Назад | Перейти на главную страницу

Разрешение сервера NTP отказано при попытке прочитать файл ключа

Я пытаюсь настроить сервер времени NTP для хостов в моей внутренней сети для синхронизации.

Мне нужно использовать авторизацию, чтобы соответствовать стандартам PCI.

Я создал набор ключей с помощью ntp-keygen -M и добавил приведенный ниже фрагмент в свой файл /etc/ntp.conf на сервере.

enable auth
keys /etc/ntp.keys
trustedkey 1 7 17

Я не могу подключиться к серверу с клиента. Когда я запускаю "ntpq -c as" на клиенте, я вижу, что auth "плохой" для моего сервера. Я скопировал ключевой файл, который был сгенерирован на сервере, на клиент и добавил строки доверенного ключа клиенту, например:

server timeserver key 17
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1
keys /etc/ntp.keys
trustedkey 1 7 17

Глядя на журналы сервера, я вижу, что при попытке чтения файла я получаю отказ в разрешении, как показано ниже.

Jan 30 12:38:01 ip-10-0-1-103 systemd[1]: Starting LSB: Start NTP daemon...
Jan 30 12:38:01 ip-10-0-1-103 ntp[28084]:  * Starting NTP server ntpd
Jan 30 12:38:01 ip-10-0-1-103 ntpd[28094]: ntpd 4.2.8p4@1.3265-o Wed Oct  5 12:34:45 UTC 2016 (1): Starting
Jan 30 12:38:01 ip-10-0-1-103 ntpd[28094]: Command line: /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 112:116
Jan 30 12:38:01 ip-10-0-1-103 ntp[28084]:    ...done.
Jan 30 12:38:01 ip-10-0-1-103 systemd[1]: Started LSB: Start NTP daemon.
Jan 30 12:38:01 ip-10-0-1-103 ntpd[28096]: proto: precision = 0.182 usec (-22)
Jan 30 12:38:01 ip-10-0-1-103 ntpd[28096]: authreadkeys: file /etc/ntp.keys: Permission denied

Я использовал ntpdate с клиентской машины, чтобы установить дату с сервера, поэтому я почти уверен, что сеть работает. Я фактически отключил iptables на обоих серверах, пока пытался это настроить.

Ключевой файл на сервере 600, вот так:

-rw-------  1 root  root    1066 Jan 30 12:29 ntpkey_MD5key_timeserver.3694768152
lrwxrwxrwx  1 root  root      35 Jan 30 12:33 ntp.keys -> ntpkey_MD5key_timeserver.3694768152

Я попытался изменить конфигурацию, чтобы указать на фактический файл, а не на символическую ссылку.

Может ли кто-нибудь помочь мне разобраться, что означает ошибка в системном журнале и как ее решить?

РЕДАКТИРОВАТЬ: глядя на источник похоже, что часть ошибки "Permission denied" исходит от ОС.

Я запустил экземпляр Ubuntu 14.04 и заметил, что сообщение о броне приложения в журналах появляется после того же сообщения «В разрешении отказано».

Отключение профиля ntp для apparmor решило проблему.