Hardening NTP/Chrony no Linux

Buckminster

A segurança e sincronização de horários tornou-se crítica atualmente.
Hoje, a sincronização de tempo não serve apenas para "deixar o relógio certo", mas é um requisito de segurança e funcionamento para quase tudo em uma rede moderna.

[ Hits: 1.720 ]

Por: Buckminster em 05/02/2026

5 0

Denuncie Favoritos Indicar Impressora

CONFIGURANDO

NTP ou Chrony (use um ou outro).

NTP

No Linux (geralmente /etc/ntp.conf), aplique restrições rígidas para evitar que seu servidor seja usado em ataques de reflexão:

$ sudo vim /etc/ntp.conf

Coloque dentro:

# Restringe acesso padrao
restrict default kod nomodify notrap nopeer noquery # IPv4
restrict -6 default kod nomodify notrap nopeer noquery # IPv6
#
# Permite localhost
restrict 127.0.0.1
restrict -6 ::1
#
# Permite upstream de confiança (ex: ntp.br)
restrict pool
ntp.br
nomodify notrap noquery
server a.st1.ntp.br iburst nts
server b.st1.ntp.br iburst nts
server c.st1.ntp.br iburst nts
server d.st1.ntp.br iburst nts
#
# Desabilita monitoramento (desabilita o 'comando' monlist usado para ataques DDoS)
disable monitor

Salve e saia.

Reinicie o serviço:

$ sudo systemctl restart ntp

$ sudo systemctl restart ntpd

CHRONY

Para quem tiver o Chrony instalado não necessita configurar o NTP, pois este deve estar desabilitado ou desinstalado para não dar conflito.

No chrony.conf verifique e/ou adicione:

# Rede(s) permitida(s)
allow 192.168.1/24

# Fontes de tempo
server a.st1.ntp.br iburst nts
server b.st1.ntp.br iburst nts
server c.st1.ntp.br iburst nts
server d.st1.ntp.br iburst nts

# Estratégia de segurança padrão do Chrony:
# 1. Não precisa de 'restrict default' (bloqueio é o padrão)
# 2. Localhost já é permitido para o chronyc via socket
# 3. Ratelimit para evitar abusos (similar ao kod e limited do NTP)
ratelimit interval 3 burst 16

# Salva a derivação do relógio
driftfile /var/lib/chrony/drift

# Desativar completamente a porta de comandos via rede
cmdport 0

Salve e saia.

Reinicie:

$ sudo systemctl restart chrony

O Chrony suporta NTS nativamente. Basta adicionar a opção nts ao final da linha do servidor;
O Chrony bloqueia tudo por padrão. Você não precisa configurar "regras de negação" para o público. Ele só responderá a quem estiver na lista allow;
O Chrony já permite acesso via localhost (127.0.0.1/::1);
O Chrony é imune ao ataque monlist que afetava o NTP antigo, pois não possui esse comando;
Para os servidores do NTP.br (que suportam NTS), a autenticação já está "embutida" no protocolo, precisando somente do parâmetro nts.

Página anterior Próxima página

Páginas do artigo

   1. INTRODUÇÃO
   2. CONFIGURANDO
   3. CONCLUSÃO

Outros artigos deste autor

Instalação do PostgreSQL, Apache2 e PHP8 no Debian Buster 10 e no Stretch 9

Entendendo o que é URI, URL, URN e conhecendo as diferenças entre POST e GET

Compilação de Kernel

Instalação do PAP (PostgreSL, Apache2 e PHP7) no Debian Jessie

Redes de Computadores · IPtables · Endereços IPs - Explicações básicas

Leitura recomendada

Utilizando RPM para detecção de intrusos

Melhorando o nível de segurança com chflags