La Canonical 發起的消除記憶體漏洞運動 新增了一個雄心勃勃的目標。 Ubuntu 工程副總裁兼技術主管 Jon Seager 表示: 已宣布推出 ntpd-rs,一款時間同步伺服器和客戶端, 它完全用 Rust 編寫,並將成為預設的作業系統標準。
這項策略舉措 這是系統實用程式的第三次重大更換。 採用記憶體安全程式碼(效仿 Rust Coreutils 和 sudo-rs)。 Canonical 的最終目標不僅是取代目前的 chrony 管理器,還要透過 Statime 專案整合精確時間協定 (PTP) 的功能,從而將 NTP、NTS 和 PTP 協定統一到一個現代化、安全且易於配置的實用程式中。
向 NTPD-RS 過渡的時間表
Canonical 表示,為確保企業環境的穩定性,此項變更的實施將循序漸進。該公司正積極資助 Trifecta Tech Foundation(ntpd-rs 和 sudo-rs 的創建者),以實現功能對等並提升安全隔離。具體實施時間表如下:
- 2026 年秋季(Ubuntu 26.10): ntpd-rs軟體套件將正式加入Ubuntu軟體倉庫。在此版本中,它將作為系統管理員和開發人員進行整合測試的可選方案。
- 2027 年春季(Ubuntu 27.04): 如果效能和安全指標令人滿意,ntpd-rs 將成為系統的預設統一用戶端和伺服器。屆時,它應該已經整合了 Statime 項目,永久取代了老牌的 chrony、linuxptp 以及可能還有 gpsd 軟體包。
協定統一:NTP、NTS 和 PTP
時間同步是現代密碼學(例如 TLS 憑證驗證)的無形支柱。先前,Linux 系統依賴分散的工具來處理不同程度的精確度和安全性問題。 Canonical 對 ntpd-rs 的願景是 將它們統一起來:
- NTP(網路時間協定): 用於透過網際網路同步系統通用時間的標準協定。
- NTS(網路時間安全): 防止時間資料被竄改或攔截的加密層(類似 HTTPS 之於 HTTP)。
- PTP(精確時間協定): 專為需要亞微秒同步的網路(電信、電網、汽車)而設計。將 Statime 功能整合到 ntpd-rs 中,將消除目前 linuxptp 所需的複雜手動設定。
為實現此統一,將實施以下措施。 新功能 在最終部署之前。這些包括 支援 gpsd IP 套接字、多執行緒和多宿主 NTP 伺服器操作 (多個網路介面),以及 採用gPTP和CSPTP協議 (IEEE 1588.1),對汽車產業至關重要。
經過驗證的安全性和較小的攻擊面
選擇 ntpd-rs 並非盲目嘗試,因為其有效性已在工業規模上得到證明,Let's Encrypt 證書頒發機構的關鍵基礎設施在 2024 年中期採用了該證書。 由於它是用 Rust 編寫的,因此它本質上不會受到經典緩衝區溢位的影響。 這些問題長期以來一直困擾著 C/C++ 工具。為了在 Ubuntu 中進一步保護它, 嚴格的 AppArmor 和 seccomp 設定檔正在開發中確保記憶體安全不會影響系統權限限制。
這種對極致安全性的重視也延伸到了系統的其他面向。 Canonical公司APT專案負責人Julian Andres Klode宣布,他們正計劃大幅縮小Ubuntu 26.10中GRUB引導程式的攻擊面。
為了避免再次出現漏洞, 經過數位簽署的 GRUB 建置將失去與不必要格式的兼容性 啟動過程中,這包括 JPEG/PNG 映像、part_apple 分區表以及 BTRFS、XFS 和 ZFS 檔案系統(僅適用於 /boot 分割區,Ubuntu 預設始終使用 ext4 檔案系統)。此外, 我們將移除對 LUKS、LVM 和 md-raid 的支援。 (raid1 除外)在 /boot 中,優先使用 TPM 支援的 FDE 加密進行完整性驗證,而不是依賴資料混淆。
最後,如果您有興趣了解更多信息,可以查閱詳情。 在下面的鏈接中。