NTPsec
(重定向自 NTPSec)
NTP 是一个未加密的基于 UDP 的协议,过去曾被滥用进行攻击。已经有一些 尝试提供替代方案,但是该协议的复杂性和使用情况使得这非常具有挑战性。虽然 NTP 提供了加密功能,但已被证明不可靠。通过 NTPsec,“安全”的替代方案是可能的。
安装
您可以通过 ntpsecAUR 软件包安装 NTPsec。
有必要使用以下命令将新的 GPG 密钥导入到您的密钥环中
$ gpg --recv-keys 5A22E330161C3978
gpg: key 5A22E330161C3978: 6 signatures not checked due to missing keys gpg: key 5A22E330161C3978: public key "NTPsec Contact <contact@ntpsec.org>" imported gpg: marginals needed: 3 completes needed: 1 trust model: pgp gpg: depth: 0 valid: 8 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 8u gpg: next trustdb check due at 2019-12-03 gpg: Total number processed: 1 gpg: imported: 1
启动服务
通常启动/启用 ntpd.service。
启用 NTS
NTS 是一种使用 TLS/SSL 在网络上验证 NTP 流量的方法
注意: NTP 池和 Arch NT 池目前不支持 NTS。
将关键字 nts 追加到您的服务器行的末尾。仅对支持 NTS 的服务器执行此操作。如果服务器对 NTS 密钥交换使用 4460 以外的端口,您还需要指定端口号。
例如
/etc/ntp.d/use-pool
server time.cloudflare.com nts iburst server virginia.time.system76.com nts iburst server nts.netnod.se:4460 nts iburst
警告: 您不应从互联网上挑选一些随机主机,而应要求您当地的机构、其他公共实体或拥有现有 NTP 服务的公司添加 NTS。