ntp漏洞恢复 Centos 7.6 升级 NTP 到 4.2.8p12 版本

NTP认证绕过漏洞(CVE-2015-7871)

ntpd存在NULL指针引用拒绝服务漏洞(CVE-2016-9311)

NTP 安全漏洞(CVE-2014-9294)

NTP 基于栈的缓冲区溢出漏洞(CVE-2014-9295)

NTP拒绝服务漏洞（CNVD-2015-07020）(CVE-2015-7705)

NTP拒绝服务漏洞（CNVD-2015-07021）(CVE-2015-7701)

因为centos7.6系统中默认安装的是 ntp 4.2.6p5版本，但是此版本漏洞很多，很容易被攻击导致无法提供服务等等问题。下面的链接是ntp 4.2.6p5版本漏洞详细：

https://www.jianshu.com/p/a6a761617736

查看当前系统版本：

查看当前 ntpd 版本：

一、 系统与软件版本**

二、安装准备

安装依赖包：

备份旧版本的配置文件：（不需要备份的话请跳过）

建议备份因为源码安装不会生成配置文件如果不备份的话我会在下面贴出配置文件的内容

卸载yum安装的ntpd服务：

解压 ntp 压缩文件：

三、编译安装ntp-4.2.8p9

命令详解：

--prefix=安装的目录

--bindir=会将主程序放置到这个文件夹

--docdir=doc文档的存放目录

查看运行是否有错误：

执行： echo $?

编译并安装：

创建软链接：

查看 ntp 版本：

配置 ntp ：

执行 vim /etc/ntp.conf

这个配置文件是将此节点配置成本地服务 server 端：

本地其他机器可以使用命令：ntpdate mongodb04来和此节点同步时间

添加以下配置：

然后就是启动 ntp 服务了：

查看 ntp 服务是否启动：

查看 ntp 服务端口：

检查同步情况：

watch ntpq -p

在启动之后短时间内可能无法和此节点同步时间可能会出现下面的问题：

1.禁用ROOT权限登录。(重要)

2.安全组收缩不使用的端口，建议除443/80以及ssh登录等必要端口外全部关闭。

3.防火墙收缩不使用的端口，建议除443/80以及ssh登录端口外全部关闭。

4.更改ssh默认端口22

5.除登录USER，禁止其他用户su到root进程，并且ssh开启秘钥及密码双层验证登录。(重要)

6.限制除登录USER外的其他用户登录。

7.安装DenyHosts，防止ddos攻击。

8.禁止系统响应任何从外部/内部来的ping请求。

9.保持每天自动检测更新。

10.禁止除root之外的用户进程安装软件及服务，如有需要则root安装，chown给到用户。

11.定时给服务器做快照。

12.更改下列文件权限：

13.限制普通用户使用特殊命令，比如wget，curl等命令更改使用权限，一般的挖矿程序主要使用这几种命令操作。

1.nginx进程运行在最小权限的子用户中，禁止使用root用户启动nginx。(重要)

2.配置nginx.conf，防范常见漏洞：

1.禁止root权限启动apache服务！禁止root权限启动apache服务！禁止root权限启动apache服务！重要的事情说三遍！因为这个问题被搞了两次。

2.改掉默认端口。

3.清空webapps下除自己服务外的其他文件，删除用户管理文件，防止给木马留下后门。

4.限制apache启动进程su到root进程以及ssh登录，限制启动进程访问除/home/xx自身目录外的其他文件。

5.限制apache启动进程操作删除以及编辑文件，一般a+x即可。

1.关闭外网连接，与java/php服务使用内网连接。

2.在满足java/php服务的基础上，新建最小权限USER给到服务使用，禁止USER权限访问其他项目的库。

3.root密码不要与普通USER相同。

4.建议使用云库，云库具备实时备份，动态扩容，数据回退等功能，减少操作风险。

1.关闭外网连接，只允许内网交互，基本这个做了之后就已经稳了。

2.禁止root权限启动，运行在普通用户进程里。

3.更改默认端口。

4.添加登录密码。

以上是自己做的防范手段，不成熟见解，有一些方案待验证，不定时更新，欢迎大佬补充！

打开腾讯电脑管家——工具箱——修复漏洞，进行漏洞扫描和修复。

建议设置开启自动修复漏洞功能，开启后，电脑管家可以在发现高危漏洞（仅包括高危漏洞，不包括其它漏洞）时，第一时间自动进行修复，无需用户参与，最大程度保证用户电脑安全。尤其适合老人、小孩或计算机初级水平用户使用。开启方式如下：进入电脑管家“修复漏洞”模块—“设置”，点击开启自动修复漏洞即可。

---