Hardening NTP/Chrony no Linux
A segurança e sincronização de horários tornou-se crítica atualmente.
Hoje, a sincronização de tempo não serve apenas para "deixar o relógio certo", mas é um requisito de segurança e funcionamento para quase tudo em uma rede moderna.[ Hits: 140 ]
Por: Buckminster em 05/02/2026
CONFIGURANDO
NTP
No Linux (geralmente/etc/ntp.conf), aplique restrições rígidas para evitar que seu servidor seja usado em ataques de reflexão:
Coloque dentro:
# Restringe acesso padrao restrict default kod nomodify notrap nopeer noquery # IPv4 restrict -6 default kod nomodify notrap nopeer noquery # IPv6 # # Permite localhost restrict 127.0.0.1 restrict -6 ::1 # # Permite upstream de confiança (ex: ntp.br) restrict pool ntp.br nomodify notrap noquery server a.st1.ntp.br iburst nts server b.st1.ntp.br iburst nts server c.st1.ntp.br iburst nts server d.st1.ntp.br iburst nts # # Desabilita monitoramento (desabilita o 'comando' monlist usado para ataques DDoS) disable monitor
Salve e saia.
Reinicie o serviço:
Ou
CHRONY
Para quem tiver o Chrony instalado não necessita configurar o NTP, pois este deve estar desabilitado ou desinstalado para não dar conflito.No
chrony.conf verifique e/ou adicione:
# Rede(s) permitida(s) allow 192.168.1/24 # Fontes de tempo server a.st1.ntp.br iburst nts server b.st1.ntp.br iburst nts server c.st1.ntp.br iburst nts server d.st1.ntp.br iburst nts # Estratégia de segurança padrão do Chrony: # 1. Não precisa de 'restrict default' (bloqueio é o padrão) # 2. Localhost já é permitido para o chronyc via socket # 3. Ratelimit para evitar abusos (similar ao kod e limited do NTP) ratelimit interval 3 burst 16 # Salva a derivação do relógio driftfile /var/lib/chrony/drift # Desativar completamente a porta de comandos via rede cmdport 0
Salve e saia.
Reinicie:
- O Chrony suporta NTS nativamente. Basta adicionar a opção nts ao final da linha do servidor;
- O Chrony bloqueia tudo por padrão. Você não precisa configurar "regras de negação" para o público. Ele só responderá a quem estiver na lista allow;
- O Chrony já permite acesso via localhost (127.0.0.1/::1);
- O Chrony é imune ao ataque monlist que afetava o NTP antigo, pois não possui esse comando;
- Para os servidores do NTP.br (que suportam NTS), a autenticação já está "embutida" no protocolo, precisando somente do parâmetro nts.
2. CONFIGURANDO
3. CONCLUSÃO
Compilando kernel no Debian Squeeze
ClamAV, o kit de ferramentas antivírus
Squid - Entendendo um pouco as configurações
Customizar a Instalação do Linux Debian com Preseed
Resenha do livro: Praticando a Segurança da Informação
Debian Sarge + Snort + MySQL + Acidlab + Apache
AUDIT: Auditoria de arquivos no Linux para conhecer quem fez alterações em arquivos
Nenhum comentário foi encontrado.
Patrocínio
Destaques
Artigos
XFCE - quase um Gnome ou Plasma mas muito mais leve
LXQT - funcional para máquinas pererecas e usuários menos exigentes
Dicas
Samba 4 AD-DC 2026: Como instalar e configurar um Active Directory (via APT-GET)
[Resolvido] Sumiço de redes e micro quedas no iwd/iwgtk (Realtek rtw88)
Como Configurar DNS Reverso (PTR) em Ambientes Linux e Microsoft
Preparando o Ambiente para Administrar o Samba 4 a partir do Windows com RSAT
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 120.873 pts -
Fábio Berbert de Paula
2° lugar - 58.065 pts -
Buckminster
3° lugar - 27.205 pts -
Mauricio Ferrari (LinuxProativo)
4° lugar - 18.887 pts -
Alberto Federman Neto.
5° lugar - 18.004 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 17.789 pts -
edps
7° lugar - 17.268 pts -
Sidnei Serra
8° lugar - 17.092 pts -
Diego Mendes Rodrigues
9° lugar - 16.920 pts -
Daniel Lara Souza
10° lugar - 16.868 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
