【いま何時?】NTPサーバ【ソーネダイタイネー】
JVNVU#96605606 Network Time Protocol daemon (ntpd) に複数の脆弱性 http://jvn.jp/vu/JVNVU96605606/ 影響を受けるシステム ・ntpd 4.2.7 およびそれ以前 ・ntp-keygen 4.2.7p230 より前のバージョン 詳細情報 ・PRNG における不十分なエントロピー (CWE-332) - CVE-2014-9293 ntp.conf ファイルで auth key が設定されていない場合、暗号強度の不十分なデフォルト鍵が生成されます。 ・暗号における脆弱な PRNG の使用 (CWE-338) - CVE-2014-9294 4.2.7p230 より前のバージョンの ntp-keygen は、弱いシード値で暗号論的に不適切な乱数生成器を使い、対称鍵を生成します。 ・スタックバッファオーバーフロー (CWE-121) - CVE-2014-9295 ntpd の crypto_recv() (autokey 認証利用時)、ctl_putdata()、および configure() には、細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在します。 ・エラー条件、戻り値、状態コード (CWE-389) - CVE-2014-9296 ntpd において特定のエラー処理を行うコードに return 式が存在しない箇所が存在するため、エラー発生時に処理が停止しない問題があります。 利用者は早急にntpd 4.2.8へのアップデートを >>293 これって、サーバ、クライアントのどちらの方が問題なのでしょうか? おまえらがnict一択mfeedは精度悪いと言ってるからあまのじゃくな俺はmfeedにするわ つーかさ、 mfeed って NICT の下流につながってるんだから mfeed と NICT を両方聞く、ってのは自己満足意外にメリットないんだが。 ずれるときは両方道連れだから耐障害にもならないよ? (active peer組んでるだろうからmfeedのほうがずれにくいかも) 耐障害性を考えるならGPSとかプロバイダのルーターをいっしょに聞いたほうがいい。 time.windows.comの同期エラー率の高さをなんかしてほしい 数千台あるマシンのntpの設定をいちいち変えるのは面倒なんだよ ふと思ったんだけど、時前のDNSで勝手にmfeedあたりのアドレスを返すようにするって手はあるだろうか time.windows.comのZONEを作れば出来ると思いますが。。。 unboundでできるんでないかな。 DDNSでリモートアクセスしてた時、LAN内から参照したら プライベートIPを返すように設定してた。 でもそれだけ台数あるなら普通はAD立てる。 2010/02/18よりJPIX内のサーバからも配信していたが(報道資料)、2011/01/23から停止中。 NICTはSINET上にあるため、多くのISPからは自社網→JPIX→SINET→NICTと経由することとなり、MFEEDと比較するとhop数やpingの応答の面では不利となる。 http://wiki.nothing.sh/page/NTP/%BF%E4%BE%A9%B8%F8%B3%AB%A5%B5%A1%BC%A5%D0 MFEEDの方がNICTよりも精度が高そうだよ うちとこは何年も前からMFEEDしか使ってない 実際の鯖選択はラウンドロビン任せ 晒してみる remote st t when poll reach delay offset jitter ============================================================================== +ntp-a3.nict.go 1 u 33 1024 377 3.887 0.123 0.804 *ntp-a2.nict.go 1 u 473 1024 377 3.526 0.317 0.347 +ntp-b3.nict.go 1 u 552 1024 377 4.553 0.234 0.843 +ntp-b2.nict.go 1 u 569 1024 377 4.106 0.250 0.367 -ntp01.so-net.net 2 u 684 1024 377 4.863 0.817 1.256 -ntp1.jst.mfeed 2 u 113 1024 377 2.997 1.093 0.616 -ntp2.jst.mfeed 2 u 810 1024 377 3.146 1.369 0.858 -ntp3.jst.mfeed 2 u 1031 1024 377 3.136 -0.974 0.722 remote refid st t when poll reach delay offset jitter ============================================================================== -ntp1.jst.mfeed. 133.243.236.17 2 u 358 1024 377 53.298 -0.362 1.095 +ntp2.jst.mfeed. 133.243.236.17 2 u 744 1024 377 45.475 2.247 2.507 +ntp3.jst.mfeed. 133.243.236.17 2 u 1010 1024 377 47.345 1.991 3.139 *ntp1.wakwak.com 133.243.238.243 2 u 1015 1024 377 46.787 1.707 5.346 -ntp2.wakwak.com 133.243.238.163 2 u 23 1024 377 53.607 -2.454 3.330 私は元創価の会員でした。 すぐ隣に防衛省の背広組みの官舎があるのですが、 自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、 学会本部に送っていました。 別に大したものは写っていません。ゴミだしとか奥さんが子供を遊ばせている所とか。 官舎が老朽化して使われなくなってから、 今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、 もう守ってやれないのでこれからは満額申告するように言われました。 納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、 朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ 馬鹿らしくなって脱会しました。 それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。 全部自分の出来心から起きたことで、どこに訴えるわけにもいかないのですが、 何とかあの人たちと縁を切って新しい始まりを迎える方法はないんだろうか。 すいません。 UbuntuでGPS PPSに同期したntpdを立ち上げようとしてるんですが、GPIOからのPPS取得で悩んでるんで、もしよろしければご助言下さい。 PC(ボードコンピュータ)とGPSとは/dev/ttyS5でUART接続していて、cuやgpsdでちゃんとNMEAを見ることが出来ています。 PPSはGPIOピンに接続されていて、 $ cat /sys/class/gpio/gpio504/value などとすると1秒に1回 "1"が表示されているのでPPS信号はGPIOに届いています。 で、ネットで良く出ているのがラズパイでGPIO 18ピンに接続する方法で、/boot/config.txtに、 dtoverlay=pps-gpio,gpiopin=18 と記述してPPSを入力しているGPIOピン番号を指定してます。 ですが、こちらで動作させているOSはUbuntuで、PPSのソースにgpioを指定する方法が分かりません。 dmesgすると、 $ dmesg|grep pps [ 9.767347] pps_core: LinuxPPS API ver. 1 registered [ 9.767355] pps_core: Software ver. 5.3.6 - Copyright 2005-2007 Rodolfo Giometti <giometti@linux.it> [ 9.771137] pps_ldisc: PPS line discipline registered [ 9.772014] pps pps0: new PPS source serial5 [ 9.772050] pps pps0: source "/dev/ttyS5" added となっていて、pps0のソースをttyS5から取得してしまっています。 このPPSのソースをgpioの指定したピンにしたいのですが、どのように指定すれば良いのでしょうか? >>308 ラズパイじゃなくってubuntuでしたいんだろ。 >>310 家庭用PCならプロバイダ提供鯖で実用上の問題はまったくない あとは自己満足 精度やトラフィック的にはmfeedでもISPでもどこでも大差無い。 でも、ntp.nict.jpは覚えやすくて調べないでも済むので使ってる OCNのNTPは10BASEで繋がってんのかってぐらいクッソ遅い これ普通にショックだわ。。 本当なの?? https://goo.gl/RB0asw 318はアフィリンク 最近あちこちの板に絨毯爆撃してる メッセージ2行に短縮URLはNG NTP用のGPSレシーバって楽天でしか買えないのだろうか。 >>315 mfeedも覚えちまったよ。 ちなみに、ntp.nict.jpとntp.nict.go.jpは若干違う模様。 NTP, SNTP負荷分散作戦所 http://hayabusa6.2ch.net/test/read.cgi/network/1106498099/ より、3年前のものだが興味深い情報があったので引用。 468 名前:465[sage] 投稿日:2013/09/16(月) 16:09:31.00 ID:??? 情報まとめてみた。 NTT東西のフレッツ 光ネクスト(フレッツ 光マイタウン ネクスト含む)と フレッツ 光ライトはNGNにてSNTPサービスが提供されており、 そのアドレスはDHCPv6で通知されています。 ホームゲートウェイ(ひかり電話ルーター)の「DHCPクライアント取得情報」には、 プライマリー(1番目)のSNTPサーバーアドレスのみ表示されます。 ホームゲートウェイ自身にはSNTPサーバー機能が無く、NGNから通知された 複数のSNTPサーバーアドレスをそのままDHCPv6クライアントへ通知します。 2.4.2.1.3 IPoE方式におけるDHCPv6によるレイヤ3情報(網内サーバ)の自動取得 NTT東日本:https://flets.com/pdf/ip-int-flets-3.pdf#page=20 NTT西日本:https://flets-w.com/next/download/tool/gijyutsu_sankou_next_light.pdf#page=21 現在通知されているSNTPサーバーアドレス NTT東日本 2404:1a8:1102::a、2404:1a8:1102::b NTT西日本 2001:a7ff:102::a、2001:a7ff:102::b、2001:a7ff:102::c ※環境によっては2001:a7ff:102::cを取得しないこともあるようです。 これらは将来変更される可能性や、サービスの契約状況 (フレッツ・v6オプションやIPoE接続事業者など)によって 差異がある事も考えられるので、各自で通知内容を確認してください。 参考情報 https://www.seil.jp/community/node/33 http://www.gcd.org/blog/2011/07/820/#comment-2015 地域IP網からNGNへのマイグレーションにより、現在は フレッツ・光プレミアム(フレッツ・光マイタウン含む)と NTT東日本のBフレッツもNGNに収容されていますが、 上記のSNTPサーバーを利用できるか否かは分かりません。 尚、こちらで確認したのはNTT西日本のフレッツ 光ネクストのみです。 472 名前:anonymous@i121-114-37-14.s42.a001.ap.plala.or.jp[sage] 投稿日:2014/08/24(日) 11:40:35.87 ID:??? 最近、光ネクストになったので >>468 を試してみた。 北海道からなのでISPのNTPもNGNのNTPもdelayは変わりないのだが jitterが桁違いにNGNのNTPのほうが少ない。 混雑してない時間での話だから、ピークタイムになればもっと差が出るのだろうな。 DHCPv6で通知されてるかどうかわからないけど、2404:1a8:1102::cもNTPとして動いてた。 2個の振り子時計じゃダメだ 91921631770回腰を振って腰ふり時計を作ろう すごくおもしろいPCさえあれば幸せ小金持ちになれるノウハウ 一応書いておきます グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』 Z80D6 >>323 秋月の1pps出せてNTPに使えそうなレシーバは全部屋内用だよ。 アンテナとコア一体型だから屋外に出すには不向きだし、 室内で使えるような感度ギンギンでも無い。 >>331 信じられないだろ? 1年でたった8レスしか進んでないんだぜ >>332 信じられんな。 3〜4年平然と放置されるこの板で8レスも進んでる。 ntp.ring.gr.jpを使ってるんだけど通信できないIPを返すことがあるみたい もしかしてringってメンテナンスされてないの? 福岡大学が独自に運用してきた日本初の公開NTPサービスを利用しないように呼びかけ中、将来的な停止で世界規模の影響が出る恐れも - GIGAZINE https://gigazine.net/news/20190702-fukuoka-u-ntp-server-shut-down/ この問題ってまだ終わってなかったのね IPアドレスをNICTに移譲するしか解決方法が思い浮かばない >>344 まだこんなことやってるのかこの時代にw みんな福岡大学のサーバーを使うの控えましょうねww なんで今更古いニュース、と思ったら半年前かよ 何年同じことやってんだ そろそろBUFFALOあたりに損害賠償でも請求したら? 目的は金じゃなくてニュースにして情報を広めて貰うこと 正攻法じゃいつまでも直らないし NICTもアクセス殺到して悲鳴あげてるんだってね。 毎秒100万リクエストも大丈夫なんてドヤ顔だったのにそれでも足りないんだな。 やっぱりそこまで精度必要としない場合はpoolとかringでいいと思うんだよね mfeedも殺到してるのかな プロバイダが提供してないから どっちを設定するのが良いか迷ってるんだよね jp.pool.ntp.org でいいんじゃないのかな 一般向けのプロバイダはDNSレベルで勝手に別のNTPに送るとか認めればいいのに 誰かセイコーTS-2010の設定方法おしえてください time.google.com または time.cloudflare.com でいいんじゃないですかね。 >>350 負荷分散とかの仕様が備わってないから一般のクライアントまでここに繋ぐようになったのと プロバイダがNTPサーバ立ててなかったりするのが大きな原因なんだろうね 国内の一般ユーザなら 0.jp.pool.ntp.org か 1.jp.pool.ntp.org の方がいいんじゃないの こういう活動やってるならもっと積極的にアナウンスして広げればいいのにね 最近のLinuxのディストリビューションだと、例えばUbuntuなら「ubuntu.pool.ntp.org」 Centosなら「centos.pool.ntp.org」をデフォルトで使うようになってるんだが 設定の解説サイト見るとそれをnictやmfeedに書き換える説明になってることが多いように思う そういう解説を書く人はpool.ntp.orgの存在を知らないのかな クラウドフレアってCDNが胡散臭い印象があるので全体的に余りいい印象がない。 cloudflareドメインは詐欺サイトに使われまくってるから丸ごとブラックリストに入れたいぐらい NICTもサーバーを増設したみたいだな。神戸のほうにサーバーを増設したようだ。 NICTはそんなに遠慮することもないね。NICTの規定の3分以上の間隔を守って遠慮せずじゃんじゃん使おうw >>363 新しいサーバが先週から稼働してるみたいね という事は「これからもどんどん使ってくれ」というサインと見て良いのかな https://www.sakura.ad.jp/information/pressreleases/2020/03/17/1968203094/ https://elab.sakura.ad.jp/ntp-trial/ さくらインターネットが、FPGAベースのハードウェアNTPサーバーを実験公開 時刻源はGNSS、Stratum 1。負荷は約10ギガビット/秒(約1300万リクエスト/秒) 福岡大と協力での開発とのこと サーバーは fpga-ntp-trial.elab.sakura.ad.jp >>365 >当サービスは2021 年3 月末日までの時限にて運用され、正式なサービスとしての継続は行われません。 福岡大がntpサーバ増強したのか これなら遠慮なく毎秒133.100.9.2にアクセスできるな Building a more accurate time service at Facebook scale https://engineering.fb.com/production-engineering/ntp-service/ FacebookがパブリックNTPサーバーを公開 ・Chronyベース ・時刻源はGNSS ・Stratum 1 ・leap smear アドレスは time.facebook.com time1.facebook.com time2.facebook.com time3.facebook.com time4.facebook.com time5.facebook.com IIJから8ホップか うちからだとmfeedと大差ない 気になったので計った facebook/v6 17hop 63ms facebook/v4 15hop 12ms mfeed/v4 15hop 13ms nict/v6 25hop 6ms nidt/v4 28hop 12ms nictのhop数が圧倒的に多いのにIPv6の応答が異常に早い facebook/v6は途中で急に時間が50ms以上増えてる(海でも渡ってるのかww) >>373 > Having five independent geographically distributed endpoints helps us provide better service ? even in the event of a network path failure. So we provide five endpoints: > > time1.facebook.com > time2.facebook.com > time3.facebook.com > time4.facebook.com > time5.facebook.com > > Each of these endpoints terminates in a different geographic location, which has a positive effect on both reliability and time precision. JCOMの中から計ってみたpingおよびhop数 time1.facebook: 11hop, 24ms time2.facebook: 15hop, 76ms time3.facebook: 15hop, 74ms time4.facebook: 16hop, 126ms time5.facebook: 17hop, 119ms time1が日本国内、それ以外は海の向こう? 大阪で1番の恥さらしな男、最低中の最低のゴキブリ男が書いた渾身の力作!! ノンフィクション自叙伝 【ゴミと呼ばれて刑務所の中の落ちこぼれ】 中学2年の時に覚醒剤を覚え、17歳から45歳まで【少年院1回、刑務所8回、合計20年】獄中生活を繰り返した男だったが、ある女性との出合いで生き方を180度変えて鉄の信念で、見事に更生した奇跡の一冊!! 楽天ブックス、アマゾンなら送料無料 https://jjy.nict.go.jp/tsp/PubNtp/#onegai おねがい ■NTP version 1からNTP version 2以降への移行をお願いします。 NICT公開NTPサービスでは、神戸副局のNTPサーバから新規のサーバに更新されNTP version 1に対応しなくなりました。 これにより、NTP version 1をご利用の場合は時刻取得に失敗する場合があります。 また、今後小金井のサーバについても逐次更新が予定されております。 このため、現在NTP version 1を利用されている場合は、NTP version 2以降への移行をお願いします。 推奨公開サーバーのページをちょっといじった ・MFEED、NICTのリンク先修正(リンク切れ、https化) ・NICTの神戸副局に関する記述を追加 NTP神戸副局は ntp-k1.nict.jp (ntp-k1.nict.go.jpではない) 61.205.120.130 2001:ce8:78::2 IPv6対応 v4、v6ともにntp.nict.jpのプールに含まれる ntp-k2.nict.jp 61.205.120.131 2001:ce8:78::3 というのもあるけどNTPサーバーとしては動いていない模様 NICTはnict.jpとnict.go.jpで若干応答が違う。 ntp.nict.jpは神戸の副局が入る ntp.nict.go.jpは神戸が入らない 古い機材だとnict.go.jpの方見てるのがちょくちょくある。 Windowsの場合。2週間に1ぺん程度の同期でいいんだが。間隔の設定に関わらず、結構同期しに行く。 2週間に一回じゃズレまくりだと思うが ntp.nict.jp,0x1 のように SpecialInterval で同期するよう指定したうえで、SpecialPollInterval を秒数で指定(既定値は604800=7日間)すれば一定間隔での同期のみになる ntp.nict.jp,0x8 と指定していると通常のNTPクライアントとして同期する 同期間隔はMinPollInterval と MaxPollInterval の間で自動的に調整(単位は2^n秒。既定値はMinが10=1024秒=17分、Maxが15=32768秒=9時間) >>389 7日間だったのは昔の話 Windows10の最近のバージョンは1日3回 >>389-390 ごめん、Windows8.1 32ビット 2週間に1ぺんで10秒強かな、ズレは。個体にもよるだろうけど。 7日に1ぺんとは別の設定が生きてるんだな、平たく言うと。長年の疑問が解消された。 ありがとう。 怖いから弄らんかも知れんが。この辺も参考にさせて貰った。 in.zeronet.gr.jp/wiki/index.php?Windows/Time+Service www.8toch.net/hachiben/anki.cgi?mid=IT00003 glodia.jp/blog/6486/ ntpdのリファレンス実装とか最近のsystemd-timesyncdとかは基本的にw32tmで0x8指定した時と同じ動き方する(slewモード)からWindowsの既定値はある意味イレギュラーなんだよなー あんまり使いたくないけどcloudflareが一番早かった read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる