[GTER] [ims at on.br: ntp.on.br: um ano de atraso]

[Durval Menezes]

Alo Jonny,

>      Permita-me discordar...
> 
>      Um servidor com Linux pode atender muito bem o serviço de NTP sem 
> restrição.  O que é imprescindível é a correta configuração do serviço, 
> com vistas à segurança.  O primeiro passo é usar de filtros apra limitar 
> o acesso ao servidor somente para NTP.  Outros protocolos (SSH, DNS, 
> etc) só podem ser permitidos quando vindos de endereços conhecidos. 
> Além disso, acredito que o NTP possa ser colocada em uma gaiola chroot, 
> evitando assim os contratempos que já aconteceram quando descobriram 
> falhas no protocolo do próprio NTP.

Concordo, porem o ntpd TEM QUE RODAR como root... (exceto no NetBSD,
que tem chamadas de manipulacao de clock acessiveis para usuarios
!root). E a coisa mais facil do mundo e' quebrar uma jaula chroot
desde que se tenha uid=0...

>      De qualquer forma, acho que dois serviços sincronizados pelo mesmo 
> relógio parece ser um desperdício (ou uma redundância, depende do ponto 
> de vista).  Se o ntp.nic.br é mais confiável, e é sincronizado pela hora 
> oficial do observatório nacional, melhor mudar o DNS e apontar o 
> ntp.on.br para a mesma máquina.

E coloca-se um ntp2.on.br (ou algo que o valha) apontando para a menos
confiavel, para quem quiser...

Um Grande Abraco,
-- 
   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)

>      Essa é a minha humilde opinião, claro...
> 
> 
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter