Kako namestiti in konfigurirati strežnik in odjemalca NTP v Debianu

Network Time Protocol (NTP) predstavlja edinstveno sposobnost, da podjetja sinhronizirajo ure vseh sistemov v podjetju. Časovna sinhronizacija je pomembna iz več razlogov, od časovnih žigov aplikacije do zaščite do ustreznih vnosov v dnevnik.

Ko vsi sistemi organizacije vzdržujejo različne ure, je s stališča odpravljanja težav zelo težko ugotoviti, kdaj in pod kakšnimi pogoji se lahko zgodi določen dogodek.

NTP ponuja enostaven način za zagotovitev, da bodo vsi sistemi ohranili pravi čas, kar pa lahko močno poenostavi breme za skrbnike/tehnično podporo.

NTP deluje na predpostavki sinhronizacije z referenčnimi urami, znanimi tudi kot strežniki "stratum 0". Vsi drugi strežniki NTP nato postanejo strežnik strata nižje ravni glede na to, kako daleč so od referenčnega strežnika.

Začetek verige NTP je strežnik stratum 1, ki je vedno neposredno povezan z referenčno uro stratum 0. Od tod so strežniki strata na nižji ravni prek omrežne povezave povezani s strežnikom na višji ravni.

Za jasnejši koncept glejte spodnji diagram.

Medtem ko je mogoče nastaviti strežnik stratum 0 ali stratum 1, je to drago, zato se bo ta vodnik osredotočil na nastavitev strežnika nižjih slojev.

Tecmint ima osnovno konfiguracijo gostitelja NTP na naslednji povezavi:

  1. Kako sinhronizirati čas s strežnikom NTP

Če se ta vodnik razlikuje, namesto da bi vsi gostitelji v omrežju poizvedovali do javnih strežnikov NTP, bo en (ali boljši postopek več strežnikov) stopil v stik z javnim sistemom NTP in nato zagotovil čas za vse gostitelje znotraj lokalno omrežje.

Notranji strežnik NTP je pogosto idealen za ohranitev pasovne širine omrežja in zagotavlja nekaj večje varnosti z omejitvami NTP in kriptografijo. Če želite videti, kako se to razlikuje od prvega diagrama, si oglejte spodnji drugi diagram.

1. korak: Namestitev strežnika NTP

1. Prvi korak pri nastavitvi notranje strukture NTP je namestitev strežniške programske opreme NTP. Programski paket v Debianu, imenovan „NTP“, trenutno vsebuje vse strežniške pripomočke, potrebne za nastavitev hierarhije NTP. Kot pri vseh vajah o konfiguraciji sistema se tudi tu predvideva root ali sudo dostop.

# apt-get install ntp
# dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
# dpkg -s ntp                        [Can also be used to confirm NTP is installed]

1. korak: Konfiguracija strežnika NTP

2. Ko je NTP nameščen, je čas, da konfigurirate, katere strežnike višjega sloja želite poizvedovati za čas. Konfiguracijska datoteka za NTP je shranjena na naslovu ' /etc/ntp.conf ' in jo je mogoče spremeniti s katerim koli urejevalnikom besedil. Ta datoteka bo vsebovala popolnoma kvalificirana imena domen strežnikov višje ravni, omejitve, nastavljene za ta strežnik NTP, in vse druge posebne parametre za gostitelje, ki poizvedujejo po tem strežniku NTP.

Za zagon procesa konfiguracije je treba konfigurirati strežnike višje stopnje. Debian bo privzeto shranil Debian NTP pool v konfiguracijsko datoteko. V večini primerov so v redu, vendar lahko skrbnik obišče NIST, da določi določene strežnike ali uporabi vse strežnike NIST-a (na način, ki ga predlaga NIST).

Za to vadnico bodo konfigurirani določeni strežniki. Konfiguracijska datoteka je razdeljena na nekaj glavnih odsekov in je privzeto konfigurirana za IPv4 in IPv6 (če želite onemogočiti IPv6, je to omenjeno kasneje). Če želite zagnati postopek konfiguracije, morate konfiguracijsko datoteko odpreti z urejevalnikom besedil.

# nano /etc/ntp.conf

Prvih nekaj odsekov (driftfile, statsdir in statistika) je privzeto nastavljenih. Naslednji odsek vsebuje strežnike višje ravni, prek katerih naj ta strežnik zahteva čas. Sintaksa za vsak vnos strežnika je zelo preprosta:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Običajno je dobro imeti na tem seznamu več strežnikov z višjimi sloji. Ta strežnik bo poizvedel vse strežnike na seznamu, da bi ugotovil, kateri je najbolj zanesljiv. Strežniki za ta primer so bili pridobljeni na: http://tf.nist.gov/tf-cgi/servers.cgi.

3. korak: Konfiguracija omejitev NTP

3. Naslednji korak je konfiguriranje omejitev NTP. Uporabljajo se za omogočanje ali onemogočanje gostiteljev za interakcijo s strežnikom NTP. Privzeto za NTP je čas vročanja nikomur, vendar ne dovoli konfiguracije na povezavah IPv4 in IPv6.

Ta strežnik se trenutno uporablja samo v omrežju IPv4, zato je bil IPv6 onemogočen na dva načina. Prva stvar, ki je bila onemogočena na strežniku NTP, je bila spremeniti privzete nastavitve, ki jih zažene demon. To je bilo doseženo s spremembo vrstice v "/etc/default/ntp ".

# nano /etc/default/ntp

NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

Nazaj v glavni konfiguracijski datoteki ( /etc/ntp.conf ) bo demon NTP samodejno konfiguriran za skupno rabo časa z vsemi gostitelji IPv4/6, vendar ne bo dovolil konfiguracije. To je razvidno iz naslednjih dveh vrstic:

NTPD deluje dovoljeno, razen če je zavrnjen. Ker je bil IPv6 onemogočen, lahko vrstico ' restrict -6 ' odstranite ali komentirate z ' #

To spremeni privzeto vedenje NTP, da prezre vsa sporočila. To se morda zdi čudno, vendar nadaljujte z branjem, saj bodo za določitev dostopa do tega strežnika NTP gostitelji, ki potrebujejo dostop, uporabljeni klavzuli o omejitvi.

Zdaj mora strežnik vedeti, kdo sme poizvedovati o času in kaj še sme početi s strežnikom NTP. Za ta strežnik bo za izdelavo omejene kitice uporabljeno zasebno omrežje 172.27.0.0/16.

Ta vrstica obvešča strežnik, da dovoli kateremu koli gostitelju iz omrežja 172.27.0.0/16 dostop do strežnika za določen čas. Parametri po maski pomagajo nadzorovati, kaj lahko kateri koli gostitelj v tem omrežju stori pri poizvedovanju po strežniku. Vzemimo si trenutek, da razumemo vsako od teh omejitvenih možnosti:

  1. Omejeno : Označuje, da če bo odjemalec zlorabil nadzor nad številom paketov, bo paket zavrgel paket. Če je paket Kiss of Death omogočen, bo poslan nazaj na nasilnega gostitelja. Stopnje lahko nastavi skrbnik, privzete vrednosti pa so tu.
  2. KOD : Poljub smrti. Če gostitelj krši omejitev paketov na strežnik, se strežnik odzove s paketom KoD na kršitelja.
  3. Notrap : Zavrni kontrolna sporočila načina 6. Ta nadzorna sporočila se uporabljajo za programe oddaljenega beleženja.
  4. Nomodify : preprečuje poizvedbe ntpq in ntpdc, ki bi spremenile konfiguracijo strežnika, vendar so informativne poizvedbe še vedno dovoljene.
  5. Noquery : Ta možnost gostiteljem preprečuje, da bi po strežniku zahtevali informacije. Brez te možnosti lahko gostitelji na primer uporabljajo ntpdc ali ntpq, da ugotovijo, kam določen časovni strežnik prenaša čas ali druge časovne strežnike, s katerimi morda komunicira.