LINUX.ORG.RU
решено ФорумAdmin

ntp

 


0

2

Добрый день! Первый раз конфигурирую сервер с ntpd.

Есть сервер Centos7 с ntpd. Данный сервер используется как сервер точного времени для клиентов ЛАН 192.168.123.0/24. Сервер берет время с внешних серверов NTP, при этом должен продолжать позволять синхронизироваться клиентам ЛАН в условиях отсутствия доступа к нету.

Мой конфиг ntp.conf

driftfile /var/lib/ntp/ntp.drift
server  ntp1.vniiftri.ru iburst prefer
server  ntp2.vniiftri.ru
server  ntp4.vniiftri.ru
server 127.127.1.0
fudge 127.127.1.0 stratum 3

restrict  -4 default ignore
#restrict  -6 default ignore

restrict  ntp1.vniiftri.ru
restrict  ntp2.vniiftri.ru
restrict  ntp4.vniiftri.ru

restrict  127.127.1.0
restrict  127.0.0.1

restrict 192.168.123.0 mask 255.255.255.0 nomodify notrap

Вопрос:

1.На сколько корректен конфиг, в т.ч. с т.з безопасности?

2.Если я раскоментирую строку restrict -6 default ignore , то получаю таймаут ntpq -np. Почему?

3. Если я хочу включить только ntp клиент и отключить ntp сервер, достаточно ли будет закомментировать строку restrict 192.168.123.0....?

4. netstat выдает следующее:

udp        0      0 x.x.x.x:123              0.0.0.0:*                           30913/ntpd
udp        0      0 192.168.123.1:123        0.0.0.0:*                           30913/ntpd
udp        0      0 y.y.y.y:123             0.0.0.0:*                           30913/ntpd
udp        0      0 127.0.0.1:123           0.0.0.0:*                           30913/ntpd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           30913/ntpd

Смущает то, что слушает 123 порт на всех интерфейсах.

1.На сколько корректен конфиг, в т.ч. с т.з безопасности?

Конфиг безопасен (см. ниже)

3. Если я хочу включить только ntp клиент и отключить ntp сервер, достаточно ли будет закомментировать строку restrict 192.168.123.0....?

Да. Оставьте только локалхост.

Смущает то, что слушает 123 порт на всех интерфейсах.

А вот тут бы лучше запретить входящие соединения (которые смотрят в WAN), а оставить только исходящие + разрешение на уже открытые нами входящие соединения.

FluffyPillow ()

Это не страшно, можно закрыть файрволом. Но если тебя это всё-таки волнует:

interface ignore wildcard
interface listen lo
interface listen eth0

Будет слушать только на lo(нужно, иначе отвалится работа ntpq без доп. опций) и на eth0. Какие тебе интерфейсы нужны - подставишь

Pinkbyte ★★★★★ ()

В CentOS 7 уже ж должен быть Chrony вместо ntpd по умолчанию как в RHEL?

das_tier ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.