NTP server: Porovnání verzí

Z Poznámkový blok
Přejít na: navigace, hledání
(Založena nová stránka s textem „== Úvod == Po několika instalaci GPS z NTP jsem se rozhodl pro NTP server udelat samosattnou stránku. Vzhledem k době, již bude zaměřena na instalac…“)
 
(Přístup)
Řádka 39: Řádka 39:
 
=== Přístup ===
 
=== Přístup ===
 
Ve výchozím stavu NTP server poskytuje data jen pro localhost. To samozřejmně nestačí a tak upravíme
 
Ve výchozím stavu NTP server poskytuje data jen pro localhost. To samozřejmně nestačí a tak upravíme
 +
restrict 10.0.0.0/8  # Povoli dotazy z privátní sítě
 +
restrict all          # Povoli dotazy odkudkoliv
 +
 +
 +
Pro vzdálený přístup a čtení jsou parametry:
 +
* '''nomodify''' - "Nepovolit hostiteli / podsíti změnit nastavení ntpd, i když mají správné klíče." Implicitně ntpd vyžaduje autentizaci se symetrickými klíči pro modifikace provedené pomocí ntpdc. Takže pokud nenakonfigurujete symetrické klíče pro váš ntpd nebo je necháváte řádně chráněný, nemusíte používat "nomodify", pokud nemáte obavy že autentizace NTP může být ohroženo.
 +
 +
* '''noserve''' - "Nepřipojujte čas tomuto hostiteli / podsíti." Tato možnost je skutečně určena k použití, pokud chcete povolit hostiteli, podsíti přístup k vašemu serveru ntpd pouze pro sledování a / nebo vzdálenou konfiguraci.
 +
 +
* '''notrust''' - ignorovat všechny pakety NTP, které nejsou kryptograficky ověřeny. Tato volba informuje ntpd, že ignoruje všechny pakety, které nejsou kryptograficky ověřeny. NEPOUŽÍVEJTE "notrust", pokud ntp crypto (tj. Symetrické klíče nebo autokey) nebylo správně nakonfigurováno na "obou koncích" asociace ntp (např. Vaše ntpd a vzdálený časový server, váš ntpd a klient).
 +
 +
* '''noquery''' - "Nedovolte hostiteli / podsíti dotazovat váš stav ntpd." Funkce ntpd status query poskytované ntpq / ntpdc zobrazí některé informace o systému kde je spuště ntpd (např. Verze OS, verze ntpd). To si mnozí lidé nepřejí, aby ostatní věděli. Musíte se rozhodnout, zda je shrnutí těchto informací důležitější než možné výhody umožňující klientům vidět synchronizační informace o vašem ntpd.
 +
 +
* '''ignore''' - Zakázat pakety všeho druhu, včetně dotazů <sub>ntpq</sub> a <sub>ntpdc</sub> .
 +
 +
* '''kod''' - Pošlete balíček <sub>kiss-o'-death</sub> (KoD), pokud je přítomen <sub>limited</sub> příznak a paket porušuje omezení rychlosti stanovené příkazem Vyhoďte. KoD pakety jsou samy o sobě limitovány pro každou zdrojovou adresu zvlášť. Pokud je příznak <sub>kod</sub> používán v omezení, které nemá <sub>limited</sub> vlajku, nevzniknou žádné odpovědi KoD.
 +
 +
* '''limited''' - Zakázat časovou službu, pokud paket poruší omezení rychlosti stanovené příkazem <sub>discard</sub> . To se nevztahuje na dotazy <sub>ntpq</sub> a <sub>ntpdc</sub> .
 +
 +
* '''mssntp''' - Povolení ověřování MS-SNTP systému Microsoft Windows pomocí služeb služby Active Directory. '''Poznámka:''' Potenciální uživatelé by si měli být vědomi toho, že tyto služby zahrnují připojení TCP k jinému procesu, který by mohl potenciálně blokovat, a odmítá služby ostatním uživatelům. Tento příznak by měl být používán pouze pro vyhrazený server bez klientů jiných než MS-SNTP.
 +
 +
* '''nomodify''' - Zakaž dotazy <sub>ntpq</sub> a <sub>ntpdc</sub>, které se pokoušejí změnit stav serveru (tj. Rekonfigurace času spuštění). Dotazy, které vracejí informace, jsou povoleny.
 +
 +
* '''noquery''' - Zakázat dotazy <sub>ntpq</sub> a <sub>ntpdc</sub> . Časová služba není ovlivněna.
 +
 +
* '''nopeer''' - Zakázat pakety, které by mohly mobilizovat sdružení, pokud nebyly ověřeny. To zahrnuje vysílání, symetrický a mnohostranný serverový paket, pokud neexistuje nakonfigurovaná asociace. Obsahuje také sdružení <sub>pool</sub> , takže pokud chcete používat servery z direktivy <sub>peer</sub> a také chcete ve výchozím nastavení používat <sub>nopeer</sub> , budete chtít také řádek <sub>"restrict source ..."</sub> , který neobsahuje direktivu <sub>nopeer</sub> . Všimněte si, že tento příznak se nevztahuje na pakety, které se nepokouší mobilizovat sdružení.
 +
 +
* '''noserve''' - Zakázat všechny pakety kromě ntpq a ntpdc dotazů.
 +
 +
* '''notrap''' - Odmítnout poskytnout službu přetahování řídicích zpráv režimu 6 odpovídajícím hostitelům. Služba trap je subsystém protokolu protokolu <sub>ntpdc</sub>, který je určen pro použití programem protokolování vzdálených událostí.
 +
 +
* '''notrust''' - Odmítnout pakety, které nejsou kryptograficky ověřeny. Pečlivě si uvědomte, jak tento příznak interaguje s volbou auth povelem povolit a zakázat . Je-li povoleno auth , což je výchozí, ověření je vyžadováno u všech paketů, které mohou mobilizovat přidružení. Je-li auth zakázán, ale není přítomen příznak notrust , přidružení může být mobilizováno, bez ohledu na to, zda je ověřeno. Je-li auth zakázáno, ale je přítomen příznak notrust , ověření je vyžadováno pouze pro zadaný rozsah adresy / masky.
 +
 +
* '''ntpport''' - Toto je ve skutečnosti modifikátor algoritmu shody, spíše než příznak omezení. Její přítomnost způsobuje, že záznam o omezení je nutný pouze v případě, že zdrojový port v paketu je standardní port NTP UDP (123). Omezující řádek obsahující ntpport je považován za specifičtější než jedna se stejnou adresou a maskou, ale chybí ntpport .
 +
 +
* '''version''' - Odmítnout pakety, které neodpovídají aktuální verzi NTP.

Verze z 10. 3. 2024, 17:37

Úvod

Po několika instalaci GPS z NTP jsem se rozhodl pro NTP server udelat samosattnou stránku. Vzhledem k době, již bude zaměřena na instalaci na systému Debian 12 - Bookworm.

Instalace NTP

Prvně provedeme vlastní instalaci. Pokud mame nainstalovany chrone, tak bude odinstalovan. Nakonec vytvoříme adresář pro logy, z nějakého důvodu se při instalaci nevytvoří.

sudo apt-get update
sudo apt-get -y install ntp

sudo mkdir /var/log/ntpsec && sudo chown ntpsec:ntpsec /var/log/ntpsec

Pokud nechceme akceptovat pro NTP server načtenou adresu z DHCP, tak upravíme default konfiguraci:

sudo nano /etc/default/ntpsec
IGNORE_DHCP="yes"

Nastavení NTP

Konfigurační soubor se presunul z /etc/ntp.conf do /etc/ntpsec/ntp.conf, vněm pak provedeme potřebné úpravy.

sudo nano /etc/ntpsec/ntp.conf

Nezapomeňme po změně konfigurace ntp server restartovat.

sudo service ntp restart

Zdreje času

Ve výchozí konfiguraci jsou nastavene tzv pooly, z kterych se automaticky čerpají nejbližší adresy. Ty ale mažu a místo nich používám:

server ntp.cesnet.cz iburst
server tak.cesnet.cz iburst
server ntp.nic.cz iburst

GPSd

Pokud máme k dispozici GPS modul a nainstalované utility gpsd, můžeme je nastavit jako zdroj času.

# GPS Serial data reference
server 127.127.28.0 minpoll 4 maxpoll 4 prefer
fudge  127.127.28.0 time1 0.0 refid GPS

# PPS reference
server 127.127.22.0 minpoll 4 maxpoll 4
fudge 127.127.22.0 refid PPS

# GPS PPS reference
server 127.127.28.1 minpoll 4 maxpoll 4
fudge  127.127.28.1 refid PPS

V nastavení může být problém z hodnotou time1. Povoleny rozsah je 0.0 až 0.9999. Mělo by se jednat o hodnotu, aby offset byl co nejmenší (0,1393).

Přístup

Ve výchozím stavu NTP server poskytuje data jen pro localhost. To samozřejmně nestačí a tak upravíme

restrict 10.0.0.0/8   # Povoli dotazy z privátní sítě
restrict all          # Povoli dotazy odkudkoliv


Pro vzdálený přístup a čtení jsou parametry:

  • nomodify - "Nepovolit hostiteli / podsíti změnit nastavení ntpd, i když mají správné klíče." Implicitně ntpd vyžaduje autentizaci se symetrickými klíči pro modifikace provedené pomocí ntpdc. Takže pokud nenakonfigurujete symetrické klíče pro váš ntpd nebo je necháváte řádně chráněný, nemusíte používat "nomodify", pokud nemáte obavy že autentizace NTP může být ohroženo.
  • noserve - "Nepřipojujte čas tomuto hostiteli / podsíti." Tato možnost je skutečně určena k použití, pokud chcete povolit hostiteli, podsíti přístup k vašemu serveru ntpd pouze pro sledování a / nebo vzdálenou konfiguraci.
  • notrust - ignorovat všechny pakety NTP, které nejsou kryptograficky ověřeny. Tato volba informuje ntpd, že ignoruje všechny pakety, které nejsou kryptograficky ověřeny. NEPOUŽÍVEJTE "notrust", pokud ntp crypto (tj. Symetrické klíče nebo autokey) nebylo správně nakonfigurováno na "obou koncích" asociace ntp (např. Vaše ntpd a vzdálený časový server, váš ntpd a klient).
  • noquery - "Nedovolte hostiteli / podsíti dotazovat váš stav ntpd." Funkce ntpd status query poskytované ntpq / ntpdc zobrazí některé informace o systému kde je spuště ntpd (např. Verze OS, verze ntpd). To si mnozí lidé nepřejí, aby ostatní věděli. Musíte se rozhodnout, zda je shrnutí těchto informací důležitější než možné výhody umožňující klientům vidět synchronizační informace o vašem ntpd.
  • ignore - Zakázat pakety všeho druhu, včetně dotazů ntpq a ntpdc .
  • kod - Pošlete balíček kiss-o'-death (KoD), pokud je přítomen limited příznak a paket porušuje omezení rychlosti stanovené příkazem Vyhoďte. KoD pakety jsou samy o sobě limitovány pro každou zdrojovou adresu zvlášť. Pokud je příznak kod používán v omezení, které nemá limited vlajku, nevzniknou žádné odpovědi KoD.
  • limited - Zakázat časovou službu, pokud paket poruší omezení rychlosti stanovené příkazem discard . To se nevztahuje na dotazy ntpq a ntpdc .
  • mssntp - Povolení ověřování MS-SNTP systému Microsoft Windows pomocí služeb služby Active Directory. Poznámka: Potenciální uživatelé by si měli být vědomi toho, že tyto služby zahrnují připojení TCP k jinému procesu, který by mohl potenciálně blokovat, a odmítá služby ostatním uživatelům. Tento příznak by měl být používán pouze pro vyhrazený server bez klientů jiných než MS-SNTP.
  • nomodify - Zakaž dotazy ntpq a ntpdc, které se pokoušejí změnit stav serveru (tj. Rekonfigurace času spuštění). Dotazy, které vracejí informace, jsou povoleny.
  • noquery - Zakázat dotazy ntpq a ntpdc . Časová služba není ovlivněna.
  • nopeer - Zakázat pakety, které by mohly mobilizovat sdružení, pokud nebyly ověřeny. To zahrnuje vysílání, symetrický a mnohostranný serverový paket, pokud neexistuje nakonfigurovaná asociace. Obsahuje také sdružení pool , takže pokud chcete používat servery z direktivy peer a také chcete ve výchozím nastavení používat nopeer , budete chtít také řádek "restrict source ..." , který neobsahuje direktivu nopeer . Všimněte si, že tento příznak se nevztahuje na pakety, které se nepokouší mobilizovat sdružení.
  • noserve - Zakázat všechny pakety kromě ntpq a ntpdc dotazů.
  • notrap - Odmítnout poskytnout službu přetahování řídicích zpráv režimu 6 odpovídajícím hostitelům. Služba trap je subsystém protokolu protokolu ntpdc, který je určen pro použití programem protokolování vzdálených událostí.
  • notrust - Odmítnout pakety, které nejsou kryptograficky ověřeny. Pečlivě si uvědomte, jak tento příznak interaguje s volbou auth povelem povolit a zakázat . Je-li povoleno auth , což je výchozí, ověření je vyžadováno u všech paketů, které mohou mobilizovat přidružení. Je-li auth zakázán, ale není přítomen příznak notrust , přidružení může být mobilizováno, bez ohledu na to, zda je ověřeno. Je-li auth zakázáno, ale je přítomen příznak notrust , ověření je vyžadováno pouze pro zadaný rozsah adresy / masky.
  • ntpport - Toto je ve skutečnosti modifikátor algoritmu shody, spíše než příznak omezení. Její přítomnost způsobuje, že záznam o omezení je nutný pouze v případě, že zdrojový port v paketu je standardní port NTP UDP (123). Omezující řádek obsahující ntpport je považován za specifičtější než jedna se stejnou adresou a maskou, ale chybí ntpport .
  • version - Odmítnout pakety, které neodpovídají aktuální verzi NTP.