非ルートとしてntpコマンドを実行する方法は?
ntpdやntpdateなどのNTPコマンドには特権があり、ルートグループに属しています。これらのコマンドを非ルートとして実行するための最良の方法は何ですか? Linuxの機能、所有権、方法は?私はopenSUSE13.2を持っていますが、役立つLinux機能があるかどうかを好みます(もちろん該当する場合)。 Linuxの機能リストを調べたところ、CAP_DAC_OVERRIDE、CAP_SYS_ADMIN、CAP_SYS_RAWIO、CAP_SYS_TIMEをntpdとntpdateの両方に適用しようとしましたが、機能しませんでした。
この2つの構成オプションは、ntpdをより安全にするのに役立ちます。
_NTPD_OPTIONS="-g -u ntp:ntp"
NTPD_RUN_CHROOTED="yes"
_説明
- _
NTPD_OPTIONS="-g -u ntp:ntp"_ --_-g_は、ntpdの開始時に1回設定され、1000に設定されているデフォルトのしきい値を無視します。 _-u ntp:ntp_は、デーモンをntpユーザーおよびグループとして実行します。 - _
NTPD_RUN_CHROOTED="yes"_- ntpdを実行させます chrooted 、エクスプロイトによって引き起こされる損害を減らします。
Ntpdはntpユーザーとして実行されており、ntpdateを使用して時間を手動で調整しているため これは良い習慣ではありません 、なぜntpdateを気にする必要があるのかわかりません。手動クエリを強制するには、_Sudo ntpd -gq_を使用し、_/etc/sudoers_ファイルに以下を追加します。
your-username ALL = (root) NOPASSWD: /usr/sbin/ntpd -gq