J'ai pu désactiver IPv6 pour NTP sur ma Debian 5/6/7 et Ubuntu 12.04 de cette façon :
Modifier le fichier /etc/default/ntp et remplacer
NTPD_OPTS='-g'
par
NTPD_OPTS='-4 -g'
Ensuite, vous pouvez conserver vos directives en ntp.conf , ils ne sont pas ignorés :
interface ignore wildcard
interface listen <local_nic_ip>
- Sans
interface ignore wildcardNTP écoutera également sur0.0.0.0 - Sans
interface listen <local_nic_ip>NTP n'écoutera que sur127.0.0.1(bien sûr)
Cela se traduira par :
# netstat -anp | grep :123
udp 0 0 192.168.0.38:123 0.0.0.0:* 2901/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 2901/ntpd
Aussi, je confirme que OpenNTPD écoute là où on lui demande d'écouter plus amicalement (pas besoin d'éditer plusieurs fichiers de config). Par défaut, il n'écoute nulle part jusqu'à ce que vous le configuriez pour le faire (très sécurisé) ;)
Dans le fichier de configuration, décommentez simplement la ligne
listen on 127.0.0.1
Et ajouter une ligne
listen on <local_nic_ip>
Résultats en :
# netstat -anp | grep :123
udp 0 0 192.168.0.38:123 0.0.0.0:* 8581/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 8581/ntpd
Si vous considérez cela comme un bogue (et je le pense certainement :ntpd ignore une directive de configuration), vous devrez en discuter avec le responsable du paquet ou les auteurs en amont. Je ne crois pas qu'aucun d'entre eux traîne ici - reportez-vous aux informations sur le colis pour leurs coordonnées.
Sinon, vous pouvez essayer une autre implémentation NTP (comme OpenNTPD - je ne l'ai pas utilisé personnellement, mais les gens d'OpenBSD ont tendance à être absolument paranoïaques à propos de la sécurité, donc j'imagine qu'il n'écoute que là où on lui dit).
Comme l'a souligné Sander, votre démon NTP écoute sur localhost (127.0.0.1 &::1 ) - Si vous craignez d'être piraté depuis localhost, vous avez probablement de plus gros problèmes que votre démon NTP.
Je suis un peu vexé que le démon ignore une directive de configuration, mais je ne considérerais pas cela comme un problème de sécurité sérieux.