Weboldal keresés

Az NTP kiszolgáló és kliens telepítése és konfigurálása a Debian rendszeren

A Network Time Protocol (NTP) egyedülálló lehetőséget kínál a vállalatok számára a vállalaton belüli összes rendszer óráinak szinkronizálására. Az időszinkronizálás számos okból fontos, az alkalmazási időbélyegektől a biztonságon át a megfelelő naplóbejegyzésekig.

Amikor egy szervezet rendszerei különböző óraidőket tartanak fenn, hibaelhárítási szempontból nagyon nehéz meghatározni, hogy egy adott esemény mikor és milyen körülmények között történhet.

Az NTP egyszerű módot kínál annak biztosítására, hogy minden rendszer a megfelelő időt tartsa fenn, ami viszont nagyban leegyszerűsítheti a rendszergazdák/műszaki támogatás terheit.

Az NTP a referenciaórákkal, más néven „0. réteg” szerverekkel való szinkronizáláson alapul. Az összes többi NTP-kiszolgáló ezután alacsonyabb szintű rétegkiszolgálóvá válik, attól függően, hogy milyen messze vannak a referenciakiszolgálótól.

Az NTP-lánc kezdete egy 1. réteg szerver, amely mindig közvetlenül kapcsolódik egy 0. réteg referencia órához. Innen az alacsonyabb szintű rétegszerverek hálózati kapcsolaton keresztül kapcsolódnak egy magasabb rétegszintű szerverhez.

Nézze meg az alábbi diagramot a világosabb koncepcióért.

Bár a stratum 0 vagy a stratum 1 szerver beállítása megoldható, ez költséges, ezért ez az útmutató az alacsonyabb rétegű szerverek beállítására összpontosít.

A Tecmint az NTP alapvető gazdagépkonfigurációjával rendelkezik a következő linken:

  1. Az idő szinkronizálása az NTP-kiszolgálóval

Ahol ez az útmutató különbözik, ahelyett, hogy a hálózat összes gazdagépe nyilvános NTP-kiszolgálókhoz kérdezne, egy (vagy jobb gyakorlat, ha több) szerver kapcsolatba lép a nyilvános NTP-rendszerrel, majd időt biztosít a hálózaton belüli összes gazdagép számára. helyi hálózat.

A belső NTP-kiszolgáló gyakran ideális a hálózati sávszélesség megőrzéséhez, valamint az NTP-korlátozások és a kriptográfia révén némi fokozott biztonság biztosításához. Ha látni szeretné, hogy ez miben különbözik az első diagramtól, kérjük, tekintse meg az alábbi második diagramot.

1. lépés: Az NTP szerver telepítése

1. A belső NTP-struktúra beállításának első lépése az NTP-kiszolgálószoftver telepítése. A Debian „NTP” nevű szoftvercsomagja jelenleg tartalmazza az összes, az NTP-hierarchia beállításához szükséges kiszolgálói segédprogramot. Mint minden rendszerkonfigurációról szóló oktatóanyagnál, a rendszer feltételezi a root vagy a sudo hozzáférést.

apt-get install ntp
dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
dpkg -s ntp                        [Can also be used to confirm NTP is installed]

1. lépés: Az NTP-kiszolgáló konfigurálása

2. Az NTP telepítése után itt az ideje beállítani, hogy mely magasabb rétegű kiszolgálók kérjenek le időt. Az NTP konfigurációs fájlja a „/etc/ntp.conf” címen található, és bármely szövegszerkesztővel módosítható. Ez a fájl tartalmazza a magasabb szintű kiszolgálók teljes képzésű tartományneveit, az erre az NTP-kiszolgálóra beállított korlátozásokat, és az NTP-kiszolgálót lekérdező gazdagépek egyéb speciális paramétereit.

A konfigurációs folyamat elindításához be kell állítani a magasabb szintű szervereket. A Debian alapértelmezés szerint a Debian NTP-készletet helyezi a konfigurációs fájlba. Ezek a legtöbb célra megfelelőek, de az adminisztrátor felkeresheti a NIST webhelyet, hogy megadjon bizonyos szervereket, vagy körbejárva használja a NIST összes szerverét (a NIST által javasolt módszer).

Ebben az oktatóanyagban meghatározott szerverek lesznek konfigurálva. A konfigurációs fájl néhány nagyobb részre oszlik, és alapértelmezés szerint IPv4-hez és IPv6-hoz van konfigurálva (Ha le szeretné tiltani az IPv6-ot, erről később lesz szó). A konfigurációs folyamat elindításához meg kell nyitni a konfigurációs fájlt egy szövegszerkesztővel.

nano /etc/ntp.conf

Az első néhány szakasz (driftfile, statsdir és statistics) jól be van állítva az alapértelmezett értékekre. A következő szakasz azokat a magasabb szintű szervereket tartalmazza, amelyeken keresztül a szervernek időt kell kérnie. Az egyes szerverbejegyzések szintaxisa nagyon egyszerű:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Általában jó ötlet több magasabb rétegű szerver közül választani ebben a listában. Ez a szerver lekérdezi a listában szereplő összes kiszolgálót, hogy meghatározza, melyik a legmegbízhatóbb. A példa szervereit a következő címről szereztük be: http://tf.nist.gov/tf-cgi/servers.cgi.

3. lépés: Az NTP-korlátozások konfigurálása

3. A következő lépés az NTP-korlátozások beállítása. Ezekkel engedélyezi vagy letilthatja a gazdagépek az NTP-szerverrel való interakciót. Az NTP alapértelmezett beállítása a kiszolgálási idő bárki számára, de nem teszi lehetővé a konfigurációt mind az IPv4, mind az IPv6 kapcsolatokon.

Ezt a szervert jelenleg csak IPv4-hálózaton használják, így az IPv6-ot kétféleképpen tiltották le. Az első lépés az IPv6 letiltásához az NTP-kiszolgálón a démon által elindított alapértelmezett beállítások megváltoztatása volt. Ezt a „/etc/default/ntp” sor megváltoztatásával sikerült elérni.

nano /etc/default/ntp

NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

A fő konfigurációs fájlban (/etc/ntp.conf) az NTP-démon automatikusan úgy lesz beállítva, hogy megosszon időt az összes IPv4/6 gazdagéppel, de nem engedélyezi a konfigurációt. Ez a következő két sorból látható:

Az NTPD engedélyezett, hacsak nincs megtagadva. Mivel az IPv6 le van tiltva, a 'restrict -6' sor eltávolítható vagy megjegyzésbe írható egy ' # karakterrel

Ez megváltoztatja az NTP alapértelmezett viselkedését, hogy figyelmen kívül hagyja az összes üzenetet. Ez furcsának tűnhet, de olvassa tovább, mivel a korlátozó záradékok segítségével finomhangolják az NTP-kiszolgálóhoz való hozzáférést a hozzáférést igénylő gazdagépek számára.

Most a szervernek tudnia kell, hogy ki kérdezhet le időt a szervertől, és mit tehet még az NTP-kiszolgálóval. Ennél a szervernél a 172.27.0.0/16 magánhálózatot fogják használni a korlátozási szakasz felépítéséhez.

Ez a sor tájékoztatja a szervert, hogy a 172.27.0.0/16 hálózat bármely gazdagépe időre hozzáférhessen a szerverhez. A maszk utáni paraméterek segítenek szabályozni, hogy a hálózaton lévő bármely gazdagép mit tehet a szerver lekérdezésekor. Szánjunk egy percet a korlátozási lehetőségek megértésére:

  1. Korlátozott: Azt jelzi, hogy ha egy kliens visszaél a csomagok sebességének szabályozásával, akkor a kiszolgáló eldobja a csomagokat. Ha a Kiss of Death csomag engedélyezve van, akkor azt visszaküldi a bántalmazó gazdagépnek. A díjakat az adminisztrátor konfigurálhatja, de itt az alapértelmezett értékeket feltételezi.
  2. KOD: Halál csókja. Ha egy gazdagép megsérti a kiszolgálóhoz küldött csomagok korlátját, a szerver s KoD csomaggal válaszol a megsértő gazdagépnek.
  3. Notrap: Elutasítási mód 6 vezérlőüzenetek. Ezeket a vezérlőüzeneteket távoli naplózási programokhoz használják.
  4. Nomodify: Megakadályozza az ntpq és ntpdc lekérdezéseket, amelyek módosítanák a szerver konfigurációját, de az információs lekérdezések továbbra is megengedettek.
  5. Noquery: Ez a beállítás megakadályozza, hogy a gazdagépek információt kérjenek a szervertől. Például ezen opció nélkül a gazdagépek használhatják az ntpdc vagy ntpq paramétereket annak meghatározására, hogy egy adott időszerver honnan kapja az idejét, vagy más társidőszerverektől, amelyekkel esetleg kommunikál.