Построение локального сервера времени

Question

Построение локального сервера времени

Я пытаюсь установить сервер времени на локальном компьютере с Ubuntu, чтобы другие серверы в моей сети синхронизировались с ним. Мы решили установить наш собственный сервер времени, а не обновлять каждый сервер с внешнего сервера, чтобы минимизировать риск безопасности.

Есть идеи, какой сервер лучше установить?
Есть ли известные проблемы с безопасностью?
Откуда обновление сервера? Есть ли надежный сервер времени?

Буду признателен за любую помощь или ссылки ссылки!

Спасибо,

Уди

1

security ntp ntpd time-server

Источник

Adam Matan 02 авг '09 в 11:31

3 ответа

Решение

Стандартный пакет ntp (также может быть ntp-server или ntp-simple) на любой физической машине с Linux подойдет. Не используйте виртуальную машину.

Многие люди утверждают, что происходит утечка информации, когда другие могут знать, сколько у вас времени, однако многие другие службы теряют время, и вы получаете выгоду, когда все журналы синхронизируются в случае каких-либо проблем. Конфигурация Debian по умолчанию не позволяет удаленным пользователям делать что-либо, кроме синхронизации времени, и этого достаточно.

Что касается того, что обновить с pool.ntp.org - это ответ, по возможности используйте соответствующий пул для вашей страны. Это также почти всегда конфигурация по умолчанию для Linux NTP.

9

Источник

LapTop006 02 авг '09 в 11:35

I'd recommend OpenNTPd (portable).

From their manifesto:

Текущие демоны NTP сложны и сложны в настройке и / или имеют сомнительные лицензии. Из-за этого только ограниченное число систем запускают NTP, что приводит к отключению многих машин на месяцы и даже годы. Наша цель - сделать NTP повсеместным, предоставив бесплатную простую реализацию, которая безопасна и проста в настройке.
Будьте максимально безопасны. Тщательно кодируйте, выполняйте строгие проверки правильности, особенно в сетевом входном пути, и используйте операции ограниченного буфера. Используйте разделение привилегий, чтобы смягчить последствия возможных ошибок безопасности.
Обеспечить бережливую реализацию, достаточную для большинства. Не пытайтесь поддерживать каждый непонятный случай использования, но охватывайте типичные.
Попробуйте "Просто работать" в фоновом режиме.
Работайте с минимумом настроек.
Достигните разумной точности. Мы не после последних микросекунд.

0

Источник

Dan Carley 03 авг '09 в 09:08

Другие вопросы по тегам security ntp ntpd time-server

sysadmin1138 02 авг '09 в 16:44 2009-08-02 16:44 · Accepted Answer · 2009-08-02 16:44

Некоторые руководства, которые я использую при настройке сетей NTP:

Это очень хорошая идея настроить как минимум два сервера времени в вашей сети. Настройте их как одноранговые (строка "peer [ipaddress]" в ntp.conf) и, если возможно, предоставьте им различные внешние хосты NTP для синхронизации.
Настройте своих клиентов на использование всех ваших серверов времени. На случай, если кто-то уйдет, они все равно будут хорошо проводить время и не выйдут из синхронизации во время его отключения.
Используйте либо автоключ, либо криптографию с симметричным ключом между вашими равноправными серверами.
Установите соответствующие строки acl в вашем файле ntp.conf, позволяя пирам общаться друг с другом, но все остальные клиенты получают только информацию NTP и никаких управляющих данных.

Первое, что нужно сделать - это обеспечить устойчивость вашей сети к перебоям в работе интернета. Когда соединение с интернетом выходит из строя, ваши равноправные серверы будут поддерживать согласованное время между собой и никогда не будут синхронизированы. Это означает, что ваши клиенты не будут синхронизированы. Если для вас важно время, это очень хорошая вещь.

Что касается параметров ACL, установка разумных значений по умолчанию поможет предотвратить зло:

restrict default ignore #deny access to general internet, just 'cause
restrict 192.168.0.0 255.255.0.0 nomodify nopeer # allow restricted access to internal
restrict 192.168.202.202 #allow TimeHost1 full access
restrict 192.168.202.203 #allow TimeHost2 full access
restrict 192.168.200.158 nopeer #allow the admin workstation to make changes

Это позволит клиентам использовать такие инструменты, как ntpq, для диагностики проблем с NTP, но не позволит ничего изменить.

Что касается автоматического ключа и симметричного ключа, то это зависит от того, насколько надежна ваша сеть. Установка соответствующих значений ACL должна обеспечить устойчивость к злу, но это обеспечит дополнительный уровень защиты от подделки. Из двух, autokey проще в настройке, но симметричный более новый и более надежный.