Hardening NTP/Chrony no Linux

Buckminster

A segurança e sincronização de horários tornou-se crítica atualmente.
Hoje, a sincronização de tempo não serve apenas para "deixar o relógio certo", mas é um requisito de segurança e funcionamento para quase tudo em uma rede moderna.

[ Hits: 142 ]

Por: Buckminster em 05/02/2026

3 0
Denuncie   Favoritos   Indicar   Impressora

CONCLUSÃO



Boas práticas

Use múltiplas fontes: Configure pelo menos 4 servidores NTP.

Isolamento: Utilize um servidor NTP interno, por exemplo, o Chrony, sincronizado com os servidores https://ntp.br/.

NTS: Considere o uso de NTS para autenticação criptográfica moderna.

Autenticação NTP: Use chaves simétricas para garantir que o servidor Web sincronize somente com servidores NTP autorizados (O Chrony usa Network Time Security (NTS) nativo que é mais seguro).

Caso tenha firewall (IPTables, NFTables, PFSense, UFW, etc), libere a porta 4460 para o NTS funcionar.

Exemplos:

$ sudo ufw allow out 4460/tcp

$ sudo iptables -A OUTPUT -p tcp --dport 4460 -j ACCEPT

No nftables.conf: 

table inet filter {
    chain output {
        type filter hook output priority 0; policy drop;
        
        # Tráfego para sincronização de tempo (NTP.br)
        tcp dport 4460 accept comment "NTS Key Exchange"
        udp dport 123 accept comment "NTP Traffic"
        
        # Permitir tráfego já estabelecido
        ct state established,related accept
    }
}

Passo a Passo no pfSense:

Vá em Firewall > Rules.

Selecione a aba da interface onde seu servidor está (geralmente LAN).

Clique em Add (seta para cima) para criar uma nova regra:

  • Action: Pass
  • Interface: LAN
  • Address Family: IPv4 (ou IPv4+IPv6 se usar ambos)
  • Protocol: TCP
  • Source: O IP fixo do seu servidor (recomendado) ou LAN net.
  • Destination: Any (ou crie um Alias com os IPs do NTP.br para ser mais rígido).
  • Destination Port Range: From 4460 to 4460.
  • Description: Permitir NTS Key Exchange (Chrony)

Clique em Save e depois em Apply Changes.

Muitas vezes, além da regra de porta, o pfSense pode ter o pacote pfBlockerNG ou Snort/Suricata instalado. Se eles estiverem ativos, podem estar identificando o tráfego na porta 4460 como "não padrão" e descartando a conexão.

Testando no Chrony

Após aplicar as regras e reiniciar o firewall, teste novamente a conectividade.

Reinicie o Chrony:

$ sudo systemctl restart chrony

Teste de rede:

$ nc -zv a.st1.ntp.br 4460

(Deve retornar Connection to ... succeeded).

Caso retornar algo como:

KeyID 0/KLen 0: A conexão segura não foi estabelecida.

Verifique o handshake:

$ sudo chronyc authdata

Atmp (Attempts): O número 2 em Last Atmp mostra que o Chrony tentou, mas não obteve sucesso recente em renovar os cookies de segurança.

Todos os servidores agora devem exibir KeyID maior que 0 e KLen como 256.

Comandos úteis Chrony:

$ sudo systemctl restart chrony

$ sudo service chrony restart

$ sudo chronyc sources

$ sudo chronyc authdata

$ sudo chronyc tracking

$ nc -zv time.cloudflare.com 4460

$ nc -zv nts.netnod.se 4460

$ nc -zv a.st1.ntp.br 4460

$ sudo journalctl -u chrony | grep -i nts

$ ping -s 1400 a.st1.ntp.br

Se você quiser ver em tempo real o que seu Linux está fazendo ao reiniciar, abra um segundo terminal e deixe rodando:

$ sudo journalctl -f -u chrony

Instalação e configuração do Chrony:


Guia de configuração NTS no Linux com Chrony:


Página anterior    

Páginas do artigo
   1. INTRODUÇÃO
   2. CONFIGURANDO
   3. CONCLUSÃO
Outros artigos deste autor

Como utilizar de forma correta os repositórios e pacotes Backports

Redes de Computadores · IPtables · Endereços IPs - Explicações básicas

Instalação do Comodo Antivirus para Linux (CAVL) resolvendo o problema de dependências

Atualizar Debian Online de uma Versão para outra

Antivírus ClamAV com proteção em tempo real

Leitura recomendada

CouchDB - For Fun and Profit

Detectando vulnerabilidades com o Nessus

Armitage: a nova interface gráfica do Metasploit

Uma introdução ao Linux-PAM

Fail2ban no Debian - Instalação e Configuração

  
Comentários

Nenhum comentário foi encontrado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Hardening NTP/Chrony no Linux

XFCE - quase um Gnome ou Plasma mas muito mais leve

LXQT - funcional para máquinas pererecas e usuários menos exigentes

Instalação do K3s Single-Node com Rancher no Ubuntu 24.04

Usei o NotebookLM para Auditar Logs do Linux

Dicas

Samba 4 AD-DC 2026: Como instalar e configurar um Active Directory (via APT-GET)

[Resolvido] Sumiço de redes e micro quedas no iwd/iwgtk (Realtek rtw88)

Como Configurar DNS Reverso (PTR) em Ambientes Linux e Microsoft

Os Primórdios do Linux

Preparando o Ambiente para Administrar o Samba 4 a partir do Windows com RSAT

Tópicos

Utilidade Pública (1)

Estratégia e apostas (0)

enumerador de portas (1)

A diferença entre a fala de um Samuel e a fala de alguém que conhece o... (10)

Comunicação com AD (3)

Top 10 do mês

Scripts

[Shell Script] Zemblema

[Shell Script] Flatpak manager

[Outros] Script de limpeza, atualização e verificação de erros no Debian - v7

[Shell Script] Telegram direto do site

[Python] Redes Neurais

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: