NTP server

Z Poznámkový blok
Verze z 10. 3. 2024, 17:44, kterou vytvořil Tydyt (diskuse | příspěvky) (NTP Second File)
Přejít na: navigace, hledání

Úvod

Po několika instalaci GPS z NTP jsem se rozhodl pro NTP server udelat samosattnou stránku. Vzhledem k době, již bude zaměřena na instalaci na systému Debian 12 - Bookworm.

Instalace NTP

Prvně provedeme vlastní instalaci. Pokud mame nainstalovany chrone, tak bude odinstalovan. Nakonec vytvoříme adresář pro logy, z nějakého důvodu se při instalaci nevytvoří.

sudo apt-get update
sudo apt-get -y install ntp

sudo mkdir /var/log/ntpsec && sudo chown ntpsec:ntpsec /var/log/ntpsec

Pokud nechceme akceptovat pro NTP server načtenou adresu z DHCP, tak upravíme default konfiguraci:

sudo nano /etc/default/ntpsec
IGNORE_DHCP="yes"

Nastavení NTP

Konfigurační soubor se presunul z /etc/ntp.conf do /etc/ntpsec/ntp.conf, vněm pak provedeme potřebné úpravy.

sudo nano /etc/ntpsec/ntp.conf

Nezapomeňme po změně konfigurace ntp server restartovat.

sudo service ntp restart

Zdreje času

Ve výchozí konfiguraci jsou nastavene tzv pooly, z kterych se automaticky čerpají nejbližší adresy. Místo výchozích můžeme zvilit třeba cz zdroje.

pool cz.pool.ntp.org

Ty ale mažu a místo nich používám:

server ntp.cesnet.cz iburst
server tak.cesnet.cz iburst
server ntp.nic.cz iburst

GPSd

Pokud máme k dispozici GPS modul a nainstalované utility gpsd, můžeme je nastavit jako zdroj času.

# GPS Serial data reference
server 127.127.28.0 minpoll 4 maxpoll 4 prefer
fudge  127.127.28.0 time1 0.0 refid GPS

# PPS reference
server 127.127.22.0 minpoll 4 maxpoll 4
fudge 127.127.22.0 refid PPS

# GPS PPS reference
server 127.127.28.1 minpoll 4 maxpoll 4
fudge  127.127.28.1 refid PPS

V nastavení může být problém z hodnotou time1. Povoleny rozsah je 0.0 až 0.9999. Mělo by se jednat o hodnotu, aby offset byl co nejmenší (0,1393).

Přístup

Ve výchozím stavu NTP server poskytuje data jen pro localhost. To samozřejmně nestačí a tak upravíme

restrict 10.0.0.0/8   # Povoli dotazy z privátní sítě
restrict all          # Povoli dotazy odkudkoliv


Pro vzdálený přístup a čtení jsou parametry:

  • nomodify - "Nepovolit hostiteli / podsíti změnit nastavení ntpd, i když mají správné klíče." Implicitně ntpd vyžaduje autentizaci se symetrickými klíči pro modifikace provedené pomocí ntpdc. Takže pokud nenakonfigurujete symetrické klíče pro váš ntpd nebo je necháváte řádně chráněný, nemusíte používat "nomodify", pokud nemáte obavy že autentizace NTP může být ohroženo.
  • noserve - "Nepřipojujte čas tomuto hostiteli / podsíti." Tato možnost je skutečně určena k použití, pokud chcete povolit hostiteli, podsíti přístup k vašemu serveru ntpd pouze pro sledování a / nebo vzdálenou konfiguraci.
  • notrust - ignorovat všechny pakety NTP, které nejsou kryptograficky ověřeny. Tato volba informuje ntpd, že ignoruje všechny pakety, které nejsou kryptograficky ověřeny. NEPOUŽÍVEJTE "notrust", pokud ntp crypto (tj. Symetrické klíče nebo autokey) nebylo správně nakonfigurováno na "obou koncích" asociace ntp (např. Vaše ntpd a vzdálený časový server, váš ntpd a klient).
  • noquery - "Nedovolte hostiteli / podsíti dotazovat váš stav ntpd." Funkce ntpd status query poskytované ntpq / ntpdc zobrazí některé informace o systému kde je spuště ntpd (např. Verze OS, verze ntpd). To si mnozí lidé nepřejí, aby ostatní věděli. Musíte se rozhodnout, zda je shrnutí těchto informací důležitější než možné výhody umožňující klientům vidět synchronizační informace o vašem ntpd.
  • ignore - Zakázat pakety všeho druhu, včetně dotazů ntpq a ntpdc .
  • kod - Pošlete balíček kiss-o'-death (KoD), pokud je přítomen limited příznak a paket porušuje omezení rychlosti stanovené příkazem Vyhoďte. KoD pakety jsou samy o sobě limitovány pro každou zdrojovou adresu zvlášť. Pokud je příznak kod používán v omezení, které nemá limited vlajku, nevzniknou žádné odpovědi KoD.
  • limited - Zakázat časovou službu, pokud paket poruší omezení rychlosti stanovené příkazem discard . To se nevztahuje na dotazy ntpq a ntpdc .
  • mssntp - Povolení ověřování MS-SNTP systému Microsoft Windows pomocí služeb služby Active Directory. Poznámka: Potenciální uživatelé by si měli být vědomi toho, že tyto služby zahrnují připojení TCP k jinému procesu, který by mohl potenciálně blokovat, a odmítá služby ostatním uživatelům. Tento příznak by měl být používán pouze pro vyhrazený server bez klientů jiných než MS-SNTP.
  • nomodify - Zakaž dotazy ntpq a ntpdc, které se pokoušejí změnit stav serveru (tj. Rekonfigurace času spuštění). Dotazy, které vracejí informace, jsou povoleny.
  • noquery - Zakázat dotazy ntpq a ntpdc . Časová služba není ovlivněna.
  • nopeer - Zakázat pakety, které by mohly mobilizovat sdružení, pokud nebyly ověřeny. To zahrnuje vysílání, symetrický a mnohostranný serverový paket, pokud neexistuje nakonfigurovaná asociace. Obsahuje také sdružení pool , takže pokud chcete používat servery z direktivy peer a také chcete ve výchozím nastavení používat nopeer , budete chtít také řádek "restrict source ..." , který neobsahuje direktivu nopeer . Všimněte si, že tento příznak se nevztahuje na pakety, které se nepokouší mobilizovat sdružení.
  • noserve - Zakázat všechny pakety kromě ntpq a ntpdc dotazů.
  • notrap - Odmítnout poskytnout službu přetahování řídicích zpráv režimu 6 odpovídajícím hostitelům. Služba trap je subsystém protokolu protokolu ntpdc, který je určen pro použití programem protokolování vzdálených událostí.
  • notrust - Odmítnout pakety, které nejsou kryptograficky ověřeny. Pečlivě si uvědomte, jak tento příznak interaguje s volbou auth povelem povolit a zakázat . Je-li povoleno auth , což je výchozí, ověření je vyžadováno u všech paketů, které mohou mobilizovat přidružení. Je-li auth zakázán, ale není přítomen příznak notrust , přidružení může být mobilizováno, bez ohledu na to, zda je ověřeno. Je-li auth zakázáno, ale je přítomen příznak notrust , ověření je vyžadováno pouze pro zadaný rozsah adresy / masky.
  • ntpport - Toto je ve skutečnosti modifikátor algoritmu shody, spíše než příznak omezení. Její přítomnost způsobuje, že záznam o omezení je nutný pouze v případě, že zdrojový port v paketu je standardní port NTP UDP (123). Omezující řádek obsahující ntpport je považován za specifičtější než jedna se stejnou adresou a maskou, ale chybí ntpport .
  • version - Odmítnout pakety, které neodpovídají aktuální verzi NTP.

NTP Second File

Tento soubor je jiz soucastí vlastní instalace a tudíž není aktuální. Pro poradek ale původní text ponechávám.

Jednou za dva roky, maximálně dvakrát do roka se přidává jedna sekunda. NTP server s touto informací umí pracovat a o této změně dává jeden den dopředu vědět aby se podřízené servery na tuto událost připravili a nenastal problém z důvodu náhlé změny, chybějícího časového údaje. Z toho plyne, že o této informaci musí vědět servery prvního řádu, aby ji dále delegovali. V případě synchronizace GPS je tato informace přenášena přímo GPS družicemi. Pokud je ale synchronizace pro NTP server prvního řádu brána z jiného zdroje který o této změně předem neinformuje, je vhodné přidat odkaz na soubor, obsahující data kdy posun nastane. Vlastní soubor můžeme stáhnout z několika zdrojů, například:

Následně do konfiguračního souboru /etc/ntp.conf přidáme řádek z odkazem na stažený soubor:

# pouziti sekundoveho souboru
leapfile "/cesta/na/leap-soubor"

Poté je nutné službu restartovat, aby se nastavení aplikovalo. Kontrolu vlastního souboru je pak potřeba provádět několikrát do roka.


Kličová slova.

ntp leap second file
http://support.ntp.org/bin/view/Support/ConfiguringNTP