linux中ntp安全漏洞修复教程

CVE-2013-5211漏洞说明:

CVE-2013-5211最早公布是2014年1月10日,由于NTP本身不会验证发送者的源ip地址。这就类似于DNS解析器使用的DRDoS(分布式反射型拒绝服务攻击)。攻击者HACK发送了一个伪造报文发送给NTP服务器Server A,将数据包中的源ip地址改成了受害者Client A的ip地址。NTP服务器Server A会响应这个请求,相对于初始请求,响应包发送的字节数是一个被放大的量,导致受害者Client A被dos攻击。最高的两个消息类型:REQ_MON_GETLIST 和REQ_MON_GETLIST_1,通过高达3660和5500的一个因素分别放大原始请求。

【解决方案】:

放大反射dos攻击由CVE-2013-5211所致。且这漏洞是与molist功能有关。Ntpd4.2.7p26之前的版本都会去响应NTP中的mode7“monlist”请求。ntpd-4.2.7p26版本后,“monlist”特性已经被禁止,取而代之的是“mrulist”特性,使用mode6控制报文,并且实现了握手过程来阻止对第三方主机的放大攻击。

操作步骤:

echo "disable monitor" >> /etc/ntp.conf

重启ntp服务

验证:

运行 # ntpdc
ntpdc> monlist
***Server reports data not found
ntpdc>

此时monlist已经被禁止了,也不会影响其时间同步 。或者在配置文件中增加以下两行并重启ntp服务:

restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery

时间: 2024-10-25 01:30:37

linux中ntp安全漏洞修复教程的相关文章

Linux Bash严重安全漏洞修复教程

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击,为了避免您Linux服务器受影响,建议您尽快完成漏洞修补,修复方法如下,请了解! 特别提醒:Linux 官方已经给出最新解决方案,已经解决被绕过的bug,建议您尽快重新完成漏洞修补. Linux Bash输出结果中见到date字样就修复成功了 [已确认被成功利用的软

linux系统中bash漏洞修复教程

天一打开电脑,就发现群里再说bash漏洞的事情,马上搜了下,发现居然比心血漏洞还要严重,好吧,看来今天又有事情要做了.    系统:centos5.x 1.检测你服务器是否需要修复 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 如果输出是vulnerable就要升级bash了. 2.升级bash yum -y update bash 如果是centos6的服务器,yum完后请先执行/sbin/ldconf

linux中Zabbix安装配置图文教程

说明: 操作系统:CentOS IP地址:192.168.21.127 Web环境:Nginx+MySQL+PHP zabbix版本:Zabbix 2.2 LTS 备注:Linux下安装zabbix需要有LAMP或者LNMP运行环境   安装篇 一.创建.导入zabbix数据库 cd /usr/local/src #进入软件包下载目录 tar zxvf zabbix-2.2.6.tar.gz #解压 cd /usr/local/src/zabbix-2.2.6/database/mysql #进

Java反射库中的安全漏洞修复

安全组织Security Explorations发现了Java 7u25中的一个安全漏洞,通过这个漏洞攻击者可以完全摆脱Java沙箱.Oracle在更新的7u40中包含了一个补丁,但是据Security Explorations 在今年早些时候声称,这个补丁仅仅在理念上对其进行了修正,对代码稍加修改之后,依然可以利用这个漏洞.另外,随后的研究表明这个漏洞甚至比最初报道的更加严重.在这个问题公开之后,Oracle发布了一个补丁,作为8u77的一部分. 这个漏洞可以在新的反射库中找到,该库从Jav

linux中Shadowsocks-Go Mu 安装配置教程

安装前配置 还是老样子,那就是各种支持库的安装.   Debian apt-get update apt-get install -y redis-server git CentOS yum install -y redis-server git 安装GO环境 Ubuntu/Debian – 安装配置Golang           安装教程:https://www.bxl.me/9531.html CentOS 6 – 安装配置Go语言                   安装教程:https

Linux中的syslog 入门学习教程

syslog是linux系统中默认的日志守护进程,默认的syslog配置文件是/etc/syslog.conf文件.程序.守护进程和内核提供了访问系统的日志信息.任何希望生成日志信息的程序都可以向syslog接口呼叫产生该信息. 几乎所有的网络设备都可以通过syslog协议,将日志信息通过udp方式传送到远端的服务器,而远端的服务器通过syslogd监听udp的514端口,并且根据syslog.conf配置文件中的配置进行处理,接受访问系统的日志信息,把指定的事件写入到特定的文件中,供后台数据库

linux中Shell命令用法入门教程

什么时候使用Shell 因为Shell似乎是各UNIX系统之间通用的功能,并且经过了POSIX的标准化.因此,Shell脚本只要"用心写"一次,即可应用到很多系统上.因此,之所以要使用Shell脚本是基于:     简单性:Shell是一个高级语言:通过它,你可以简洁地表达复杂的操作.     可移植性:使用POSIX所定义的功能,可以做到脚本无须修改就可在不同的系统上执行.     开发容易:可以在短时间内完成一个功能强大又妤用的脚本. 但是,考虑到Shell脚本的命令限制和效率问题

linux 中NTP时间同步

There are tow pen source software related to the NTP in linux, The first is ntpdate, the second is ntpd. you can install them as following:    apt-get installl ntp; apt-get install openntpd; or emerge ntp; emerge openntpd. ntpdate can be run manually

Linux中的netstat命令使用教程

  从整体上看,netstat的输出结果可以分为两个部分: 一个是Active Internet connections,称为有源TCP连接,其中"Recv-Q"和"Send-Q"指%0A的是接收队列和发送队列.这些数字一般都应该是0.如果不是则表示软件包正在队列中堆积.这种情况只能在非常少的情况见到. 另一个是Active UNIX domain sockets,称为有源Unix域套接口(和网络套接字一样,但是只能用于本机通信,性能可以提高一倍). Proto显示