Kuidas paigaldada ja seadistada NTP serveri ja kliendi Debian

Võrgu ajaprotokoll (NTP) pakub ettevõtetele ainulaadset võimalust sünkroonida kõigi ettevõttes olevate süsteemide kellasid. Aja sünkroniseerimine on oluline mitmel põhjusel, ulatudes rakenduse ajatemplitest turvalisuse ja õigete logikirjeteni.

Kui organisatsiooni süsteemides on kõik erinevad kellaajad, on tõrkeotsingu seisukohast väga keeruline kindlaks teha, millal ja mis tingimustel konkreetne sündmus võib aset leida.

NTP on lihtne viis tagada, et kõik süsteemid hoiavad õiget aega, mis omakorda võib oluliselt lihtsustada administraatorite/tehnilise toe koormust.

NTP töötab eeldusel, et sünkroniseeritakse võrdluskelladega, mida nimetatakse ka “stratum 0” serveriteks. Kõigist teistest NTP-serveritest saavad siis madalama taseme kihistusserverid selle põhjal, kui kaugel nad viiteserverist asuvad.

NTP-ahela algus on 1. kihi server, mis on alati otse ühendatud 0-kihi tugikellaga. Siit alates ühendatakse madalama taseme kihistusserverid võrguühenduse kaudu kõrgema kihi taseme serveriga.

Selgema kontseptsiooni saamiseks vaadake allolevat skeemi.

Ehkki stratum 0 või stratum 1 serveri seadistamine on võimalik, on see siiski kallis ja seetõttu keskendub see juhend madalama kihi serveri seadistamisele.

Tecmintil on NTP põhikonfiguratsioon järgmisel lingil:

  1. Kuidas NTP-serveriga aega sünkroonida

See, kus see juhend erineb, on see, et kõigil võrgus asuvatel hostidel tuleb päringuid teha avalikele NTP-serveritele, võtab üks (või parem tava, mitu) server ühendust avaliku NTP-süsteemiga ja annab siis kõigile serverites aega kohalik võrk.

Sisemine NTP-server on sageli ideaalne nii võrgu ribalaiuse säästmiseks kui ka NTP-piirangute ja krüptograafia kaudu teatud turvalisuse suurendamiseks. Et näha, kuidas see erineb esimesest skeemist, vaadake palun allpool olevat teist skeemi.

1. samm: NTP-serveri installimine

1. Sisemise NTP-struktuuri seadistamise esimene samm on NTP-serveri tarkvara installimine. Debiani tarkvarapakett nimega ‘NTP’ sisaldab praegu kõiki serveri utiliite, mis on vajalikud NTP hierarhia seadistamiseks. Nagu kõigi süsteemi seadistamise õpetuste puhul, eeldatakse juur- või sudo-juurdepääsu.

# apt-get install ntp
# dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
# dpkg -s ntp                        [Can also be used to confirm NTP is installed]

1. samm: NTP-serveri konfigureerimine

2. Kui NTP on installitud, on aeg konfigureerida, millise kõrgema kihi servereid aja järgi pärida. NTP konfiguratsioonifail on salvestatud ' /etc/ntp.conf ' ja seda saab muuta mis tahes tekstiredaktoriga. See fail sisaldab kõrgema taseme serverite täielikult kvalifitseeritud domeeninimesid, sellele NTP-serverile seatud piiranguid ja mis tahes muid spetsiaalseid parameetreid selle NTP-serveri päringutega hostidele.

Konfiguratsiooniprotsessi alustamiseks tuleb konfigureerida kõrgema taseme serverid. Vaikimisi paneb Debian seadistustefaili Debiani NTP-i. Need sobivad enamikul eesmärkidel, kuid administraator võib NIST-i külastada, et täpsustada teatud servereid või kasutada kõiki NIST-i servereid ümardatult (NISTi soovitatud meetod).

Selle õpetuse jaoks konfigureeritakse konkreetsed serverid. Konfiguratsioonifail on jagatud mõneks suuremaks osaks ja see on vaikimisi konfigureeritud IPv4 ja IPv6 jaoks (kui soovite IPv6 keelata, mainitakse seda hiljem). Konfiguratsiooniprotsessi alustamiseks tuleb konfiguratsioonifail avada tekstiredaktoriga.

# nano /etc/ntp.conf

Esimesed sektsioonid (driftfile, statsdir ja statistika) on vaikeväärtustega korras. Järgmine jaotis sisaldab kõrgema taseme servereid, mille kaudu see server peaks aega küsima. Iga serverikirje süntaks on väga lihtne:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Tavaliselt on selles loendis hea valida mitu kõrgema kihi serverit. See server esitab päringu kõigile loendis olevatele serveritele, et teha kindlaks, milline neist on kõige usaldusväärsem. Selle näite serverid saadi aadressilt: http://tf.nist.gov/tf-cgi/servers.cgi.

3. samm: NTP-piirangute konfigureerimine

3. Järgmine samm on NTP piirangute konfigureerimine. Neid kasutatakse hostide NTP-serveriga suhtlemiseks lubamiseks või keelamiseks. NTP vaikeväärtus on teenindusaeg kõigile, kuid ei luba seadistada nii IPv4 kui ka IPv6 ühendusi.

Seda serverit kasutatakse praegu ainult IPv4-võrgus, nii et IPv6 keelati kahel viisil. Esimene asi, mida NTP-serveris IPv6 keelamiseks tehti, oli deemonil käivitatavate vaikeseadete muutmine. See saavutati rea muutmisega ‘/etc/default/ntp ’.

# nano /etc/default/ntp

NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

Tagasi põhisesse konfiguratsioonifaili ( /etc/ntp.conf ) konfigureeritakse NTP deemon automaatselt kõigi IPv4/6 hostidega aja jagamiseks, kuid ei võimalda seadistamist. Seda näevad järgmised kaks rida:

NTPD töötab lubatud juhul, kui seda ei keelata. Kuna IPv6 keelati, saab rida ‘ piirang -6 ’ eemaldada või kommenteerida ‘ #

See muudab NTP vaikekäitumist kõigi sõnumite eiramiseks. See võib tunduda veider, kuid jätkake lugemist, kuna juurdepääsu vajavate hostide juurdepääsude täpsustamiseks sellele NTP-serverile kasutatakse piiranguklausleid.

Nüüd peab server teadma, kellel on lubatud serverilt aega pärida ja mida neil veel NTP-serveriga teha lubatakse. Selle serveri jaoks kasutatakse piirangu stroofi loomiseks privaatvõrku 172.27.0.0/16.

See rida teavitab serveri lubama mis tahes 172.27.0.0/16 võrgu hosti ajal serverile juurde pääseda. Maski järgsed parameetrid aitavad kontrollida, mida kõik selle võrgu hostid saavad serverist päringu tegemisel teha. Võtame hetke, et mõista kõiki neid piiranguvõimalusi:

  1. Piiratud : näitab, et kui klient peaks kuritarvitama pakettide kiiruse kontrolli arvu, viskab pakettaknad paketid ära. Kui pakett Kiss of Death on lubatud, saadetakse see tagasi vägivaldsele hostile. Määrasid saab administraator konfigureerida, kuid siin eeldatakse vaikeväärtusi.
  2. KOD : surma suudlus. Kui host rikub serveri pakettide limiiti, vastab server rikkuva hostile KoD paketiga.
  3. Notrap : keeldumisrežiimi 6 kontrollsõnumid. Neid juhtsõnumeid kasutatakse kauglogimise programmide jaoks.
  4. Nomodify : hoiab ära ntpq ja ntpdc päringud, mis muudaksid serveri konfiguratsiooni, kuid teabepäringud on endiselt lubatud.
  5. Noquery : see valik takistab hostidel serverilt teabe küsimist. Näiteks ilma selle suvandita saavad hostid ntpdc või ntpq abil kindlaks teha, kust konkreetne ajaserver oma kellaaega saab, või muudest vastastikuserveritest, kellega see võib suhelda.