В моем /etc/ntp.conf, это говорит
By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
Я хочу получать время только от указанных серверов, чтобы предотвратить DDoS-атаки, например этот.
Как можно изменить этот файл, чтобы время не получалось от коллег?
Если сервер общедоступен, в вашей конфигурации должна быть такая строка:
restrict default kod limited nomodify noquery nopeer notrap
Если вам нужны функции удаленного управления, вы можете добавить restrict следующие строки, разрешающие доступ к определенным IP-адресам. Если он не является общедоступным, вам не нужно беспокоиться об усилении атаки «монлист».
Вам действительно не следует запускать общедоступный NTP-сервер, если вы не знаете, что делаете. Функции управления, которые блокирует эта линия и которые используются в атаке, с которой вы связаны, не имеют ничего общего с обменом временем с другими системами. Кроме того, «одноранговые узлы» отличаются от «клиентов» и «серверов» в NTP.
Редактировать:
Вышеуказанное просто отключает все функции администратора (это единственное, что известно как уязвимое). NTP не будет синхронизироваться ни с чем, если это специально не сказано (через server, peer, broadcast, или manycastclient директива - или аппаратные часы S0).
По умолчанию NTP будет обслуживать клиентские запросы, действуя как сервер - чтобы отключить это добавление noserve к заявлению ограничения выше. Этот конкретный параметр позволяет разрешить некоторые функции управления, запрещая клиентам синхронизировать время.
В качестве альтернативы, если вы хотите, чтобы NTP ничего не «слушал», вы можете вместо этого добавить эту строку:
restrict default ignore
Вы должны отдельно указать серверы, которые хотите слушать:
server 192.168.1.10
убедитесь, что трансляция закомментирована.