Ubuntu adoptera ntpd-rs (Rust) et réduira la taille de GRUB pour une sécurité maximale.

Points clés:
  • Réécriture en Rust : Ubuntu adoptera ntpd-rs comme serveur de temps et client par défaut, remplaçant chrony, linuxptp et gpsd.
  • Unification des protocoles : L’outil intégrera Statime pour gérer NTP, NTS et PTP dans un seul package.
  • Calendrier de publication : ntpd-rs arrivera en tant que test dans Ubuntu 26.10 (automne 2026) et deviendra la norme absolue dans Ubuntu 27.04 (printemps 2027).
  • Nettoyage de GRUB : Ubuntu 26.10 réduira la surface d’attaque du gestionnaire de démarrage en supprimant la prise en charge de JPEG/PNG, BTRFS/ZFS et LUKS/LVM exclusivement sur la partition /boot.
  • Soutien de l'industrie : Ce projet est financé par Canonical et développé par la Trifecta Tech Foundation ; il est déjà massivement utilisé sur les serveurs de Let's Encrypt.
DarkcriztMis à jour le

Minutes 4

Transition d'Ubuntu vers ntpd-rs

La La campagne de Canonical pour éradiquer les vulnérabilités de la mémoire Ajoute un objectif nouveau et ambitieux. Jon Seager, vice-président de l'ingénierie et responsable technique d'Ubuntu, a annoncé que ntpd-rs, un serveur et client de synchronisation horaire, Entièrement écrit en Rust, il deviendra le système d'exploitation standard.

Cette démarche stratégique Il s'agit du troisième remplacement majeur des utilitaires système. Avec un code sécurisé en mémoire (à l'instar de Rust Coreutils et sudo-rs), Canonical ambitionne non seulement de remplacer le gestionnaire chrony actuel, mais aussi d'intégrer les fonctionnalités du protocole PTP (Precision Time Protocol) via le projet Statime, unifiant ainsi les protocoles NTP, NTS et PTP en un seul utilitaire moderne, sécurisé et facile à configurer.

Calendrier de la transition vers NTPD-RS

Canonical indique que la mise en œuvre de cette modification sera progressive afin de garantir la stabilité dans les environnements d'entreprise. L'entreprise finance activement la Trifecta Tech Foundation (créatrice de ntpd-rs et sudo-rs) pour atteindre une parité fonctionnelle et améliorer l'isolation de sécurité. Le calendrier de mise en œuvre est le suivant :

  • Automne 2026 (Ubuntu 26.10) : Le paquet ntpd-rs fera ses débuts officiels dans les dépôts Ubuntu. Durant cette phase, il sera proposé comme alternative facultative aux administrateurs système et aux développeurs souhaitant effectuer des tests d'intégration.
  • Printemps 2027 (Ubuntu 27.04) : Si les performances et la sécurité sont satisfaisantes, ntpd-rs deviendra le client et serveur unifié par défaut du système. Il devrait alors intégrer le projet Statime, remplaçant définitivement les paquets chrony, linuxptp et potentiellement gpsd.

Unification des protocoles : NTP, NTS et PTP

La synchronisation temporelle est le pilier invisible de la cryptographie moderne (comme la validation des certificats TLS). Jusqu'à présent, les systèmes Linux s'appuyaient sur des outils disparates pour gérer différents niveaux de précision et de sécurité. La vision de Canonical avec ntpd-rs est unifier les choses :

  • NTP (protocole de temps réseau) : Le protocole standard pour la synchronisation de l'heure générale du système via Internet.
  • NTS (Network Time Security) : La couche cryptographique qui empêche la falsification ou l'interception des données temporelles (similaire à ce que HTTPS est à HTTP).
  • PTP (Precision Time Protocol) : Réservé aux réseaux nécessitant une synchronisation inférieure à la microseconde (télécommunications, réseaux électriques, automobile). L'intégration des fonctionnalités de Statime dans ntpd-rs permettra de s'affranchir de la configuration manuelle complexe actuellement requise par linuxptp.

Pour parvenir à cette unification, les mesures suivantes seront mises en œuvre. nouvelles fonctionnalités avant leur déploiement final. Cela inclut Prise en charge du socket IP gpsd, du fonctionnement du serveur NTP multithread et multihébergé (plusieurs interfaces réseau), et le adoption des protocoles gPTP et CSPTP (IEEE 1588.1), crucial pour le profil automobile.

Sécurité éprouvée et surface d'attaque réduite

Le choix de ntpd-rs n'est pas une expérience à l'aveugle, car son utilité a démontré sa résilience à l'échelle industrielle en étant adopté par l'infrastructure critique de l'autorité de certification Let's Encrypt au milieu de l'année 2024. Étant donné qu'il est écrit en Rust, il est intrinsèquement immunisé contre les dépassements de tampon classiques. qui ont historiquement affecté les outils C/C++. Pour mieux les protéger sous Ubuntu, Des profils AppArmor et seccomp stricts sont en cours de développement.garantir que la sécurité de la mémoire ne compromet pas les limites des privilèges système.

Cette priorité accordée à une sécurité extrême s'étend à d'autres aspects du système. Julian Andres Klode, responsable du projet APT chez Canonical, a annoncé des mesures parallèles visant à réduire drastiquement la surface d'attaque du chargeur de démarrage GRUB dans Ubuntu 26.10.

Pour éviter les vulnérabilités récurrentes, Les versions GRUB signées numériquement perdront la compatibilité avec les formats inutiles. Au démarrage, cela inclut les images JPEG/PNG, la table de partition part_apple et les systèmes de fichiers BTRFS, XFS et ZFS (exclusivement pour la partition /boot, qui utilise toujours ext4 par défaut sous Ubuntu). De plus, La prise en charge de LUKS, LVM et md-raid sera supprimée. (sauf raid1) dans /boot, en privilégiant la vérification de l'intégrité à l'aide du chiffrement FDE pris en charge par TPM, plutôt que de s'appuyer sur l'obfuscation des données.

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails. dans le lien suivant.