Мне интересно, как правильно настроить безопасность AWS, чтобы chrony мог синхронизировать системное время на экземпляре CentOS 7.
Я использовал более раннюю версию CentOS 7, в которой использовалось chrony 1.29.1, и она работала с настройками ниже.
Группа безопасности экземпляра: Исходящий UDP на порт 123
Сетевой ACL: Входящий UDP на порт 123 и исходящий UDP на порт 123.
Однако при запуске yum update или запуске нового экземпляра с последней версией CentOS 7, которая включает chrony 2.1.1, я могу синхронизировать его только с приведенной ниже конфигурацией.
Группа безопасности экземпляра: Исходящий UDP на порт 123
Сетевой ACL: Входящий UDP на все портыи исходящий UDP на порт 123.
Что тут происходит? Мне действительно нужно сейчас разрешить входящий UDP на всех портах для сетевого ACL? Это безопасно? Я предполагаю, что да, потому что моя группа безопасности не разрешает входящий трафик UDP, если она предварительно не установила исходящее соединение, верно?
Спасибо.
Нет потому что порт приобретения можно настроить.
Даже если программное обеспечение не допускало такого удобства, а брандмауэр не разрешал обратный трафик потока, вы все равно могли открыть только эфемерный диапазон портов и держите хорошо известные службы закрытыми.
Это довольно старый пост, но я разместил здесь актуальную информацию.
С ноября 2017 года Amazon представила 'Служба синхронизации времени Amazon'.
Сервис Amazon Time Sync доступен через NTP с IP-адресом 169.254.169.123 для любого экземпляра, работающего в VPC. Вашему экземпляру не требуется доступ к Интернету, и вам не нужно настраивать правила группы безопасности или правила ACL сети, чтобы разрешить доступ.
Поэтому, если ваш экземпляр работает внутри VPC, вам не нужно настраивать ACL и группы безопасности для доступа к серверу NTP, просто используйте IP 169.254.169.123 в качестве сервера NTP.
Более подробную информацию о настройке клиента NTP (chrony), использующего службу Amazon Time Sync, можно найти. Вот.