web-dev-qa-db-ja.com

非ルートとしてntpコマンドを実行する方法は?

ntpdntpdateなどのNTPコマンドには特権があり、ルートグループに属しています。これらのコマンドを非ルートとして実行するための最良の方法は何ですか? Linuxの機能、所有権、方法は?私はopenSUSE13.2を持っていますが、役立つLinux機能があるかどうかを好みます(もちろん該当する場合)。 Linuxの機能リストを調べたところ、CAP_DAC_OVERRIDECAP_SYS_ADMINCAP_SYS_RAWIOCAP_SYS_TIMEntpdntpdateの両方に適用しようとしましたが、機能しませんでした。

5
3bdalla

この2つの構成オプションは、ntpdをより安全にするのに役立ちます。

_NTPD_OPTIONS="-g -u ntp:ntp"
NTPD_RUN_CHROOTED="yes" 
_

説明

  • _NTPD_OPTIONS="-g -u ntp:ntp"_ --_-g_は、ntpdの開始時に1回設定され、1000に設定されているデフォルトのしきい値を無視します。 _-u ntp:ntp_は、デーモンをntpユーザーおよびグループとして実行します。
  • _NTPD_RUN_CHROOTED="yes"_- ntpdを実行させます chrooted 、エクスプロイトによって引き起こされる損害を減らします。

Ntpdはntpユーザーとして実行されており、ntpdateを使用して時間を手動で調整しているため これは良い習慣ではありません 、なぜntpdateを気にする必要があるのか​​わかりません。手動クエリを強制するには、_Sudo ntpd -gq_を使用し、_/etc/sudoers_ファイルに以下を追加します。

your-username ALL = (root) NOPASSWD: /usr/sbin/ntpd -gq

3
user34720