Debian-da NTP serwerini we müşderisini nädip gurmaly we sazlamaly

Network Time Protocol (NTP) kompaniýalar üçin kompaniýanyň içindäki ähli ulgamlaryň sagatlaryny sinhronlamak üçin özboluşly ukyplylygy hödürleýär. Wagt sinhronizasiýasy, programma möhürlerinden başlap, howpsuzlyga çenli dogry ýazgylara çenli köp sebäplere görä möhümdir.

Haçan-da bir guramanyň ulgamlary dürli sagat wagtyny saklasa, näsazlygy çözmek nukdaýnazaryndan belli bir hadysanyň haçan we haýsy şertlerde bolup biljekdigini kesgitlemek gaty kyn bolýar.

NTP, ähli ulgamlaryň dogry wagty saklamagyny üpjün etmegiň aňsat usulyny üpjün edýär, bu bolsa öz gezeginde dolandyryjylara/tehnologiýa goldawyna ýüküni ep-esli aňsatlaşdyryp biler.

NTP “stratum 0” serwerleri diýlip hem atlandyrylýan salgy sagatlary bilen sinhronlaşma şertinde işleýär. Beýleki ähli NTP serwerleri, salgylanma serwerinden nä derejede uzakdygyna baglylykda has pes derejeli gatlak serwerine öwrülýärler.

NTP zynjyrynyň başlangyjy, hemişe stratum 0 salgy sagadyna gönüden-göni birikdirilen gatlak 1 serweridir. Bu ýerden aşaky derejeli serwerler, has ýokary gatlak serwerine tor birikmesi arkaly birikdirilýär.

Has düşnükli düşünje üçin aşakdaky diagramma serediň.

Gatlak 0 ýa-da stratum 1 serwerini gurmak mümkin bolsa-da, muny etmek gaty gymmat we şonuň üçin bu gollanma aşaky gatlak serwerini gurnamaga gönükdiriler.

Tecmint, aşakdaky baglanyşykda NTP-iň esasy host konfigurasiýasyna eýedir:

  1. Wagty NTP serweri bilen nädip sinhronlamaly

Bu gollanmanyň tapawutlanýan ýeri, tordaky ähli hostlaryň köpçülige açyk NTP serwerlerine ýüz tutmagy däl-de, bir (ýa-da has gowy tejribe, birnäçe) serwer (ler) köpçülikleýin NTP ulgamy bilen habarlaşar we soňra ähli öý eýelerine wagt berer. ýerli ulgam.

Içerki NTP serweri, köplenç toruň giňligini tygşytlamak, şeýle hem NTP çäklendirmeleri we kriptografiýa arkaly birneme ýokarlandyrylan howpsuzlygy üpjün etmek üçin idealdyr. Munuň birinji diagrammadan nähili tapawudyny görmek üçin aşakdaky ikinji diagramma serediň.

1-nji ädim: NTP serwerini gurmak

1. Içerki NTP gurluşyny gurmagyň ilkinji ädimi, NTP serwer programma üpjünçiligini gurmakdyr. Debian-daky “NTP” programma üpjünçiligi bukjasy häzirki wagtda NTP iýerarhiýasyny gurmak üçin zerur bolan ähli serwer hyzmatlaryny öz içine alýar. Ulgam konfigurasiýasy baradaky ähli sapaklarda bolşy ýaly, kök ýa-da sudo girişi göz öňünde tutulýar.

# apt-get install ntp
# dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
# dpkg -s ntp                        [Can also be used to confirm NTP is installed]

1-nji ädim: NTP serweriniň konfigurasiýasy

2. NTP gurlansoň, haýsy ýokary derejeli serwerleriň wagt talap etjekdigini düzmegiň wagty geldi. NTP üçin konfigurasiýa faýly ' /etc/ntp.conf ' -de saklanýar we islendik tekst redaktory bilen üýtgedilip bilner. Bu faýlda has ýokary derejeli serwerleriň doly hünärli domen atlary, bu NTP serweri üçin kesgitlenen çäklendirmeler we bu NTP serwerini gözleýän öý eýeleri üçin başga ýörite parametrler bolar.

Sazlama amalyny başlamak üçin has ýokary derejeli serwerleri düzmeli. Debian deslapky görnüşde Debian NTP howuzuny konfigurasiýa faýlyna goýar. Bular köp maksat üçin amatly, ýöne administrator belli bir serwerleri kesgitlemek ýa-da NIST-iň ähli serwerlerini tegelek görnüşde ulanmak üçin NIST-e baryp biler (NIST tarapyndan teklip edilýän usul).

Bu gollanma üçin ýörite serwerler düzüler. Konfigurasiýa faýly käbir esasy bölümlere bölünýär we IPv4 we IPv6 üçin deslapky görnüşde düzülýär (IPv6-y öçürmek isleseňiz, bu barada soňrak aýdylýar). Sazlama amalyny başlamak üçin konfigurasiýa faýly tekst redaktory bilen açylmalydyr.

# nano /etc/ntp.conf

Ilkinji birnäçe bölüm (driftfile, statsdir we statistika) deslapky görnüşde düzüldi. Indiki bölümde bu serweriň wagt talap etmeli has ýokary derejeli serwerleri bar. Her serwer ýazgysy üçin sintaksis gaty ýönekeý:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Adatça, bu sanawdan saýlamak üçin birnäçe ýokary derejeli serwerleriň bolmagy gowy pikirdir. Bu serwer haýsysynyň iň ygtybarlydygyny kesgitlemek üçin sanawdaky serwerleriň hemmesini sorar. Bu mysal üçin serwerler: http://tf.nist.gov/tf-cgi/servers.cgi.

3-nji ädim: NTP çäklendirmeleriniň konfigurasiýasy

3. Indiki ädim, NTP çäklendirmelerini düzmek. Bular öý eýeleriniň NTP serweri bilen täsirleşmegine rugsat bermek ýa-da rugsat bermek üçin ulanylýar. NTP üçin başlangyç, hiç kime wagt hyzmat edýär, ýöne IPv4 we IPv6 birikmelerinde konfigurasiýa rugsat bermeýär.

Bu serwer häzirki wagtda diňe IPv4 ulgamynda ulanylýar, şonuň üçin IPv6 iki usul bilen ýapyldy. NTP serwerinde IPv6-y öçürmek üçin edilen ilkinji zat, daemonyň başlaýan başlangyçlaryny üýtgetmekdi. Bu, /etc/default/ntp setirini üýtgetmek arkaly ýerine ýetirildi.

# nano /etc/default/ntp

NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

Esasy konfigurasiýa faýlynda ( /etc/ntp.conf ) yza gaýdyp, NTP daemon ähli IPv4/6 öý eýeleri bilen wagt paýlaşmak üçin awtomatiki düzüler, ýöne konfigurasiýa rugsat bermez. Muny aşakdaky iki setirden görmek bolýar:

NTPD rugsat berilmedik esasda işleýär. IPv6 ýapyk bolansoň, # -code> setirini aýryp ýa-da teswir edip bolýar.

Bu, NTP-iň ähli habarlary äsgermezlik etmegi üçin adaty hereketi üýtgedýär. Bu geň bolup görünmegi mümkin, ýöne okamagy dowam etdiriň, sebäbi giriş talap edýän öý eýeleri üçin bu NTP serwerine girişi sazlamak üçin çäklendiriji maddalar ulanylar.

Indi serwerden wagtlaýyn serweri kimiň soramagyna rugsat berilendigini we NTP serweri bilen başga näme etmegine rugsat berilendigini bilmeli. Bu serwer üçin çäklendiriji söz düzümini gurmak üçin 172.27.0.0/16 hususy tor ulanylar.

Bu setir, 172.27.0.0/16 ulgamyndan islendik hostyň wagtlaýynça serwere girmegine rugsat bermegi serwere habar berýär. Maskadan soňky parametrler, bu setdäki öý eýeleriniň haýsydyr biriniň serweri soranda näme edip biljekdigini gözegçilikde saklamaga kömek edýär. Geliň, bu çäklendiriji wariantlaryň hersine düşüneliň:

  1. Çäklendirilen : Müşderi paketleriň nyrh gözegçiliginiň sanyndan hyýanatçylykly peýdalanmaly bolsa, paketleriň kesiljekdigini görkezýär. Öpüş Kiss paketi açyk bolsa, kemsidiji öýe iberiler. Nyrhlar administrator tarapyndan düzülip bilner, ýöne deslapky tertip şu ýerde göz öňünde tutulýar.
  2. KOD : Ölümiň öpüşi. Öý eýesi serwerdäki paketleriň çägini bozsa, serwer s KoD paketi bilen bozulan öý eýesine jogap berer.
  3. Notrap : 6 dolandyryş habaryny ret etmek. Bu dolandyryş habarlary uzakdan giriş programmalary üçin ulanylýar.
  4. Nomodify : Serweriň konfigurasiýasyny üýtgedip biljek ntpq we ntpdc talaplarynyň öňüni alýar, emma maglumat soraglaryna henizem rugsat berilýär.
  5. Sorag : Bu opsiýa öý eýeleriniň serwerden maglumat soramagynyň öňüni alýar. Mysal üçin, bu opsiýa bolmazdan öý eýeleri ntpdc ýa-da ntpq ulanyp, belli bir wagt serweriniň wagtyny nireden alýandygyny ýa-da aragatnaşyk saklaýan beýleki deň-duş serwerlerinden nireden alýandygyny kesgitlemek üçin ulanyp bilerler.