Ubuntu 25.10 переходит по умолчанию на Chrony вместо systemd-timesyncd

23.05.2025 11:14

Разработчики Ubuntu Linux наметили переход по умолчанию на использование проекта Chrony для синхронизации точного времени во всех сборках Ubuntu 25.10. Ранее в Ubuntu использовался сервис systemd-timesyncd, который решено заменить из-за желания задействовать протокол NTS (Network Time Security) для криптографической защиты синхронизации времени.

Проект Chrony предоставляет независимую реализацию клиента и сервера NTP, уже применяемую для синхронизации точного времени в Fedora, SUSE/openSUSE и RHEL. NTS позволяет гарантировать, что клиент взаимодействует с целевым, а не подменённым NTP-сервером. Подмена NTP-сервера представляет опасность, так как установка неверного времени может использоваться для нарушения безопасности других протоколов, учитывающих время, таких как TLS и DNSSEC. Изменение времени может привести к неверной интерпретации данных о действии сертификатов.

Протокол NTS использует для организации шифрованного канала связи элементы инфраструктуры открытых ключей (PKI) и позволяет применять TLS и аутентифицированное шифрование AEAD (Authenticated Encryption with Associated Data) для защиты пользователей от атак, имитирующих NTP-сервер. NTS включает в себя два отдельных протокола: NTS-KE (NTS Key Establishment), используемый для обработки начальной аутентификации и согласования ключей поверх TLS, и NTS-EF (NTS Extension Fields), который отвечает за шифрование и аутентификацию сеанса синхронизации времени. NTS добавляет в пакеты NTP несколько расширенных полей и хранит всю информацию о состоянии только на стороне клиента, используя механизм передачи cookie. Для обработки соединений по протоколу NTS используется сетевой порт 4460.

Пакет Chrony уже входит в состав репозитория main и используется по умолчанию в некоторых редакциях Ubuntu для облачных систем. Работа по замене systemd-timesyncd на Chrony начнётся 2 июня. Включение Chrony в сборки притянет за собой дополнительную зависимость "libedit2" и приведёт к увеличению размера образа на 803 КБ. Для замены systemd-timesyncd на Chrony в Ubuntu 25.04 можно использовать команду "apt-mark auto systemd-timesyncd && apt install chrony", а для возвращения на systemd-timesyncd - "apt-mark auto chrony && apt install systemd-timesyncd".

исправить +12 +/–

Лицензия: CC BY 3.0

Наводку на новость прислал Kerr

Короткая ссылка: https://opennet.ru/63294-ununtu

Ключевые слова: ununtu, chrony, ntp, nts

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (76)

1.2, Аноним (2), 11:23, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Емнип этот nts не поддерживается публичными серверами.

2.19, Аноним (19), 12:09, 23/05/2025 [^] [^^] [^^^] [ответить]

–12 +/–

Конечно не поддерживается. Серверам это незачем. Их держат для того, чтобы получать инфу о том, какой комп сейчас в сети, и когда в сеть выходит, чтобы писать/торговать, сканить и эксплоитить. Причём по разнице, в том числе намеренно вносимой, машину можно идентифицировать.

Криптографическая защита этой хрени нахрен не нужна публичным серверам - только ресурсы жрёт, а бизнес-целям пользы не приносит. Им выгоднее рубить этот протокол на корню, чтобы им не пришлось его поддерживать.

Нормальный же протокол должен быть устойчив к намеренной внесении разницы и к измерению скорости дрейфа осциллятора, поэтому локальный таймстамп или любое линейно от него зависящее значение серверу раскрывать нельзя, что оставляет место только для гомоморфной криптографии.

3.38, Жироватт (ok), 14:00, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Под кроватью у тебя сидит ФСБшный хакер из группировки "Ласковый медведь, мёртвый протух", который только и ждёт, чтобы по составу выдыхаемого тобой воздуха узнать пароль от криптокошелька и украсть все деньги. Ты, это, не оборачивайся, и следи за тапками - он их уже взломал...

4.42, Ося Бендер (?), 14:18, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Вот такой юмор по мне. А то все здесь помешались на "сурьезности". Прямо склеп какой-то.

5.74, Аноним (74), 18:52, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
Попал Аноним в кого-то )

5.80, Аноним (80), 19:21, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
"Вот ваш кофе. А шутка ваша майора понравилась."

3.46, Соль земли2 (?), 14:42, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
Нет, это ненадёжные данные для слежки. Их можно засорить фальшивыми запросами. Это вообще к любому каналу слежки относится.

4.53, Аноним (53), 15:55, 23/05/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Вы вот смеётесь - но именно так SHODAN узнавал, какие устройства пора просканить. А по дрейфу часов вычисляли скрытые сервисы.

5.84, YetAnotherOnanym (ok), 20:46, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
SHODAN мониторил мои запросы к ntp21.vniiftri.ru? RTC на моей машине идёт быстрее или медленнее в зависимости от того, запущен ли на ней веб-сервер? До чего наука дошла!

2.21, Аноним (-), 12:20, 23/05/2025 [^] [^^] [^^^] [ответить]	+2 +/–
> Ubuntu 25.10 переходит по умолчанию на Chrony вместо systemd-timesyncd К Kubuntu это тоже относится или только Ubuntu?

2.85, penetrator (?), 20:56, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
серверами поддерживается, конкретными отдельными, а вот пул не поддерживает

1.3, Аноним (3), 11:24, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+38 +/–
Наконец-то начали избавляться от устаревшего systemd.

2.27, Аноним (27), 13:15, 23/05/2025 [^] [^^] [^^^] [ответить]	+2 +/–
сейчас как их там, луддиты, начнуть говорить что им пользуются но коре дуба

3.28, Аноним (28), 13:23, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
Друзья мои, его же(системду) только только внедрили.

4.65, Аноним (65), 17:33, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Да, вот так незаметно и прошло уже 15 лет.

3.29, Анониматор (?), 13:25, 23/05/2025 [^] [^^] [^^^] [ответить]	–1 +/–
обзывайте меня как хотите, но на моем старом пне-2 systemd прекрасно работает и ни на что новое его менять не собираюсь

4.50, Аноним (50), 15:07, 23/05/2025 [^] [^^] [^^^] [ответить]	+3 +/–
> моем старом пне-2 systemd Вот чесно говоря, если бы браузеры не требовали, пользовался бы Windows Xp. Я не смотрю на интерфейс. Я использую это. ПК, это инструмент.

5.81, Аноним (80), 19:23, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Ну и микроскоп тоже интсрумент...

5.83, Аноним (83), 19:54, 23/05/2025 [^] [^^] [^^^] [ответить]	–2 +/–
>Вот чесно говоря, если бы браузеры не требовали, пользовался бы Windows Xp. Вот, о чём я говорил. Если пользователям дать свободу, они будут сидеть на старых осях, требующих кучи костылей. Удивительно, что на xp соглашаются, а то могли бы на 98 или более ранней версии захотеть остаться

2.45, Соль земли2 (?), 14:33, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
timesyncd никуда не убирается, он просто делегирует функционал NTP на chronyd.

2.58, Афроним (?), 16:43, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Впервые поддерживаю борцуна с легаси. Бгг.

1.4, Diozan (ok), 11:24, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Извините, а зачем? Как бы, несколько разные вещи. Одни синхронизирует время однократно, при включении компа, а второй - полноценный сервер времени. Разве, что только для тех, кто свой комп годами не выключает?

2.5, Kerr (ok), 11:29, 23/05/2025 [^] [^^] [^^^] [ответить]	+4 +/–
Chrony позволят гибко настроить способы синхронизации, выбрав из многих различных способов, включая классический, то есть такой же, как применяется в Systemd. Но и прочих продвинутых настроек там много. Подробнее смотрите здесь: https://wiki.archlinux.org/title/Chrony

3.39, Xasd9 (?), 14:05, 23/05/2025 [^] [^^] [^^^] [ответить]	–3 +/–
а зачем его настраивать? разработчики не могут сделать УЖЕ настроенный?

4.60, scriptkiddis (?), 17:17, 23/05/2025 Скрыто ботом-модератором [к модератору]	+1 +/–

4.89, Kerr (ok), 21:12, 23/05/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Если не хотите, то пользуйтесь настройками по умолчанию. Но, по меньшей мере вам придётся в конфиг добавить адрес сервера синхронизации времени. Выше я уже дал ссылку на статью, где написано, как это сделать.

2.6, User (??), 11:32, 23/05/2025 [^] [^^] [^^^] [ответить]	+2 +/–
А кто вам наврал про "однократно"? Если что - Лёня такого не говорил-и-не-делал, ntpdate при старте до него дёргали! )))

2.8, Аноним (8), 11:35, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Проект Chrony предоставляет независимую реализацию ___клиента___ и сервера NTP

2.15, Alladin (?), 12:04, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
он не синхронизирует время однократно, даже больше он является синхронизатором времени и ломает возможность другим синхронизаторам работать и менять время

3.30, Аноним (28), 13:25, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
>ломает возможность другим синхронизаторам работать и менять время Это как? Он спамит пакетами по всей подсетке, что бы другие компы не могли воспользоваться другими протоколами??

2.78, timur.davletshin (ok), 19:06, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Оно синхронизируется регулярно. Запустите tcpdump на 123 порту на денёк и убедитесь в этом.

1.9, User (??), 11:39, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Оно ж еще и на другом порту, и TCP вместо UDP - ох сколько всего "попереломаиццо" то может с разбегу...

2.12, пох. (?), 11:49, 23/05/2025 [^] [^^] [^^^] [ответить]

–1 +/–

вы еще сильно удивитесь, восхититесь, в чем-то даже будете ошарашены, но в слух скажете почему-то совсем другое, когда узнаете в каком конфиге бабуинты додумались спрятать ntp.ubuntu.com вместо стандартных пулов.

И у тех, у кого бабуинта массова - понакручено всякой хрени в файрволах, чтобы эта поделка могла работать. А теперь им очередное щастье от бабуинтов - все переделывать заново.

Ну зато ВРАГИ не переведут нам время на сервере!
(они вообще-то и раньше вряд ли бы справились, а те которые справились, могли бы просто date на том сервере набрать, но вынипанимаити, этожи бизопастность!)

3.31, User (??), 13:26, 23/05/2025 [^] [^^] [^^^] [ответить]

+1 +/–

> вы еще сильно удивитесь, восхититесь, в чем-то даже будете ошарашены, но в
> слух скажете почему-то совсем другое, когда узнаете в каком конфиге бабуинты
> додумались спрятать ntp.ubuntu.com вместо стандартных пулов.
> И у тех, у кого бабуинта массова - понакручено всякой хрени в
> файрволах, чтобы эта поделка могла работать. А теперь им очередное щастье
> от бабуинтов - все переделывать заново.

Не, ну нет же - такого, чтоб в нормальной копропротивной инфре сервера в забугорию за временем бегали - я не видел. Вот узнать, что системда-СУПЕР!таймсинкда в ubuntu кладет болт, на получаемые от DHCP сведения о NTP-серверах было прям БЕСЦЕННО, но оно вродь вполне лечилось... у кого заменой рендера в netplan'е, у кого - заменой timesyncd'ы, у кого вовсе ансиблёй, но лечилось точно.

4.62, пох. (?), 17:19, 23/05/2025 [^] [^^] [^^^] [ответить]

+1 +/–

> Не, ну нет же - такого, чтоб в нормальной копропротивной инфре сервера в забугорию за
> временем бегали

не можешь победить - возглавь!

> таймсинкда в ubuntu кладет болт, на получаемые от DHCP сведения о NTP-серверах

мвахаахахха!

> но оно вродь вполне лечилось..

вот и будешь бегать по всем сотням серверов и менять им нетплан.
У кого ансибля, у кого ансибля но не твоя, а у кого вовсе chef.
Сдавайтесь, ваша борьба бесцельна и бесполезна.

Самые ушлые, конечно, подменили в днс или перенаправили ip на свой ntpd, то есть снова возглавили...
Теперь им больше переделывать ;-)

1.11, Душнила (?), 11:44, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Осталось только время корректировать так чтобы никто из врагов убунты навредить ей не смог, другие ведь проблемы решены уже

2.36, Жироватт (ok), 13:57, 23/05/2025 [^] [^^] [^^^] [ответить]	+4 +/–
Ты забыл про пункт 2: написать СВОЙ клиент NTP(S) на Rust...

3.63, пох. (?), 17:19, 23/05/2025 [^] [^^] [^^^] [ответить]

+/–

> Ты забыл про пункт 2: написать СВОЙ клиент NTP(S) на Rust...

Сервер же ж!

Иначе небезопастно!

3.82, Аноним (80), 19:38, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
Вот это и есть вредительство врагов Убунты.

3.90, анонимус (??), 22:45, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
> Ты забыл про пункт 2: написать СВОЙ клиент NTP(S) на Rust... уже написан и внедряется - https://www.opennet.dev/opennews/art.shtml?num=61435

1.13, Аноним (13), 11:57, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
То есть вместо того чтобы своих разработчиков отправить допиливать systemd-timesyncd проще нарушить консистентность и менять кобылу на переправе.

2.54, BorichL (ok), 16:13, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Просто уже пора направлять разработчиков на замену systemd-*, а то что-то давно ничего не внедряли во все дистрибутивы, и не переписывали...

3.64, Аноним (13), 17:30, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
Я бы с радостью использовал дистрибутив в котором будет только systemd-*, но разные упоротые компании любят превращать всё в зоопарк. Единственный дистрибувив который полностью systemd это Arch Linux, который прекрасно работает.

4.68, Аноним (68), 17:51, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
на уютном локалхосте

5.72, Аноним (13), 18:33, 23/05/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Более и не надо

5.77, arthi747 (ok), 19:00, 23/05/2025 [^] [^^] [^^^] [ответить]	–1 +/–
- Нам нужен стандарт! Нам нужна унификация! - Вот. - Фу! Это же стандарт! Это же унификация!

1.14, 1 (??), 12:01, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Вот нафига этот NTS ? Ну никак мне непонятно ... В корпоративной среде 123 разрешён только со своих, конкретных IP. Одиночный хост - то там pool.ntp.org (или, не приведи господи, time.microsoft.com) Или всё, кроме конкретного IP, прикрыто фаерволом. Если вам dns подменили, то думать про время - руки не дойдут ... Для кого вообще этот NTS нужОн ? Накидайте применение. Хотя бы 2.

2.16, Alladin (?), 12:06, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
в корпоративной среде все верно, сидят за своим сервером времени. но не обязательно. а вот сидя дома за бубунтой ты же захочешь актуальное время. + убунта собирает статистику использования, такчто все норм.

3.20, пох. (?), 12:12, 23/05/2025 [^] [^^] [^^^] [ответить]

+/–

> а вот сидя дома за бубунтой ты же захочешь актуальное время

и ВРАГИ тебе его тут же подменят!
(нет)

> + убунта собирает статистику использования

и не только статистику. Вот тут, кстати, веровать в мифических врагов, способных аж перехватить и правдоподобно подделать произвольный сетевой траффик, вовсе не требуется, по делам судите их.

4.24, Аноним (24), 12:50, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> а вот сидя дома за бубунтой ты же захочешь актуальное время >и ВРАГИ тебе его тут же подменят!(нет) А зачем врагам ему подменять время? Чтобы он на работу проспал?

5.40, Аноним (-), 14:09, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
через ntp пробраться и взять контроль над машиной. ну же ж!

3.23, 1 (??), 12:31, 23/05/2025 [^] [^^] [^^^] [ответить]

+/–

Актуальное время я получу от pool.ntp.org по чистому ntp. Ну, если сильно тревожат враги, буду получать с 89.109.251.22 и 194.190.168.1.

Для чего мне нужен NTS ?

Вот кейса акромя AstraLinux в самой-самой параноидальной версии - не вижу.

4.41, Аноним (41), 14:10, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
получаю актуальное время на time.is

4.70, yet another anonymous (?), 18:03, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
> Вот кейса акромя AstraLinux в самой-самой параноидальной версии - не вижу. В параноидальной версии от wall time ничего не должно зависеть.

3.95, Аноним (95), 23:50, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
см в time.is говорят там точное время

1.18, iPony128052 (?), 12:08, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Недавно возился-возился с systemd-timesyncd — ничего не получалось...

Поставил Chrony и всё разом заработало.

Systems конечно хорошо ☝️, но вот timesyncd плохое впечатление производит.

2.22, Аноним (22), 12:22, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
В каких-то версиях PVE дефолтным клиентов ntp как раз был systemd-timesyncd. И это чудо умело устраивать веселье в виде рассинхрона между нодами более 50мс с _ОДНОГО_ сервера времени, как итог, CEPH начинало колбасить и таращить. Потом они одумались и стали применять chrony.

3.33, morphe (?), 13:31, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Важно чтобы время не десинхронизировалось - надо использовать ptp, а не пытаться точности от ntp добиться

4.34, Аноним (34), 13:50, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
ptp для этой задачи overkill. Тут достаточно микросекундной точности синхронизации, которую chrony надежно обеспечивает.

5.57, morphe (?), 16:21, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> Тут достаточно микросекундной точности синхронизации, которую > chrony надежно обеспечивает. Citation needed, даже с домашним ntp в идеальных условиях у тебя в лучшем случае будет ~1мс разница, микросекундную точность с ntp не получить

6.61, Аноним (34), 17:18, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
При синхронизации с соседним внешним Stratum 1, до которого пинг ~8мс получаю разницу в 400-800мкс. На локалке в одной L2 сегменте получаю разницу в 50-100мкс. Если и сервер и клиент умеют в xleave то вообще +-1мкс. Это на chrony. Если упороться и задрать minsamples до 64, то получается разница в 0.1-60мкс при любых флуктуациях канала и эволюциях источника.

7.76, morphe (?), 18:59, 23/05/2025 [^] [^^] [^^^] [ответить]

–1 +/–

> При синхронизации с соседним внешним Stratum 1, до которого пинг ~8мс получаю
> разницу в 400-800мкс.

Со внешним - 800мкс?

Прошу прощения, а чем ты замер референсного времени производил?)

Чисто теоретически NTP способен обеспечить точность 20-50% от RTT (8мс), что даже при самых оптимистичных прогнозах выходит 1.6мс, при том что в реальности будет намного больше

8.79, morphe (?), 19:16, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Почитал про алгоритмы в chrony, извиняюсь, он действительно способен некоторые в... текст свёрнут, показать

7.87, penetrator (?), 21:05, 23/05/2025 [^] [^^] [^^^] [ответить]	–1 +/–
что и требовалось доказать, ты перепутал мс (миллисекунду) и микросекунду

8.93, chlen22cm (?), 23:05, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
А ты перепутал тexнический фоpyм с своим постоянным местом работы - цыpкoвой аpe... текст свёрнут, показать

1.25, Аноним (-), 12:56, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Хм.. как-то не современно. Учитывая последние тенденции бубунты, проект должен быть на Расте, называться CHorny и разрабатываться анимешными девочками. А так... скучно((

2.37, Жироватт (ok), 13:58, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
...и написан быль самой Каноникал. И иметь километровый СоС...

2.92, chlen22cm (?), 23:03, 23/05/2025 Скрыто ботом-модератором [к модератору]	+/–

1.26, xsignal (ok), 13:11, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
О, наконец-то начали вычищать systemd! Отличное начинание!

1.43, DroidBot (?), 14:19, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

Эээ.. у меня тупой вопрос: кто-то пытался с неверным временем, хотя бы часа на ±4 хоть что-то с TLS запустить?

Весь мой опыт говорит что сессия не установится, так как черты не пройдут проверку (грубо).

Или мы говорим о манипуляциях в пределах минуты? Или мы говорим что у нас "газета Салазара", простите, нас так обложили, что, кроме левого сервера с той стороны, нас ещё и левый сервер времени подсовывают?

Короче, я не вполне понимаю суть NTS. Не то, чтоб я был против, но не вполне ясно в каком типе атак это имеет физиологический смысл?..

2.49, Аноним (49), 14:58, 23/05/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Время валидности ответа OCSP сервера.

3.86, YetAnotherOnanym (ok), 20:59, 23/05/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Сделал мой вечер.

4.88, Аноним (49), 21:08, 23/05/2025 [^] [^^] [^^^] [ответить]	–1 +/–
твой браузер откроет страницу когда твое время отлично то времени OCSP сервера?

1.44, Соль земли2 (?), 14:31, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Функции NTP в timesyncd несут роль "затычки". Очевидная замена.

1.91, chlen22cm (?), 22:59, 23/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вообще непонятен смысл, зачем очередной велосипед втюхивать, если сустемД УЖЕ есть в системе?

2.94, Аноним (94), 23:16, 23/05/2025 [^] [^^] [^^^] [ответить]	+/–
зачем сустемД городить, если до него уже были инициализации?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: