Welche Konsequenzen / Implikationen kann eine falsche Systemuhr haben?

8

Welche Probleme können Sie sich vorstellen, die sich aus einer falschen Systemuhreinstellung ergeben können?

Hauptsächlich interessiert an potenziellen Problemen, die insbesondere Server und Linux- oder UNIX-ähnliche Systeme betreffen.

Und wie schwerwiegend sind diese Konsequenzen, je nachdem, wie lange die Systemzeit verkürzt ist? Zum Beispiel 5 Minuten, 30 Minuten, 1 Stunde, 1 Tag.

Archimedix
quelle
Zeitlich begrenzte Testversion läuft möglicherweise nach dem Ablaufdatum.
Simon Richter

Antworten:

20

Zum einen sind Ihre Zeitstempel in all Ihren Protokollen nicht mehr mit anderen Servern synchron, was es sehr schwierig macht, herauszufinden, wann etwas passiert ist. Außerdem wird bei einigen Sicherheitsprotokollen (z. B. Kerberos) auf die Zeitsynchronisation zurückgegriffen.

Ich sage also, dass die meisten Dinge normal weiter funktionieren, einige Protokolle oder Anwendungen, die auf einer genauen Zeit beruhen, möglicherweise kaputt gehen und Sie als Administrator im Allgemeinen Kopfschmerzen haben.

Konfigurieren Sie NTP für einen Anbieter wie pool.ntp.org oder NIST und nennen Sie es einen Tag.

SpacemanSpiff
quelle
Ich wünschte, ich könnte dies mehr als einmal positiv bewerten.
Mfinni
1
Ja, ich dachte auch an Kerberos und Hardware-Token-Generatoren wie RSA SecurID. Protokolle sind ein guter Punkt, wenn auch kein direkt kritischer (zumindest bevor Murphys Gesetz erneut zuschlägt). Ich verwende NTP für meine Server, mit Ausnahme eines virtuellen Servers, auf dem nur der Hoster die Systemzeit einstellen kann, und derselbe vserver hat derzeit eine Ausfallzeit von ca. 6 Minuten, weshalb ich gerade über dieses Problem nachdenke.
Archimedix
Viele Leute haben Probleme mit der Zeit von Gastgeber zu Gast. Ich ziehe es vor, dies zu deaktivieren und jeden Gast NTP selbst verwenden zu lassen. NetWare-Maschinen waren dafür berüchtigt.
SpacemanSpiff
Die einzige Möglichkeit für mich besteht darin, meinen Provider zu kontaktieren, da ich nicht die Kontrolle über den Multi-Kunden-Vserver-Host habe.
Archimedix
Einige Betriebssysteme verfügen über einen Schalter oder eine Option zum Umschalten, ob Sie mit der "Hardware" -Zeit synchronisieren oder nicht, in diesem Fall virtuelle Hardware, aber dennoch.
SpacemanSpiff
8

Hier sind nur einige:

  • MySQL-Replikation
  • Datenbankabfragen mit now () für das aktuelle Datum / die aktuelle Uhrzeit
  • rsync-Sicherungsskripte
  • jede andere Kommunikation zwischen Servern

NTP ist der beste Weg, um Ihre Zeit korrekt zu halten.

sreimer
quelle
Mir ist noch nicht einmal der Gedanke gekommen, über Datenbank-Zeitstempel nachzudenken, was für ein Albtraum das sein könnte :)
SpacemanSpiff
Es hilft, dass ich mich gerade mit diesem Problem befasst habe
Sreimer
Guter Punkt dort mit Zeitstempeln, insbesondere in Datenbanken. Anwendungen, die zum Sortieren auf Zeitstempel angewiesen sind, oder Personen, die sich auf Zeitstempel verlassen, können Kopfschmerzen verursachen.
Archimedix
4

Ich füge hinzu, dass zwei ISC-DHCP-Server, die im Failover-Modus ausgeführt werden, ausfallen, wenn die Zeit um einen bestimmten Schwellenwert abweicht. Sie werden sich weigern, neu zu starten, nachdem sie gestoppt wurden.

Bearbeiten: Abhängig von der Konfiguration kann auch DNS fehlschlagen, da Slaves keine Zonen von ihren Mastern herunterladen können und ihre zwischengespeicherten Zonen schließlich ablaufen.

Joechip
quelle
4

Eine mögliche Ursache für Probleme, die ich heute gefunden habe, sind Backup- oder Snapshots-Rotationsskripte, die darauf beruhen, dass Ihre Uhr niemals rückwärts läuft, oder mit anderen Worten, dass Sie niemals Backups mit Datums- und Uhrzeitangaben "aus der Zukunft" haben werden. Dies kann dazu führen, dass sie nur diese zukünftigen Backups / Snapshots entfernen (abhängig davon, wie die Skripte implementiert sind).

Einige Versionen von sudo sind möglicherweise auch anfällig für Clock-Rollbacks, sodass Sudoer mit Kennwortanforderungen ohne Kennwort root werden können.

Archimedix
quelle
3

Remotedesktop und andere Remotezugriffstools funktionieren möglicherweise nicht mehr, da sie für die Authentifizierung auf die Zeit angewiesen sind. Dies kann die Fehlerbehebung sehr frustrierend machen (Sie versuchen, das Problem per Fernzugriff zu beheben, können dies jedoch nicht einmal tun).

Ich hatte dies auf einem Computer, der irgendwie dachte, das Jahr sei 8011 statt 2011. SSL-Zertifikate waren ebenfalls abgelaufen.

Andy
quelle
2

Mein bisher nervigstes Problem: Ablaufende SSL-Zertifikate. Sehr ärgerlich, wenn Sie nicht herausfinden können, warum sie nicht funktionieren.

Lucas Kauffman
quelle