Hardening NTP/Chrony no Linux

Buckminster

A segurança e sincronização de horários tornou-se crítica atualmente.
Hoje, a sincronização de tempo não serve apenas para "deixar o relógio certo", mas é um requisito de segurança e funcionamento para quase tudo em uma rede moderna.

[ Hits: 1.721 ]

Por: Buckminster em 05/02/2026

5 0
Denuncie   Favoritos   Indicar   Impressora

CONCLUSÃO



Boas práticas

Use múltiplas fontes: Configure pelo menos 4 servidores NTP.

Isolamento: Utilize um servidor NTP interno, por exemplo, o Chrony, sincronizado com os servidores https://ntp.br/.

NTS: Considere o uso de NTS para autenticação criptográfica moderna.

Autenticação NTP: Use chaves simétricas para garantir que o servidor Web sincronize somente com servidores NTP autorizados (O Chrony usa Network Time Security (NTS) nativo que é mais seguro).

Caso tenha firewall (IPTables, NFTables, PFSense, UFW, etc), libere a porta 4460 para o NTS funcionar.

Exemplos:

$ sudo ufw allow out 4460/tcp

$ sudo iptables -A OUTPUT -p tcp --dport 4460 -j ACCEPT

No nftables.conf: 

table inet filter {
    chain output {
        type filter hook output priority 0; policy drop;
        
        # Tráfego para sincronização de tempo (NTP.br)
        tcp dport 4460 accept comment "NTS Key Exchange"
        udp dport 123 accept comment "NTP Traffic"
        
        # Permitir tráfego já estabelecido
        ct state established,related accept
    }
}

Passo a Passo no pfSense:

Vá em Firewall > Rules.

Selecione a aba da interface onde seu servidor está (geralmente LAN).

Clique em Add (seta para cima) para criar uma nova regra:

  • Action: Pass
  • Interface: LAN
  • Address Family: IPv4 (ou IPv4+IPv6 se usar ambos)
  • Protocol: TCP
  • Source: O IP fixo do seu servidor (recomendado) ou LAN net.
  • Destination: Any (ou crie um Alias com os IPs do NTP.br para ser mais rígido).
  • Destination Port Range: From 4460 to 4460.
  • Description: Permitir NTS Key Exchange (Chrony)

Clique em Save e depois em Apply Changes.

Muitas vezes, além da regra de porta, o pfSense pode ter o pacote pfBlockerNG ou Snort/Suricata instalado. Se eles estiverem ativos, podem estar identificando o tráfego na porta 4460 como "não padrão" e descartando a conexão.

Testando no Chrony

Após aplicar as regras e reiniciar o firewall, teste novamente a conectividade.

Reinicie o Chrony:

$ sudo systemctl restart chrony

Teste de rede:

$ nc -zv a.st1.ntp.br 4460

(Deve retornar Connection to ... succeeded).

Caso retornar algo como:

KeyID 0/KLen 0: A conexão segura não foi estabelecida.

Verifique o handshake:

$ sudo chronyc authdata

Atmp (Attempts): O número 2 em Last Atmp mostra que o Chrony tentou, mas não obteve sucesso recente em renovar os cookies de segurança.

Todos os servidores agora devem exibir KeyID maior que 0 e KLen como 256.

Comandos úteis Chrony:

$ sudo systemctl restart chrony

$ sudo service chrony restart

$ sudo chronyc sources

$ sudo chronyc authdata

$ sudo chronyc tracking

$ nc -zv time.cloudflare.com 4460

$ nc -zv nts.netnod.se 4460

$ nc -zv a.st1.ntp.br 4460

$ sudo journalctl -u chrony | grep -i nts

$ ping -s 1400 a.st1.ntp.br

Se você quiser ver em tempo real o que seu Linux está fazendo ao reiniciar, abra um segundo terminal e deixe rodando:

$ sudo journalctl -f -u chrony

Instalação e configuração do Chrony:


Guia de configuração NTS no Linux com Chrony:


Página anterior    

Páginas do artigo
   1. INTRODUÇÃO
   2. CONFIGURANDO
   3. CONCLUSÃO
Outros artigos deste autor

Manual traduzido do Squid

Como utilizar de forma correta os repositórios e pacotes Backports

Montagem de Cluster

Instalar/habilitar o Linux nativo dentro do Windows com WSL (Windows Subsystem for Linux - Subsistema do Windows para Linux)

kernel Linux otimizado - Compilação e teste

Leitura recomendada

Vault: SSH com OneTimePassword

Mantendo seu Slackware atualizado com o slackcurrent

O Kerberos não é um cachorro de 3 cabeças!

Implementando a segurança em servicos de acesso remoto

Identificando dispositivos IoT usando Wireshark e criando uma estratégia interessante de visibilidade em Linux e Unix

  
Comentários

Nenhum comentário foi encontrado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

File Browser: Crie sua Nuvem Pessoal Privada

A produção de áudio e vídeo no Linux e as distribuições dedicadas a esse fim

Criptografando sua Home com Gocryptfs para tristeza do meliante

A Involução do Linux e as Lambanças Desnecessárias desde o seu Lançamento

O Journal no Linux para a guarda e consulta de logs do sistema

Dicas

Assistindo IPTV no Linux com Fred TV e Lista Free TV

Impressora Tomate MDK-007 no Ubuntu (ou qualquer distro Linux)

Acelerando a compilação de pacotes no Arch Linux (AUR) usando todos os núcleos do processador

Ocultando asteriscos ao digitar senha no Ubuntu

Ativar pacotes amd64v3 no Ubuntu

Tópicos

Teclado sem conseguir usar o acento crase (2)

Warsaw no Ubuntu/Kubuntu 26.04, alguiém conseguiu? [RESOLVIDO] (2)

Continuando meus tópicos anteriores (13)

As Assinaturas Perderam o Negrito e o Itálico? [RESOLVIDO] (1)

Dual boot. (23)

Top 10 do mês

Scripts

[Shell Script] gerenciar_warsaw.sh

[Shell Script] atualizar_kernel.sh

[Shell Script] Flatctl

[Shell Script] yad-clamav

[Shell Script] imageDownloader

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: