Podařilo se mi zakázat IPv6 pro NTP na mém Debianu 5/6/7 a Ubuntu 12.04 tímto způsobem:
Upravit soubor /etc/default/ntp a nahradit
NTPD_OPTS='-g'
od
NTPD_OPTS='-4 -g'
Poté můžete direktivy ponechat v ntp.conf , nejsou ignorovány :
interface ignore wildcard
interface listen <local_nic_ip>
- Bez
interface ignore wildcardNTP bude také poslouchat na0.0.0.0 - Bez
interface listen <local_nic_ip>NTP bude poslouchat pouze na127.0.0.1(samozřejmě)
Výsledkem bude:
# netstat -anp | grep :123
udp 0 0 192.168.0.38:123 0.0.0.0:* 2901/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 2901/ntpd
Také potvrzuji, že OpenNTPD naslouchá tam, kde ho požádáte, aby poslouchal přátelštěji (není třeba upravovat více konfiguračních souborů). Ve výchozím nastavení neposlouchá nikde, dokud to tak nenakonfigurujete (velmi bezpečné);)
V konfiguračním souboru stačí odkomentovat řádek
listen on 127.0.0.1
A přidejte řádek
listen on <local_nic_ip>
Výsledky v :
# netstat -anp | grep :123
udp 0 0 192.168.0.38:123 0.0.0.0:* 8581/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 8581/ntpd
Pokud to považujete za chybu (a já určitě ano:ntpd ignoruje konfigurační direktivu), budete to muset převzít se správcem balíčku nebo s autory. Nevěřím, že by se tu někdo z nich zdržoval – jejich kontaktní údaje naleznete v informacích o balíčku.
Případně můžete zkusit jinou implementaci NTP (jako OpenNTPD – osobně jsem ji nepoužíval, ale lidé z OpenBSD mají tendenci být absolutně paranoidní ohledně zabezpečení, takže si představuji, že poslouchá pouze tam, kde je jim řečeno).
Jak však Sander zdůraznil, váš démon NTP naslouchá na localhost (127.0.0.1 &::1 ) - Pokud se obáváte, že budete hackováni z localhost, pravděpodobně máte větší problémy než váš démon NTP.
Trochu mi vadí, že démon ignoruje konfigurační direktivu, ale nepovažoval bych to za vážný bezpečnostní problém.