NTPsec

来自 ArchWiki

相关条目

NTP 是一种基于 UDP 的未加密协议,过去曾被 滥用 进行攻击。为了提供替代方案,人们已经进行了 多次 尝试,但该协议的复杂性和使用方式使得这项工作极具挑战性。虽然 NTP 提供了加密功能,但已被证明 不可靠。借助 NTPsec,实现 “安全” 替代方案成为可能。

安装

您可以通过 ntpsecAUR 软件包安装 NTPsec。

有必要使用以下命令将新的 GPG 密钥导入到您的密钥环中:

$ gpg --recv-keys 5A22E330161C3978
gpg: key 5A22E330161C3978: 6 signatures not checked due to missing keys
gpg: key 5A22E330161C3978: public key "NTPsec Contact <contact@ntpsec.org>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   8  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 8u
gpg: next trustdb check due at 2019-12-03
gpg: Total number processed: 1
gpg:               imported: 1

启动服务

通常 启动/启用 ntpd.service

注意: 目前,ntpsecAUR 只会在安装过程中卸载 ntp。如果您正在使用其他 NTP 实现,请务必停止/禁用该服务

启用 NTS

NTS 是一种使用 TLS/SSL 在网络上验证 NTP 流量的方法

注意: NTP 池和 Arch NT 池目前不支持 NTS。

将关键字 nts 附加到服务器行的末尾。仅对支持 NTS 的服务器执行此操作。如果服务器使用端口 4460 以外的端口进行 NTS 密钥交换,您还需要指定端口号。

例如

/etc/ntp.d/use-pool
server time.cloudflare.com         nts iburst
server virginia.time.system76.com  nts iburst
server nts.netnod.se:4460          nts iburst

这里是支持 NTS 的 NTP 服务器的非官方列表

警告: 您不应从互联网上选择一些随机主机,而应要求您当地的机关、其他公共实体或具有现有 NTP 服务的公司添加 NTS。

参见

检索自“https://wiki.archlinux.org.cn/index.php?title=NTPsec&oldid=799963