Hardening NTP/Chrony no Linux

Buckminster

A segurança e sincronização de horários tornou-se crítica atualmente.
Hoje, a sincronização de tempo não serve apenas para "deixar o relógio certo", mas é um requisito de segurança e funcionamento para quase tudo em uma rede moderna.

[ Hits: 1.553 ]

Por: Buckminster em 05/02/2026

5 0

Denuncie Favoritos Indicar Impressora

CONFIGURANDO

NTP ou Chrony (use um ou outro).

NTP

No Linux (geralmente /etc/ntp.conf), aplique restrições rígidas para evitar que seu servidor seja usado em ataques de reflexão:

$ sudo vim /etc/ntp.conf

Coloque dentro:

# Restringe acesso padrao
restrict default kod nomodify notrap nopeer noquery # IPv4
restrict -6 default kod nomodify notrap nopeer noquery # IPv6
#
# Permite localhost
restrict 127.0.0.1
restrict -6 ::1
#
# Permite upstream de confiança (ex: ntp.br)
restrict pool
ntp.br
nomodify notrap noquery
server a.st1.ntp.br iburst nts
server b.st1.ntp.br iburst nts
server c.st1.ntp.br iburst nts
server d.st1.ntp.br iburst nts
#
# Desabilita monitoramento (desabilita o 'comando' monlist usado para ataques DDoS)
disable monitor

Salve e saia.

Reinicie o serviço:

$ sudo systemctl restart ntp

$ sudo systemctl restart ntpd

CHRONY

Para quem tiver o Chrony instalado não necessita configurar o NTP, pois este deve estar desabilitado ou desinstalado para não dar conflito.

No chrony.conf verifique e/ou adicione:

# Rede(s) permitida(s)
allow 192.168.1/24

# Fontes de tempo
server a.st1.ntp.br iburst nts
server b.st1.ntp.br iburst nts
server c.st1.ntp.br iburst nts
server d.st1.ntp.br iburst nts

# Estratégia de segurança padrão do Chrony:
# 1. Não precisa de 'restrict default' (bloqueio é o padrão)
# 2. Localhost já é permitido para o chronyc via socket
# 3. Ratelimit para evitar abusos (similar ao kod e limited do NTP)
ratelimit interval 3 burst 16

# Salva a derivação do relógio
driftfile /var/lib/chrony/drift

# Desativar completamente a porta de comandos via rede
cmdport 0

Salve e saia.

Reinicie:

$ sudo systemctl restart chrony

O Chrony suporta NTS nativamente. Basta adicionar a opção nts ao final da linha do servidor;
O Chrony bloqueia tudo por padrão. Você não precisa configurar "regras de negação" para o público. Ele só responderá a quem estiver na lista allow;
O Chrony já permite acesso via localhost (127.0.0.1/::1);
O Chrony é imune ao ataque monlist que afetava o NTP antigo, pois não possui esse comando;
Para os servidores do NTP.br (que suportam NTS), a autenticação já está "embutida" no protocolo, precisando somente do parâmetro nts.

Página anterior Próxima página

Páginas do artigo

   1. INTRODUÇÃO
   2. CONFIGURANDO
   3. CONCLUSÃO

Outros artigos deste autor

ClamAV, o kit de ferramentas antivírus

Descritores de Arquivos e Swappiness

Redes de Computadores · IPtables · Endereços IPs - Explicações básicas

O Kernel Linux

Configuração do sistema, DHCP, compartilhamento e DNS no Debian Squeeze

Leitura recomendada

From Deploy WAR (Tomcat) to Shell (FreeBSD)

Tratamento de dados fornecidos pelo usuário: projetando sistemas com mais segurança