[GTER] ntpdate vs ntpd (aka, ntpd pra que?)

[Antonio M. Moreiras]

On 14/02/15 15h07m, Evandro Nunes wrote:
> o que me chama atencao é que se um ambiente como o meu, existe o deslize
> (normalmente por falta de tempo nas pessoas terem que pensar em tudo) de
> subir o ntpd sem cuidar da udp/123 escancarada (e dai veio a necessidade de
> uma bcp e padronizar rpaticas internas), que dira com os 99% do mundo e dos
> linux, mikrotik, etc, que vem com ntpd escancarado quando se liga o
> servico...
> 
> nesse sentido se a recomendacao por exemplo do Nic.Br fosse em favor de
> ntpdate ao inves de ntp, nao seria mais seguro pro mundo todo?
> 
> afinal no proprio site do nic.br nao se chama atencao as melhores praticas,
> falta no minimum um paragrafo sugerindo nao ouvir na UDP/123 se for apenas
> cliente e configurar controle de acesso explicitamente e responsavelmente
> se precisar do NTPD em modo servidor...
> 
> no proprio ntp.br chega-se ao preciosismo de ensinar compilar a partir dos
> fontes e monitorar, mas o sample conf nao cuida da seguranca

Olá Evandro. Bastante pertinentes suas colocações em relação à
segurança. O site do NTP.br talvez realmente tenha que ser revisado
nesse quesito.

Veja que as configurações padrão lá recomendadas já são específicas para
clientes, com 'noquery' e 'disable monitor' as consultas não são
respondidas. Mas talvez possamos deixar isso mais explícito. E mesmo
melhorar a recomendação. Por exemplo: não tenho certeza se é possível
impedir que o ntpd escute na porta 123 por configuração, vou verificar,
se houver como fazer isso, podemos acrescentar. Podemos também
acrescentar sugestões para bloquear no firewall. E sugestões específicas
e pertinentes para clientes e para servidores de forma separada.

A principal vantagem que vejo do ntpd em relação ao ntpdate é a
acurácia. Na prática tenho visto relógios de desktops e servidores com
drifts bem maiores do que 1s a cada ano, podendo acumular erros da ordem
de alguns minutos em poucos dias. Além disso, não tenho certeza de que o
código do ntpdate esteja sendo ainda mantido ativamente, há vários anos
os desenvolvedores recomendam não usá-lo.

Concordo que a configuração é 'complicada'. O ideal seria que para ser
usado como cliente precisasse de nenhuma configuração, ou no máximo, uma
linha indicando um pool de servidores. Isso é assim por exemplo no
OpenNTPD, ele não escuta nenhuma porta por padrão e só precisa de uma
linha no seu arquivo de configuração: "servers pool.ntp.br". Então,
lembrando novamente de uma discussão que ocorreu há alguns dias aqui na
lista, talvez o OpenNTPD seja uma boa solução pra ser considerada como
cliente no lugar do ntpd (ou do ntpdate).

[]s
Moreiras.