2014年02月18日

ntpd DoS攻撃対策。

最近流行りのntpdの脆弱性を利用したDoS攻撃、これを見る限りではntp.confに"disable monitor"を追加すればいいだけのように思えるけど、外部からの接続を完全に遮断しないと駄目っぽいな。って訳で、NICTとMFEEDのntpサーバーへの接続だけ許可しつつ、余計なもん全部省くと、以下のようになった。

restrict default ignore
restrict 127.0.0.1
restrict 133.243.0.0 mask 255.255.0.0 nomodify notrap noquery
restrict 210.173.160.0 mask 255.255.252.0 nomodify notrap noquery

driftfile /var/lib/ntp/drift

server ntp.nict.jp
server ntp.jst.mfeed.ad.jp

disable monitor

脆弱性には関係ないけど、stratumの違うNTPサーバーを一緒に使うな という話もあるので、もしあれ(?)なら、どっちか片方で良いような気もする。

サーバー1台毎に設定変えるのは面倒やし、ルーター側のファイアーウォールで遮断してしまうのが一番楽チンか。

ihouse at 23:56コメント(0)トラックバック(0)IT  

トラックバックURL

コメントする

名前
 
  絵文字
 
 
Archives
@おうちチャットルーム
HELLO BLOG ブログチャット
  • ライブドアブログ