NTP 4.2.6p5版本導致多個系統安全漏洞
問題描述:通過漏洞掃描發現NTP 4.2.6p5版本導致多個系統漏洞,需要升級版本更高的ntp,一般剛開始都是yum直接裝ntp包,現在需要重新解除安裝安裝原始碼包
下載連結:http://distfiles.macports.org/ntp/
作業系統:centos7.6
掃描安全漏洞部分如下:
1.檢視當前ntp版本
[root@hzh ntp]# ntpd --version
ntpd 4.2.6p5
2.備份原ntp配置檔案
cp -ar /etc/ntp /etc/ntp.bak
cp /etc/ntp.conf /etc/ntp.conf.bak
#cp /etc/init.d/ntpd /etc/init.d/ntpd.bak ---如果之前沒有加入開機自啟,這個是沒有這個檔案的
cp /etc/sysconfig/ntpdate /etc/sysconfig/ntpdate.bak
3.檢視所需的rpm包(openssl-devel經過測試不需要這個包我也成功安裝了,但是沒有gcc的兩個包不行)
rpm -qa gcc gcc-c++ openssl-devel libstdc++* libcap*
yum install gcc gcc-c++ openssl-devel libstdc++* libcap* -y
4.解除安裝原ntp服務
yum remove ntp ntpdate
5.上傳ntp-4.2.8p12
mkdir /ntp
上傳ntp-4.2.8p12.tar.gz
[root@hzh ntp]# tar -zxvf ntp-4.2.8p12.tar.gz
6.編譯安裝
cd /ntp/ntp-4.2.8p12
./configure \ --prefix=/usr \ --bindir=/usr/sbin \ --enable-all-clocks \ --enable-parse-clocks \ --docdir=/usr/share/doc/ntp-4.2.8p12
make &&make install
時間可能會比較長,需要等待3-5分鐘
7.檢視版本是否安裝成功
[root@hzh ~]# ntpd --version
8.使用原ntp配置啟動
cp /etc/ntp.conf.bak /etc/ntp.conf
/usr/sbin/ntpd -c /etc/ntp.conf --啟動ntp程式
9.檢視ntp是否啟動成功
ps -ef | grep ntpd
netstat -tunlp | grep 123
10.與時間同步伺服器進行時間同步
netstat -tunlp | grep 123
kill -9 1802
ntpdate 192.168.226.8 --ntpdate跟上配好ntp的服務端
hwclock -w --寫入硬體
11.可選則將啟動ntp寫入定時任務或者新增指令碼到開機自啟動中
加入定時任務:
crontab -e
00 04 * * * /usr/sbin/ntpdate 時間同步伺服器;/sbin/hwclock -w
加到開機自啟動:
cd /etc/init.d
touch ntp_start.sh
cat > ntp_start.sh <<EOF
#!/bin/sh
#chkconfig: 2345 80 90
#description:開機自動啟動的指令碼程式
/usr/sbin/ntpd -c /etc/ntp.conf
EOF
chmod +x /etc/init.d/ntp_start.sh
chkconfig --add ntp_start.sh
chkconfig ntp_start.sh on