2014年02月18日
ntpd DoS攻撃対策。
最近流行りのntpdの脆弱性を利用したDoS攻撃、これを見る限りではntp.confに"disable monitor"を追加すればいいだけのように思えるけど、外部からの接続を完全に遮断しないと駄目っぽいな。って訳で、NICTとMFEEDのntpサーバーへの接続だけ許可しつつ、余計なもん全部省くと、以下のようになった。
restrict default ignore
restrict 127.0.0.1
restrict 133.243.0.0 mask 255.255.0.0 nomodify notrap noquery
restrict 210.173.160.0 mask 255.255.252.0 nomodify notrap noquery
driftfile /var/lib/ntp/drift
server ntp.nict.jp
server ntp.jst.mfeed.ad.jp
disable monitor
脆弱性には関係ないけど、stratumの違うNTPサーバーを一緒に使うな という話もあるので、もしあれ(?)なら、どっちか片方で良いような気もする。
サーバー1台毎に設定変えるのは面倒やし、ルーター側のファイアーウォールで遮断してしまうのが一番楽チンか。
restrict default ignore
restrict 127.0.0.1
restrict 133.243.0.0 mask 255.255.0.0 nomodify notrap noquery
restrict 210.173.160.0 mask 255.255.252.0 nomodify notrap noquery
driftfile /var/lib/ntp/drift
server ntp.nict.jp
server ntp.jst.mfeed.ad.jp
disable monitor
脆弱性には関係ないけど、stratumの違うNTPサーバーを一緒に使うな という話もあるので、もしあれ(?)なら、どっちか片方で良いような気もする。
サーバー1台毎に設定変えるのは面倒やし、ルーター側のファイアーウォールで遮断してしまうのが一番楽チンか。