у него дефолтная конфигурация по-моему перестала в интернет торчать и как-то сошло на нет тоже

у нас 70% амп  DNS  29 CLDAP  1% SNMP

Несколько лет назад это были амплификации, это не про то. Речь про атаку на сам NTP, чтобы время сбить, например

а его надо выставлять наружу?

пост не читай, сразу отвечай

Вот @beldmit правильно пишет. Если сбить время - можно что-то поломать. Например, TLS

Я всегда об этом думаю, ага

Конечно. А как ты ещё смелость и удаль молодую покажешь? :)

Ничо, нелишне :)

для начала всё настолько сильно сломается, что применимость атак таких мне кажется небольшая, и вообще мне кажется это из серии там не знаю DNSом нафлудить фейковыми ответами без запросов - теоретически вообще не вопрос прямо по-моему до сих пор, а практически я что-то вообще ни разу не слышал об успешности атак подобного типа
да что говорить, даже какой-то простой MITM какого-нибудь короткого RSA мне и то не встречался в виде практической атаки, хотя у меня кругозор в эту сторону не смотрит вообще

интересно было бы посмотреть примеры такого рода

Я с этого и начал: "Интересно, а есть живые атаки на NTP?"
;)

а кто-нибудь удаляет кстати интересно устаревшие сертификаты из корневых?

на винде например есть несколько сертификатов еще с прошлого века почему-то, но в целом я бы сказал что они чистят это дело

подавляющее большинство корней не устарело

Так а устаревший сертификат будет использоваться? Ну то есть, мусор чистить нужно, но вектор атаки тут непонятен

ну вот к слову про NTP, поставить старое время и подписать что-то каким-то MS RSA с 1997 по 1999 год который тут вот лежит у меня зачем-то

с md5

хотя вообще современная криптография скорее всего таким сертификатам доверять не будет вне зависимости от того что он тут лежит

Ну тут надо чтобы машинка пошла куда нам нужно,. Плюс надо смотреть, что это за древний сертификат, что им подписать можно.
Плюс, кажется, сертификатам старых алгоритмах современные бибки не доверяют