Порты CentOS, Chrony и AWS
Мне интересно, как правильно настроить безопасность AWS, чтобы позволить chrony синхронизировать системное время на экземпляре CentOS 7.
Я использовал более раннюю версию CentOS 7, которая использовала Chrony 1.29.1, и она работала с настройками ниже.
Группа безопасности экземпляра: исходящий UDP-порт 123
Сетевой ACL: входящий UDP на порту 123 и исходящий UDP на порту 123.
Однако при запуске обновления yum или запуске нового экземпляра с последним выпуском CentOS 7, который включает в себя Chrony 2.1.1, я могу синхронизировать его только с приведенной ниже конфигурацией.
Группа безопасности экземпляра: исходящий UDP-порт 123
Сетевой ACL: входящий UDP на все порты и исходящий UDP на порт 123.
Что тут происходит? Мне действительно нужно разрешить входящий UDP на всех портах для ACL сети сейчас? Это безопасно? Я собираюсь предположить, что да, потому что моя группа безопасности не разрешает входящий трафик UDP, если ранее не было установлено исходящее соединение, верно?
Благодарю.
2 ответа
Нет, потому что порт регистрации может быть настроен.
Даже если программное обеспечение не допускало такого удобства, а брандмауэр не разрешал обратный трафик потока, вы все равно могли бы открыть только кратковременный диапазон портов и оставить известные службы закрытыми.
Это довольно старый пост, но я выложил актуальную информацию здесь.
С ноября 2017 года Amazon представила сервис Amazon Time Sync.
Сервис Amazon Time Sync доступен через NTP по IP-адресу 169.254.169.123 для любого экземпляра, работающего в VPC. Вашему экземпляру не требуется доступ к Интернету, и вам не нужно настраивать правила группы безопасности или правила ACL сети, чтобы разрешить доступ.
Поэтому, если ваш экземпляр работает внутри VPC, вам не нужно настраивать ACL и группы безопасности для доступа к NTP-серверу, просто используйте IP-адрес 169.254.169.123 в качестве NTP-сервера.
Подробнее о настройке NTP-клиента (хронограф), который использует сервис Amazon Time Sync, можно узнать здесь.