пытается доказывать, что IPv6 никому не нужен и вообще им никто не пользуется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #24

22. Сообщение от Аноним (2), 01-Янв-24, 14:25	+1 +/–
Чтобы хотя бы через один ломанули?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #45

23. Сообщение от Аноним (2), 01-Янв-24, 14:27	+/–
> Осталось убедить ntp*.vniiftri.ru подключить NTPSec и IPv6 ))) А зачем, если не секрет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

24. Сообщение от Аноним (16), 01-Янв-24, 14:27	+/–
По статистике в админке pool.ntp.org где-то 70% приходится на Европу и "other world". На Россию и страны СНГ не более 30%. Для перенаправления на тебя запросов пинг до тебя и твоя география где-то на третьем-четвертом месте. На первом месте это чтобы твои часы не врали, и чтобы ты был доступен. Вот как раз по части доступности по v6 наблюдаются серьезные проблемы. Не так давно pool.ntp.org основательно переработал свою системы управления и проверки доступности серверов участников, запустив сеть сенсоров по всему миру. И сейчас картина такова, что сервер по v4 доступен для всех сенсоров, а вот по v6 стабильно 3-5% дают -100 рейтинг (полная недоступность) а где-то треть култыхается от -20 до +19. У остальных +20. И как раз я реально работаю с v6, и про проблемы с ним знаю напрямую. С v6 до сих пор серьезные проблемы. И если в случае с такими площадками как google, facebook, netflix и microsoft уже имеется серьезный прогресс, и клиенты обращаются к тамошним сервера по v6 даже не замечая этого, то вот в плане межсетевой доступности по v6 проблем дохрена и еще тележка по всему миру. Кстати, многими горячо обожаемая Sony до сих пор не прикручивает к своему PSN v6, хотя на консолях поддержка есть (у мелкомягких коробокс со своими серверами по v6 работают). О! И еще Rockstar игнорит v6.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #25, #26

25. Сообщение от timur.davletshin (ok), 01-Янв-24, 14:31	+/–
> И как раз я реально работаю с v6, и про проблемы с ним знаю напрямую. С v6 до сих пор серьезные проблемы. Конкретные примеры в студию! Да, не имеющие отношения к особенностям выбора между IPv4 и IPv6 в дуалстэке клиентского ПО вроде браузеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #27

26. Сообщение от timur.davletshin (ok), 01-Янв-24, 14:36	+/–
> На первом месте это чтобы твои часы не врали... и доступность Это первоначальное требование. > Для перенаправления на тебя запросов пинг до тебя и твоя география где-то на третьем-четвертом месте. Т.е., если не считать того, что у тебя вообще есть работающий и достаточно точный сервер, то география и пинг являются первоочередными при выборе того, куда тебя перенаправят. Что и требовалось доказать. Спасибо за то, что я и так уже знал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Tron is Whistling (?), 01-Янв-24, 15:53	–1 +/–
Просто прекратите фанатизм, и наконец примите как данность: IPv6 на данный момент - игрушка. Мы уже обсуждали это в соседней теме. Ситуация с публичными пулами NTP - один из множества показательных примеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #29

28. Сообщение от Аноним (28), 01-Янв-24, 16:00	–1 +/–
>безопасный >под руководством Эрика Реймонда (Eric S. Raymond) Который свой собственный сайт защитить TLEом не осилил.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #71

29. Сообщение от timur.davletshin (ok), 01-Янв-24, 16:09	+/–
> IPv6 на данный момент - игрушка Да-да-да. Около 50 процентов пользователей уже имеют IPv6 по общемировой статистике. Не говоря уже о том, что провайдеры миллиардной страны вообще IPv6 only стратегию выбрали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #33, #34

30. Сообщение от нах. (?), 01-Янв-24, 16:41	+/–
справедливости ради - в коде оригинала тоже разобраться могли единицы. Но это - это вообще мрак какой-то, мегапереусложненное феерическое ненужно. Вот зачем ему супермегашифрование (непременно требующее наираспоследнюю версию openssl)? hp c akamai страшно боятся что ВРАГ подглядит ИХ точное время и ... и .. ииии?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #32

31. Сообщение от нах. (?), 01-Янв-24, 16:43	+/–
"ну кто ж на чемодан с бумажками - замок вешает?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #40

32. Сообщение от timur.davletshin (ok), 01-Янв-24, 17:01	–4 +/–
Через сервера времени вполне себе можно делать целый ряд массированных атак через тот же отказ в обслуживании из-за якобы истёкших сертификатов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #37, #41

33. Сообщение от Tron is Whistling (?), 01-Янв-24, 17:02	+1 +/–
146%, берите больше. Я уже тоже объяснял. Мы допустим выдаём по запросу, но назад не отключаем - и те, кто побаловался или вообще засетапить не смог - все идут в статистику как имеющие v6. Если кто выдаёт по дефолту - там реальная ситуация вообще не известна, они просто в статистику всех сваливают, и всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #36

34. Сообщение от Tron is Whistling (?), 01-Янв-24, 17:03	+/–
А, ну эти могут хоть Мао в очередной раз выбрать...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #35

35. Сообщение от timur.davletshin (ok), 01-Янв-24, 17:20	+/–
> А, ну эти могут хоть Мао в очередной раз выбрать... Там, где Мао, там с IPv6 намного хуже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от timur.davletshin (ok), 01-Янв-24, 17:22	+/–
> 146%, берите больше. > Я уже тоже объяснял. Мы допустим выдаём по запросу, но назад не > отключаем - и те, кто побаловался или вообще засетапить не смог > - все идут в статистику как имеющие v6. Если кто выдаёт > по дефолту - там реальная ситуация вообще не известна, они просто > в статистику всех сваливают, и всё. Ну да, ты же умнее инженеров Google. Куда уж им вычленить реальный процент использования IPv6. Хорошо, что хоть со статистикой по странам разобрались. Не ты им помогал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #52

37. Сообщение от нах. (?), 01-Янв-24, 17:55	+/–
и о ужас - у тебя не пройдет целая одна синхронизация! (не говоря уже о том что если ты этого боишься, тебе надо держать ntp в закрытом контуре и не выделываться)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #38

38. Сообщение от timur.davletshin (ok), 01-Янв-24, 18:20	+/–
> и о ужас - у тебя не пройдет целая одна синхронизация! > (не говоря уже о том что если ты этого боишься, тебе надо > держать ntp в закрытом контуре и не выделываться) Если так рассуждать, то даже выгоревший датацентр никакой угрозы глобальной не представляет. Жизнь из-за этого не встанет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #39

39. Сообщение от нах. (?), 01-Янв-24, 18:26	+/–
мастер подмены понятий. Следующий!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #42

40. Сообщение от Аноним (2), 01-Янв-24, 18:29	–1 +/–
Инкассаторы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

41. Сообщение от Аноним (2), 01-Янв-24, 18:30	+/–
>  Через сервера времени вполне себе можно делать целый ряд массированных атак через тот же отказ в обслуживании из-за якобы истёкших сертификатов. Это как? Опишите, пожалуйста, реалистичный сценарий подобной атаки. И обязательно уточните, на кого она должна быть направлена — на клиентов или на сервер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #43

42. Сообщение от timur.davletshin (ok), 01-Янв-24, 18:36	–1 +/–
> мастер подмены понятий. Следующий! Зачем так толсто? Ты реально никогда не встречался с отказом в обслуживании из-за неверного времени на сервере или на клиентском устройстве? Ну, если тебе так повезло, то можешь погуглить "NTP pool bad actors" и "NTP-based DDoS attack".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #63

43. Сообщение от timur.davletshin (ok), 01-Янв-24, 18:38	–1 +/–
> Это как? Опишите, пожалуйста, реалистичный сценарий подобной атаки. > И обязательно уточните, на кого она должна быть направлена — на клиентов > или на сервер? Отключи на сервере синхронизацию времени и выставь часы на лет 10 вперёд. А на клиентском устройстве можешь выставить назад на столько же. Удачи в игрищах. А теперь представь, что это случится в банке. Да-да-да, я из первых рук знаю, что там с свой сервер... который часто поверяется (или даже вообще синхронизируется без оглядки) через GPS. Но GPS же у нас криптографически защищен и его спуфить даже иранцы 10+ лет назад не умели. Вы сильно доверяете коммерсантам. В реальности инфраструктура даже "серьёзных контор" полна подобных уязвимостей. Что там, давно ржали с провайдера с 20+ миллионами клиентов, где, как пару недель назад оказалось, всё хранилось в иностранном облаке :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #47, #48

44. Сообщение от Ivan_83 (ok), 01-Янв-24, 19:17	+1 +/–
+1 после долгих мытарств дошёл до chrony. Единственный недостаток это его невозможно заставить засинкать время если часы сильно далеко ушли вперёд (а может и назад). Пришлось в стартовый скрипт ОС добавить проверки и выставление времени в том интервале из которого chrony принудительно синкает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #46, #64, #91

45. Сообщение от Аноним (4), 01-Янв-24, 19:52	+/–
Ну ломанут, и что дальше-то с ним делать будут? 123/udp рейт-лимитится в обоих направлениях, всё остальное блэкхолится с алертом ещё до того, как во внутреннюю сеть попадёт. Если алерт без внимания три часа, виртуалка автоматически гасится с ещё более громким алертом. Диск у виртуалки в r/o и на нём только то, что нужно для запуска ntpd, даже SSH нет. В случае проблем с конкретной реализацией дежурный админ в ранбуке выбирает галочками кого снести, а кого оставить, а дальше автоматика уберёт лишнее и добавит недостающее. У нас так все публичные сервисы устроены, и ntp, и dns, и smtp, и http reverse proxy.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #61

46. Сообщение от Аноним (2), 01-Янв-24, 21:07	+/–
Увеличение initstepslew не помогло?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #51

47. Сообщение от Аноним (2), 01-Янв-24, 21:09	+/–
> Отключи на сервере синхронизацию времени и выставь часы на лет 10 вперёд. И как же от этого поможет использование NTS?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #49

48. Сообщение от Аноним (2), 01-Янв-24, 21:11	+/–
И еще непонятно, как в таком случае организовывать массированные атаки? Врываться в датацентры банков, подключать ко всем сервакам консоли, перезагружать их в emergency и править там конфиги?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #50

49. Сообщение от timur.davletshin (ok), 01-Янв-24, 21:21	+/–
> И как же от этого поможет использование NTS? https://youtu.be/hkw9tFnJk8k?si=a_S8K0YrSNVB8LBY - вы действительно настолько наивны?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #55

50. Сообщение от timur.davletshin (ok), 01-Янв-24, 21:26	+/–
> И еще непонятно, как в таком случае организовывать массированные атаки? Врываться в > датацентры банков, подключать ко всем сервакам консоли, перезагружать их в emergency > и править там конфиги? Зачем? Достаточно начать с перехвата незашифрованного NTP трафик. Я понимаю, что далеко не все застали начало интернетов. Но вообще из-за того, что у Венды часы идут по дефолту по местному времени и на первых порах никаких этих ваших NTP не было, только из-за этого было большое кол-во бугагашек, когда Netscape стал внедрять SSL.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #54, #76

51. Сообщение от Ivan_83 (ok), 01-Янв-24, 22:25	+/–
Нет, я всё перекрутил и в исходники заглядывал. Там какой то лимит захардкожен, не помню точно, вроде 2099 или 2049 года, а у меня на одном ноуте часы иногда 2200+ год выставляют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #53

52. Сообщение от Tron is Whistling (?), 01-Янв-24, 22:25	+/–
Честно? Мне фиолетово. Я вижу ситуацию на живых клиентах в отличие от тебя. А если тебе ещё рассказать, сколько по времени Гугл пытался починить один из пирингов...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #58

53. Сообщение от Ivan_83 (ok), 01-Янв-24, 22:26	+/–
# Check system time. SYS_TIME_YEAR=`date "+%Y" | tr -cd '[:print:]'` if [ "${SYS_TIME_YEAR}" -gt 2050 ]; then     # Set date to: Sat Jun 13 16:27:00 EEST 2023     date '202306131627'     /usr/local/etc/rc.d/chronyd forcerestart fi
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

54. Сообщение от Аноним (2), 01-Янв-24, 22:27	+/–
> Зачем? Достаточно начать с перехвата незашифрованного NTP трафик. И как это позволит осуществить описанный вами сценарий атаки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #57

55. Сообщение от Аноним (2), 01-Янв-24, 22:29	+/–
Не могли бы вы ответить на вопрос — как NTS поможет от описанного вами сценария, когда кто-то руками отключает синхронизацию и руками переводит время на 10 лет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #56

56. Сообщение от timur.davletshin (ok), 01-Янв-24, 22:39	+/–
> Не могли бы вы ответить на вопрос — как NTS поможет от > описанного вами сценария, когда кто-то руками отключает синхронизацию и руками переводит > время на 10 лет? А чем вообще по твоему занимается протокол NTP? Я тебе просто пример привёл, какие драматические последствия может имет неверно выставленное время. Не важно, кто его перевёл и как.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59

57. Сообщение от timur.davletshin (ok), 01-Янв-24, 22:40	+/–
> И как это позволит осуществить описанный вами сценарий атаки? Ты после НГ не отошёл или по жизни притрушенный?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #60

58. Сообщение от timur.davletshin (ok), 01-Янв-24, 22:42	+/–
> Честно? Мне фиолетово. Я вижу ситуацию на живых клиентах в отличие от > тебя. > А если тебе ещё рассказать, сколько по времени Гугл пытался починить один > из пирингов... И что ты видишь такого, что я не вижу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

59. Сообщение от Аноним (2), 02-Янв-24, 00:51	+/–
> Я тебе просто пример привёл, какие драматические последствия может имет неверно выставленное время. Не важно, кто его перевёл и как. Вас просили привести пример атаки, от которой защищает NTS. Вы, очевидно, не смогли. Возникает вопрос — вы вообще понимаете, в каких случая используется NTS, или просто слышали звон?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

60. Сообщение от Аноним (2), 02-Янв-24, 00:52	+/–
То есть, объяснить, от чего защищает NTS, вы не можете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #62

61. Сообщение от Аноним (2), 02-Янв-24, 00:53	+/–
Как минимум, можно продолжить дальше ломать внутреннюю сеть через NTP, либо попробовать вылезти в гипервизор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #75

62. Сообщение от timur.davletshin (ok), 02-Янв-24, 06:44	+/–
Сходи на сайт проекта сам, мне лень копипастить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #73

63. Сообщение от нах. (?), 02-Янв-24, 10:38	+/–
Я реально никогда не встречался и не встречусь с какими-то отказами чего бы то ни было в любом реалистичном сценарии где используется ntp. Гуглить фантастику и плохо понятые тобой совершенно бессмысленные заклинания мне неинтересно. Как продемонстрировал аноним ниже - никакого реалистичного сценария с ужосомужосом при использовании обычного ntp ты предложить не можешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #67

64. Сообщение от нах. (?), 02-Янв-24, 11:06	+/–
> после долгих мытарств дошёл до chrony. какой вот только хренью люди не занимаются, лишь бы ntpd не использовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #65

65. Сообщение от Аноним (16), 02-Янв-24, 13:07	+/–
В сети два собственных Stratum 1. На chrony. Время от времени посматриваю как оно там с альтернативами в плане надежности, точности и стабильности. Альтернативы пока что сасай по полной. Конкретно ntpd на том же самом железе с тем же самым источником PPS дает ошибку в 10-90ppm, когда у chrony  там же с тем же 0.005 ppm. Что за гении пишут ntpd, чтобы добиться таких результатов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #66

66. Сообщение от нах. (?), 02-Янв-24, 13:14	+/–
> Конкретно ntpd на том же самом железе с тем же самым источником PPS дает ошибку в 10-90ppm, когда у chrony > там же с тем же 0.005 ppm. это имеет хоть малейшее значение в практических целях? > Что за гении пишут ntpd, чтобы добиться таких результатов? они переносимый софт писали, а не linoops only.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #68

67. Сообщение от timur.davletshin (ok), 02-Янв-24, 13:29	+/–
> Как продемонстрировал аноним ниже - никакого реалистичного сценария с ужосомужосом при > использовании обычного ntp ты предложить не можешь. Ладно. Техническое видео ты не смотрел. Оно занудное и длинное. А вот документы электронные ты подписываешь? Ну вот представь, ты подписываешь юридически значимый документ, время подписи документа там берётся с сервера точного времени. Как думаешь, сколько аудитов подобных инфраструктур ты найдёшь, доказывающих, что там не незащищённый NTP? > никакого реалистичного сценария с ужосомужосом... Вот именно так и рассуждают те, кого ломают. А потом мычат, что этого нельзя было предвидеть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #69

68. Сообщение от Аноним (16), 02-Янв-24, 13:45	+/–
Разница в погрешности в 4 порядка, вносимая программным методом, таки имеет значение. Тут обнарудилось при расковыривании внештатной ситуации, что горяче любимая одним из тутошних обитателей монга таки умеет внутри себя отслеживать события на уровне единиц микросекунд, и ошибка в 100 микросекунд будет не к месту. А "переносимый софт" замечен за тем, что жрет время с откровенно кривого источника и уводит на него систему, в отличии от "не переносимого". Наверно это одна из причин, что там начали пилить NTPS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #72

69. Сообщение от нах. (?), 02-Янв-24, 14:28	+/–
> Ну вот представь, ты подписываешь юридически значимый документ, время подписи документа там берётся с > сервера точного времени. нет. Собственно, все что требуется знать о местных фантазерах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #70

70. Сообщение от timur.davletshin (ok), 02-Янв-24, 15:07	+/–
> нет. > Собственно, все что требуется знать о местных фантазерах. Юридических обязательств не имею, всё ещё на шее у родителей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

71. Сообщение от Аноним (71), 02-Янв-24, 16:14	+/–
Это который написал один из самиых кривых и забагованных почтовых клиентов в истории человечества - fetchmail
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

72. Сообщение от нах. (?), 02-Янв-24, 16:19	+/–
монга переживает без особых проблем таймшифты и по паре секунд. redis'у вот такое почему-то не нравится. Но то и другое - далеко за пределами той мелочи которую может дать gpsd в сочетании с ntpd даже если там действительно все совсем плохо (но это вряд ли)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

73. Сообщение от Аноним (2), 02-Янв-24, 22:08	+/–
А вы сами-то хоть раз читали то, что вам "лень копипастить"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #74

74. Сообщение от timur.davletshin (ok), 02-Янв-24, 22:26	+/–
Я даже пользовал...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

75. Сообщение от Аноним (4), 02-Янв-24, 23:18	+/–
А как гипервизор защищён, и как он мониторится — это совершенно иная история. Неуязвимых систем не бывает, но security in depth работает потому, что даёт время и возможность кому-то что-то заметить. Остальные — воля божия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

76. Сообщение от Второй из Кукуева (?), 03-Янв-24, 10:03	+/–
Это хорошо, что ты не застал ранний интернет, без тебя тут было лучше NTP появился в 1985 году уже в виде RFC, а первые реализации появились еще раньше Когда в 1996-1997 годах в российские университеты массово пришел халявный интернет(хвала Соросу) там ставилась FreeBSD 2.2.x и конечно же ntp был А ты дальше рассказывай свои сказки, ты-то тогда только родился
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #77

77. Сообщение от timur.davletshin (ok), 03-Янв-24, 12:20	+/–
> Это хорошо, что ты не застал ранний интернет, без тебя тут было > лучше > NTP появился в 1985 году уже в виде RFC, а первые реализации > появились еще раньше > Когда в 1996-1997 годах в российские университеты массово пришел халявный интернет(хвала > Соросу) там ставилась FreeBSD 2.2.x и конечно же ntp был > А ты дальше рассказывай свои сказки, ты-то тогда только родился Мне очень нравятся люди с ложными воспоминаниями. До третьей версии NTPD из Фри был малоюзабелен из-за врождённых багов и околонулевой пригодности к использованию через модем. Хвалить Сороса... ну такое себе. Я даже степуху от него получал, но такое себе никогда не позволял. Кабеля он не тянул никуда. Да, в Венде как там в 3.11 FWG было с NTP? А когда же его, NTP, включили в Венде по дефолту... это вопрос тебе на засыпку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #78, #80

78. Сообщение от фнон (?), 03-Янв-24, 12:25	+/–
> Хвалить Сороса... ну такое себе. Я даже степуху от > него получал, но такое себе никогда не позволял. Кабеля он не тянул никуда. А должены был сам тянуть по подвалам и чердакам? Думаю достаточно дать денег тем кто сможет. Но вообще показательная "благодарность" к тем кто доброе дело сделал. что-то я нифига не удивлен (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #79

79. Сообщение от timur.davletshin (ok), 03-Янв-24, 12:33	–1 +/–
> Но вообще показательная "благодарность" к тем кто доброе дело сделал. > что-то я нифига не удивлен (с) Никто ничего бесплатно не давал и не делал. Я прекрасно знал это ещё в школе. И в попу целовать за то, что я сделал сам, никого кроме родителей не буду. Уж тем более каких-то агентов влияния. Интернеты у нас уже тогда были и DEC'и тоже. Но студенты работали на бездисковых станциях с 4Mb ОЗУ и этого было достаточно. Но я прекрасно помню преподов, которые за "ножки Буша" и пару банок чёрной, как жизнь негра, фасоли готовы были и вприсядку станцевать. Покупали нынешнюю "либерду" очень за небольшие деньги. Часто даже натурой. Некоторые вон до сих пор носятся с воспоминаниями о том, как они в Макдак в мухосранске американском ходили и кушали пищу "богов". Рыжий, не так давно бежавший, инноватор и сколковостроитель тому пример с присевшим за корзину колбасы со взяткой бывшим министром. Ещё один юрист из Кировлеса есть... тоже "соросовец". Президент одной из южных республик, просравший территорию, тоже соросовец. Я уже молчу про "элиту" самой богатой когда-то республики... Достойная всяческого подражания компания )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

80. Сообщение от Второй из Кукуева (?), 03-Янв-24, 16:53	–1 +/–
Иди читай про университетские интернет-центры(УИК) http://www.uic.unn.ru/ Вот тот в котором я работал, например И они были по всей стране То что ты о них не знал говорит о том, что либо ты родился поздно, либо учился в пту дупинска
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #81

81. Сообщение от timur.davletshin (ok), 03-Янв-24, 17:12	+/–
> ты родился поздно, либо учился в пту дупинска Авторитетный аргумент, весомый такой. Страничка где-то на уровне конца 90-х так и осталась. Но куда там нам с нашими Дупинсками. Давай лучше ближе к теме. Так что там с NTP в венде, когда он был включен? А главное, какие публичные NTP сервера ты использовал в 1996 году на FreeBSD 2.x? Ответ в стиле: "Спросили у него воду дали или нет, так он три часа трындел" не прокатит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

82. Сообщение от Аноним (4), 03-Янв-24, 20:50	+/–
У тебя нет задач, требующих s1. У тебя даже нет задач, для которых не зватило бы s3, так что все твои выверты — суть мастурбация, и как результат снижение надёжности синхронизации времени. Ляжет ntp*.vniiftri.ru и будешь по курантам время настраивать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #83

83. Сообщение от timur.davletshin (ok), 03-Янв-24, 21:02	+/–
А pool надёжнее? Реально? Регулярно выбрасывающий на сервера с пингом в 150+ мс и джиттером 10+? Ну, ОК. А ляжет сервер, у меня GPS/Глонасс есть )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #84

84. Сообщение от Аноним (16), 04-Янв-24, 16:17	+/–
Перестаньте уже теребонькать на пинг и джиттер. Нормальным участникам ntp обмена на эти параметры плевать, и на канале с большим пингом и джиттером спокойно выходят на синхронизацию с offset в единицы микросекунд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #85

85. Сообщение от timur.davletshin (ok), 04-Янв-24, 17:07	+/–
> Перестаньте уже теребонькать на пинг и джиттер. Нормальным участникам ntp обмена на > эти параметры плевать, и на канале с большим пингом и джиттером > спокойно выходят на синхронизацию с offset в единицы микросекунд. До да, наплевать. Через packet radio на 300 бод ещё можно SSH сессию поднять. Сами сидите на таких серверах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #86

86. Сообщение от Аноним (16), 04-Янв-24, 19:12	–1 +/–
Блин, ну вы хоть в спецификацию NTP свое жало ткните. Его же специально создали для работы по любым каналам где пакет хоть как-то может пролезть. В отличии от PTP. И да, часы отлично засинхорнизируются с микросекундной разницей и на 300 бод. Даже больше скажу - самое точное время получается на канале связи с рейтом в 1 бод. (Подмена с SSH уж совсем неуклюжей вышла)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #87, #88

87. Сообщение от timur.davletshin (ok), 04-Янв-24, 19:22	+/–
> Блин, ну вы хоть в спецификацию NTP свое жало ткните. Его же > специально создали для работы по любым каналам где пакет хоть как-то > может пролезть. В отличии от PTP. И да, часы отлично засинхорнизируются > с микросекундной разницей и на 300 бод. Даже больше скажу - > самое точное время получается на канале связи с рейтом в 1 > бод. (Подмена с SSH уж совсем неуклюжей вышла) Жало ты жене между ног тыкать будешь. Открой уже статистику по NTP, нахер её тогда придумали, если ты туда даже не смотришь? И сравни при синхронизации с сервером из США и с локальным. Сделай так 100 раз и сведи в таблицу. То с BBR своим носится, даже тестирование не удосужившись сделать грамотное, теперь у него джиттер ни на что не влияет. Раз уж вспомнили. Как там в сетях в большим джиттером твой BBR поживает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #89

88. Сообщение от timur.davletshin (ok), 04-Янв-24, 19:49	+/–
> И да, часы отлично засинхорнизируются > с микросекундной разницей и на 300 бод. https://blog.dan.drown.org/strat-2-tcxo/ - вот нечто аналогичное и я когда-то делал. Только тут ещё нет про влияние kernel tick(less) rate, обработки IRQ и размера буфера сетевой карты. Специально для тебя там упор на джиттер делается. ТАК ЧТО ТАМ ПРО МИКРОСЕКУНДНУЮ ТОЧНОСТЬ БЫЛО? Давай, промычи что-нибудь предметное, как спецификация NTP тут тебе помогает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

89. Сообщение от Аноним (16), 05-Янв-24, 06:35	–1 +/–
Статистика как раз и говорит, что срать хотели ntp-клиенты на твои фантазии. повторю, на Россию и ближнее зарубежье приходится всего 30% запросов, остальное это весь остальной мир. От Европы и Японии до США и Перу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #90

90. Сообщение от timur.davletshin (ok), 05-Янв-24, 07:01	+/–
> Статистика как раз и говорит, что срать хотели ntp-клиенты на твои фантазии. > повторю, на Россию и ближнее зарубежье приходится всего 30% запросов, остальное > это весь остальной мир. От Европы и Японии до США и > Перу. Что ты мычишь? Я тебя не про статистику адресов твоих клиентов спрашиваю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

91. Сообщение от semester (ok), 23-Мрт-24, 17:02	+/–
А в нем можно как то из пула автоматически выбирать сервера? Все что находил это список примерно из 15 серверов на гитхабе которые нужно явно указать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема