From daa9946840818824c53e437b5d6379fde3b656ce Mon Sep 17 00:00:00 2001 From: Sergey Matveev Date: Tue, 10 Mar 2026 16:21:52 +0300 Subject: [PATCH] =?utf8?q?OpenNTPD=20=D0=B2=20OpenBSD.=20=D0=95=D1=91=20?= =?utf8?q?=D0=BA=D0=BE=D0=BD=D0=B5=D1=86?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit http://openntpd.org/features.html В рассылке тут увидел про OpenNTPD. Во-первых, он отправляет случайные данные в качестве местного временного штампа в запросах, что является и защитой от fingerprinting-а, и некой авторизационной cookie. Во-вторых, он умеет по HTTPS подключиться куда-то в доверенное место и получать начальное примерное значение времени из заголовков. Вот только я даже посмотрел исходники OpenBSD и вижу, что там по умолчанию прописаны сервера Google для этого, плюс Quad9, плюс Cloudflare NTP сервер. И насколько понимаю "ntpd_flags=" строчку в /etc/rc.conf, оно автоматом запускается. Я снова офигеваю: разработчики OpenBSD совсем что ли рехнулись прописывать всю эту дрянь по умолчанию? То есть, запуская OpenBSD, я сразу же сливаю этот факт на три разных внешних сервиса, не считая pool.ntp.org? Решил проверить на практике, установив в виртуалке. Да, снова она без спросу скачала и установила прошивку. Во время установки долбанулась до OpenBSD сайта, хотя я не говорил её чего либо ставить из сети. После перезапуска, снова долбанулась и cdn.openbsd.org и отдельно к firmware.openbsd.org. И да, тоже к Quad9, Cloudflare и Google. Я реально ожидал что ntpd.conf в качестве примера пускай содержал бы все эти Google, но по умолчанию ntpd не запускался бы. Много где по умолчанию pool.ntp.org прописан. Прежде чем запускать службу, пользователь должен посмотреть и проверить конфиги, так что тут я бы ещё не ругался. Насколько помню, они (или это DJB в своём софте? уже не помню, лень снова запускать ВМ) после запуска предлагают сделать что-то типа "dmesg|mail ...@openbsd.org". Это допустимо -- пользователь сам решает делать ему это или нет. Это окончательный конец для этой ОС. Это кусок полного недопустимого говна, с точки зрения безопасности/приватности пользователя. Ничего из этого не позволительно без спросу или явного действия от оператора система делать. Я теперь полностью и совершенно не уважаю их. В https://www.openbsd.org/faq/faq4.html документации про установку, на самом деле есть фраза о том, что fw_update автоматически скачает и установит всякие firmware. Но довольно расплывчато, не очень понятно что это или "есть такая штука, которая может это сделать, если что", или "такая штука будет запущена во время установки". В https://www.openbsd.org/faq/faq10.html есть фраза о том, что NTP включён по умолчанию, но умалчивается о подключении не только к pool.ntp.org. Чтобы их безопасно использовать, надо внимательно прочитать от и до всю документацию, отметить все подводные камни приватности и безопасности, а дальше всё проводить в ручном режиме? -- 2.52.0