Я пытаюсь установить сервер времени на локальном компьютере с Ubuntu, чтобы другие серверы в моей сети синхронизировались с ним. Мы решили установить наш собственный сервер времени, а не позволять каждому серверу обновляться с внешнего сервера, чтобы минимизировать риск безопасности.
Буду признателен за любую помощь или ссылки!
Спасибо,
Уди
Стандартный пакет ntp (также может быть ntp-server или ntp-simple) на любом физический машина linux в порядке. Не используйте виртуальную машину.
Многие люди будут утверждать, что происходит утечка информации, когда другие могут знать, сколько у вас времени, однако многие другие службы утекают время, и вы получаете выгода когда все журналы синхронизируются в случае каких-либо проблем. Конфигурация debian по умолчанию запрещает удаленным пользователям делать что-либо, кроме синхронизации времени, и этого достаточно.
Что касается того, что обновлять с pool.ntp.org, это ответ, по возможности используйте пул, соответствующий вашей стране. Это также почти всегда конфигурация по умолчанию для Linux NTP.
Некоторые руководства, которые я использую при настройке сетей NTP:
Во-первых, необходимо повысить устойчивость вашей сети к отключениям Интернета. Когда интернет-соединение прерывается, ваши одноранговые серверы будут поддерживать согласованное время между собой и никогда не будут рассинхронизироваться. Это означает, что ваши клиенты не будут рассинхронизироваться. Если для вас важно время, это очень хорошо.
Что касается параметров ACL, установка разумных значений по умолчанию поможет предотвратить зло:
restrict default ignore #deny access to general internet, just 'cause
restrict 192.168.0.0 255.255.0.0 nomodify nopeer # allow restricted access to internal
restrict 192.168.202.202 #allow TimeHost1 full access
restrict 192.168.202.203 #allow TimeHost2 full access
restrict 192.168.200.158 nopeer #allow the admin workstation to make changes
Это позволит клиентам использовать такие инструменты, как ntpq, для диагностики проблем NTP, но не позволит ничего изменить.
Что касается автоключа или симметричного ключа, это зависит от того, насколько надежна ваша сеть. Установка соответствующих значений ACL должна обеспечить сопротивление злу, но это обеспечит дополнительный уровень защиты от спуфинга. Из этих двух автоключ легче настроить, но симметричный более новый и надежный.
Я бы рекомендовал OpenNTPd (переносной).
Из их манифеста:
Текущие демоны NTP сложны и трудны в настройке и / или имеют сомнительные лицензии. Из-за этого только ограниченное количество систем запускает NTP, в результате чего многие машины отключаются на месяцы и даже годы. Наша цель - сделать NTP повсеместным, предоставив бесплатную простую реализацию, которая является безопасной и простой в настройке.
- Будьте максимально осторожны. Кодируйте внимательно, выполняйте строгие проверки достоверности, особенно в пути сетевого ввода, и используйте операции с ограниченным буфером. Используйте разделение привилегий для смягчения последствий возможных ошибок безопасности.
- Обеспечьте бережливую реализацию, достаточную для большинства. Не пытайтесь поддерживать каждый непонятный случай использования, но охарактеризуйте типичные.
- Попробуйте "просто работать" в фоновом режиме.
- Работайте с минимальной конфигурацией.
- Достигайте разумной точности. Мы не на последних микросекундах.