Kuinka asentaa ja määrittää NTP-palvelin ja asiakas Debianiin

NTP (Network Time Protocol) tarjoaa yrityksille ainutlaatuisen kyvyn synkronoida yrityksen kaikkien järjestelmien kellot. Ajan synkronointi on tärkeää monista syistä aina sovelluksen aikaleimoista turvallisuuteen oikeisiin lokimerkintöihin.

Kun kaikki organisaation järjestelmät ylläpitävät eri kelloaikoja, on vianmäärityksen kannalta erittäin vaikeaa määrittää, milloin ja missä olosuhteissa tietty tapahtuma saattaa tapahtua.

NTP tarjoaa helpon tavan varmistaa, että kaikki järjestelmät ylläpitävät oikeaa aikaa, mikä puolestaan voi yksinkertaistaa huomattavasti järjestelmänvalvojien/teknisen tuen taakkaa.

NTP toimii lähtökohtana synkronoinnille vertailukellojen kanssa, jotka tunnetaan myös nimellä ”stratum 0” -palvelimet. Kaikista muista NTP-palvelimista tulee sitten alemman tason palvelin sen mukaan, kuinka kaukana ne ovat referenssipalvelimesta.

NTP-ketjun alku on kerroksen 1 palvelin, joka on aina kytketty suoraan kerroksen 0 vertailukelloon. Tästä lähtien alemman tason kerrospalvelimet on kytketty verkkoyhteyden kautta ylemmän kerroksen palvelimeen.

Katso alla olevasta kaaviosta selkeämpi käsite.

Vaikka stratum 0- tai stratum 1 -palvelimen asettaminen voidaan tehdä, se on kallista tehdä, ja sellaisenaan tämä opas keskittyy alemman kerroksen palvelimen asetuksiin.

Tecmintillä on NTP: n peruskokoonpano seuraavassa linkissä:

  1. Kuinka synkronoida aika NTP-palvelimen kanssa

Missä tämä opas eroaa, sen sijaan että kaikki verkon isännät kyselisivät julkisia NTP-palvelimia, yksi (tai parempi käytäntö, useita) palvelimia ottaa yhteyttä julkiseen NTP-järjestelmään ja antaa sitten aikaa kaikille palvelimille paikalliseen verkkoon.

Sisäinen NTP-palvelin on usein ihanteellinen verkon kaistanleveyden säästämiseksi sekä jonkin verran paremman turvallisuuden tarjoamiseksi NTP-rajoitusten ja salauksen avulla. Katso alla olevasta toisesta kaaviosta, kuinka tämä eroaa ensimmäisestä kaaviosta.

Vaihe 1: NTP-palvelimen asennus

1. Ensimmäinen vaihe sisäisen NTP-rakenteen luomisessa on NTP-palvelinohjelmiston asentaminen. Debianin ohjelmistopaketti nimeltä NTP sisältää tällä hetkellä kaikki palvelinapuohjelmat, joita tarvitaan NTP-hierarkian määrittämiseen. Kuten kaikissa järjestelmän kokoonpanoa koskevissa oppaissa, oletetaan Root- tai sudo-käyttöoikeus.

# apt-get install ntp
# dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
# dpkg -s ntp                        [Can also be used to confirm NTP is installed]

Vaihe 1: NTP-palvelimen määritys

2. Kun NTP on asennettu, on aika määrittää, mitkä ylemmän kerroksen palvelimet kysyvät aikaa. NTP: n määritystiedosto on tallennettu osoitteeseen /etc/ntp.conf , ja sitä voidaan muokata millä tahansa tekstieditorilla. Tämä tiedosto sisältää ylemmän tason palvelimien täysin hyväksytyt toimialuenimet, tälle NTP-palvelimelle asetetut rajoitukset ja kaikki muut erityisparametrit isäntää, joka kysyy tältä NTP-palvelimelta.

Kokoonpanoprosessin aloittamiseksi on määritettävä ylemmän tason palvelimet. Debian asettaa oletusarvoisesti Debianin NTP-ryhmän kokoonpanotiedostoon. Nämä sopivat useimpiin tarkoituksiin, mutta järjestelmänvalvoja voi käydä NIST: ssä määrittääkseen tiettyjä palvelimia tai käyttääksesi kaikkia NIST: n palvelimia pyöreällä tavalla (NISTin ehdottama menetelmä).

Tätä opetusohjelmaa varten määritetään tietyt palvelimet. Kokoonpanotiedosto on jaettu joihinkin pääosioihin ja se on oletuksena määritetty IPv4: lle ja IPv6: lle (Jos haluat poistaa IPv6: n käytöstä, siitä mainitaan myöhemmin). Konfigurointiprosessin aloittamiseksi määritystiedosto on avattava tekstieditorilla.

# nano /etc/ntp.conf

Muutamat ensimmäiset osiot (driftfile, statsdir ja tilastot) on asetettu oletusarvoihin. Seuraava osio sisältää ylemmän tason palvelimet, joiden kautta tämän palvelimen tulisi pyytää aikaa. Kunkin palvelimen merkinnän syntaksi on hyvin yksinkertainen:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Tyypillisesti tässä luettelossa on hyvä valita useita korkeamman tason palvelimia. Tämä palvelin kysyy kaikki luettelossa olevat palvelimet selvittääkseen, mikä niistä on luotettavin. Tämän esimerkin palvelimet saatiin osoitteesta: http://tf.nist.gov/tf-cgi/servers.cgi.

Vaihe 3: NTP-rajoitusten määritys

3. Seuraava vaihe on määrittää NTP-rajoitukset. Näitä käytetään sallimaan tai estämään isäntien vuorovaikutus NTP-palvelimen kanssa. NTP: n oletusarvo on palveluaika kenellekään, mutta älä salli määrityksiä sekä IPv4- että IPv6-yhteyksissä.

Tätä palvelinta käytetään tällä hetkellä vain IPv4-verkossa, joten IPv6 poistettiin käytöstä kahdella tavalla. Ensimmäinen tehtävä IPv6: n poistamiseksi käytöstä NTP-palvelimessa oli muuttaa oletusarvoja, jotka daemon aloittaa. Tämä saavutettiin muuttamalla riviä kohdassa ‘/etc/default/ntp ’.

# nano /etc/default/ntp

NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

Palattuaan pääkokoonpanotiedostoon ( /etc/ntp.conf ), NTP-demoni määritetään automaattisesti jakamaan aikaa kaikkien IPv4/6-isäntien kanssa, mutta ei salli määritystä. Tämä näkyy kahdella seuraavalla rivillä:

NTPD toimii sallitulla tavalla, ellei sitä evätä. Koska IPv6 poistettiin käytöstä, rivi ’ limit -6 ’ voidaan poistaa tai kommentoida ‘ #

Tämä muuttaa NTP: n oletuskäyttäytymistä ohittamaan kaikki viestit. Tämä saattaa tuntua oudolta, mutta jatka lukemista, koska rajoitusehtoja käytetään tämän NTP-palvelimen pääsyn hienosäätöön pääsyä tarvitseville isännille.

Nyt palvelimen on tiedettävä, kenellä on oikeus kysyä palvelimelta aikaa ja mitä muuta he saavat tehdä NTP-palvelimen kanssa. Tälle palvelimelle käytetään rajoitusjakson rakentamiseen yksityistä verkkoa, jonka koko on 172,27,0,0/16.

Tämä rivi ilmoittaa palvelimelle, että kaikki 172.27.0.0/16-verkon isännät voivat käyttää palvelinta jonkin aikaa. Maskin jälkeiset parametrit auttavat hallitsemaan, mitä tämän verkon isännät voivat tehdä kysyttäessä palvelinta. Otetaan hetki ymmärtämään jokainen näistä rajoitusvaihtoehdoista:

  1. Rajoitettu : Osoittaa, että jos asiakas väärinkäyttää pakettien nopeuden hallinnan määrää, paketti hylkää paketit. Jos Kiss of Death -paketti on käytössä, se lähetetään takaisin väärinkäyttäjälle. Nopeudet ovat järjestelmänvalvojan konfiguroitavissa, mutta oletukset oletetaan tässä.
  2. KOD : Kuoleman suudelma. Jos isäntä rikkoo palvelimelle pakettien määrää, palvelin vastaa KoD-paketilla rikkovaan isäntään.
  3. Notrap : Hylkää tila 6 -viestit. Näitä ohjausviestejä käytetään etälokien ohjelmiin.
  4. Nomodify : Estää ntpq- ja ntpdc-kyselyt, jotka muuttavat palvelimen kokoonpanoa, mutta tietokyselyt ovat silti sallittuja.
  5. Ei kysely : Tämä vaihtoehto estää isäntiä kyselemästä palvelimelta tietoja. Esimerkiksi ilman tätä vaihtoehtoa isännät voivat käyttää ntpdc: tä tai ntpq: tä määrittämään, mistä tietty aikapalvelin saa aikaansa, tai muilta vertaisajan palvelimilta, joiden kanssa se voi olla yhteydessä.