CentOS 7.5에 NTP 4.2.6p5를 설치했습니다. "네트워크 시간 프로토콜 다중 보안 취약점" 취약점으로 인해 최신 NTP 버전 4.2.8p13으로 업그레이드해야 했습니다.
이제 문제는 yum whatprovides
.
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
이 취약점을 해결하기 위해 NTP를 최신 버전 4.2.8p13으로 업그레이드하는 방법을 아는 사람이 있습니까?
편집-1
소스에서 NTP 최신 버전을 설치했지만 소스에서 설치한 후 서비스를 시작하는 방법을 잘 모르겠습니다.
또한 이전 rpm 패키지도 삭제했습니다.
편집 2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
답변1
실제로 CentOS 패키지를 사용해야 합니다. 모든 백포트된 수정 사항이 있으며 NTP가 다른 CVE를 출시할 때마다 다시 빌드해야 하는 소스에서 구축된 솔루션과 달리 CentOS는 보안 업데이트를 계속 수정합니다.
그냥 "yum update ntp"를 실행하면아래의 모든 CVE를 해결했습니다.. 이러한 CVE가 해결되지 않았다고 말하는 사람도 이 페이지를 확인해야 합니다. Redhat은 이들 중 다수의 경우 el7의 ntp 패키지도 영향을 받지 않는다고 말합니다.
보안 감사자를 맹목적으로 신뢰하지 마십시오. 대부분의 경우 그들은 Windows 시스템에서 도구를 실행하고(Linux에 대해 알고 있다면 운이 좋습니다) 결과를 앵무새처럼 다루며 방법에 대한 심층적인 지식이 없는 사람들일 뿐입니다. 실행하세요. 엔터프라이즈급 Linux 운영 체제가 어떻게 작동하는지 알아보세요. Redhat(및 후속 CentOS)은 보안 수정 사항을 안정적인 패키지 버전으로 백포트합니다. 자신의 최신 버전을 유지하는 것은 실제로더이제는 보안 픽스가 나올 때마다 다시 빌드해야 하므로 보안 위험이 있습니다.
편집: 또한 보안 감사자나 ntp를 최신 버전으로 업그레이드하라고 지시한 사람에게 지시하여 읽으십시오.백포팅에 대한 Redhat 토론
.
답변2
저는 많은 호스트에서 안정성과 빠른 수렴 및 시간 유지 관리를 위해 ntp 대신 chrony를 사용해 왔습니다. 실제로 RHEL/Centos 7.x부터는 chrony가 기본적으로 제공되는 주요 네트워크 시간 패키지라고 생각합니다.
그러나 귀하의 경우 릴리스를 계속 유지하려면 공급업체가 새 버전을 릴리스할 때까지 기다릴 수 있습니다. RHEL/Centos의 경우 패키지에 나열된 주요 버전은 일반적으로 주요 시스템 개정 기간 동안 변경되지 않습니다. 패치가 백포트되고 -#이 변경 사항을 반영하게 됩니다. 따라서 패키지 매니페스트에 버전이 표시되어 있더라도 현재 버전으로 업데이트될 가능성이 높습니다. 이로 인해 관리자가 패키지의 특정 버전 번호를 전체적으로 확인하고 비교하기가 어렵습니다.
정말로 새 버전으로 업그레이드하고 싶다면 소스 패키지를 다운로드하여 새 버전으로 업그레이드하기 위한 기반으로 사용할 수 있습니다. 일부 중요한 패키지에 대해 이 작업을 수행해야 했습니다. 그렇게 어렵지는 않지만 이미 있는 패치를 모두 삭제해야 합니다.