Kaip įdiegti ir konfigūruoti NTP serverį ir klientą „Debian“.

Tinklo laiko protokolas (NTP) suteikia įmonėms unikalią galimybę sinchronizuoti visų įmonės sistemų laikrodžius. Laiko sinchronizavimas yra svarbus dėl daugelio priežasčių – nuo programos laiko žymų iki saugumo iki tinkamų žurnalo įrašų.

Kai visos organizacijos sistemos palaiko skirtingą laikrodžio laiką, trikčių šalinimo požiūriu tampa labai sunku nustatyti, kada ir kokiomis sąlygomis gali įvykti konkretus įvykis.

NTP yra paprastas būdas užtikrinti, kad visos sistemos išlaikytų tinkamą laiką, o tai savo ruožtu gali labai supaprastinti administratorių/techninės pagalbos naštą.

NTP veikia sinchronizuojant su atskaitos laikrodžiais, taip pat žinomais kaip 0 sluoksnio serveriai. Tada visi kiti NTP serveriai tampa žemesnio lygio sluoksnių serveriais, atsižvelgiant į tai, kokiu atstumu jie yra nuo atskaitos serverio.

NTP grandinės pradžia yra 1 sluoksnio serveris, kuris visada yra tiesiogiai prijungtas prie 0 sluoksnio atskaitos laikrodžio. Iš čia žemesnio lygio sluoksnių serveriai tinklo ryšiu prijungiami prie aukštesnio sluoksnio lygio serverio.

Norėdami gauti aiškesnę sąvoką, žr. toliau pateiktą diagramą.

Nors galima nustatyti 0 sluoksnio arba 1 sluoksnio serverį, tai padaryti brangu, todėl šiame vadove pagrindinis dėmesys bus skiriamas žemesnių sluoksnių serverio sąrankai.

„Tecmint“ turi pagrindinę NTP prieglobos konfigūraciją, pateiktą šioje nuorodoje:

  1. Kaip sinchronizuoti laiką su NTP serveriu

Jei šis vadovas skirsis, o ne visi tinklo pagrindiniai kompiuteriai teikia užklausas viešiesiems NTP serveriams, vienas (arba geriau keli serveriai) susisieks su viešąja NTP sistema ir suteiks laiko visiems pagrindiniams kompiuteriams. vietinis tinklas.

Vidinis NTP serveris dažnai yra idealus norint išsaugoti tinklo pralaidumą, taip pat užtikrinti didesnį saugumą naudojant NTP apribojimus ir kriptografiją. Norėdami pamatyti, kuo tai skiriasi nuo pirmosios diagramos, žr. toliau pateiktą antrą diagramą.

1 veiksmas: NTP serverio įdiegimas

1. Pirmasis vidinės NTP struktūros nustatymo veiksmas yra NTP serverio programinės įrangos įdiegimas. „Debian“ programinės įrangos pakete, pavadintame „NTP“, šiuo metu yra visos serverio priemonės, reikalingos NTP hierarchijai nustatyti. Kaip ir visose mokymo programose apie sistemos konfigūraciją, daroma prielaida, kad yra Root arba sudo prieiga.

apt-get install ntp
dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
dpkg -s ntp                        [Can also be used to confirm NTP is installed]

1 veiksmas: NTP serverio konfigūravimas

2. Įdiegus NTP, laikas sukonfigūruoti, kurių aukštesnio sluoksnio serverių užklausą reikia skirti laiko. NTP konfigūracijos failas saugomas adresu „/etc/ntp.conf“ ir gali būti pakeistas naudojant bet kurį teksto rengyklę. Šiame faile bus visi aukštesnio lygio serverių domenų pavadinimai, šiam NTP serveriui nustatyti apribojimai ir bet kokie kiti specialūs prieglobos, teikiančios užklausas dėl šio NTP serverio, parametrai.

Norint pradėti konfigūravimo procesą, reikia sukonfigūruoti aukštesnio lygio serverius. Debian pagal numatytuosius nustatymus įdės Debian NTP telkinį į konfigūracijos failą. Tai tinka daugeliui tikslų, tačiau administratorius gali apsilankyti NIST, kad nurodytų tam tikrus serverius arba naudotų visus NIST serverius apvaliai (pasiūlytas NIST metodas).

Šiam mokymui bus sukonfigūruoti konkretūs serveriai. Konfigūracijos failas yra suskirstytas į keletą pagrindinių skyrių ir pagal numatytuosius nustatymus sukonfigūruotas IPv4 ir IPv6 (jei norite išjungti IPv6, apie tai bus paminėta vėliau). Norėdami pradėti konfigūravimo procesą, konfigūracijos failą reikia atidaryti teksto rengyklėje.

nano /etc/ntp.conf

Pirmosiose keliose skiltyse (driftfile, statsdir ir statistika) nustatyti numatytieji nustatymai. Kitame skyriuje pateikiami aukštesnio lygio serveriai, per kuriuos šis serveris turėtų prašyti laiko. Kiekvieno serverio įrašo sintaksė yra labai paprasta:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Paprastai šiame sąraše verta rinktis iš kelių aukštesnių sluoksnių serverių. Šis serveris užklausa visus sąraše esančius serverius, kad nustatytų, kuris iš jų yra patikimiausias. Šio pavyzdžio serveriai buvo gauti iš: http://tf.nist.gov/tf-cgi/servers.cgi.

3 veiksmas: NTP apribojimų konfigūravimas

3. Kitas veiksmas – sukonfigūruoti NTP apribojimus. Jie naudojami norint leisti arba neleisti pagrindiniams kompiuteriams sąveikauti su NTP serveriu. Numatytasis NTP yra tarnavimo laikas visiems, bet neleidžiama konfigūruoti tiek IPv4, tiek IPv6 ryšiuose.

Šis serveris šiuo metu naudojamas tik IPv4 tinkle, todėl IPv6 buvo išjungtas dviem būdais. Pirmas dalykas, atliktas norint išjungti IPv6 NTP serveryje, buvo pakeisti numatytuosius nustatymus, kuriuos paleidžia demonas. Tai buvo padaryta pakeitus eilutę „/etc/default/ntp“.

nano /etc/default/ntp

NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

Grįžęs į pagrindinį konfigūracijos failą (/etc/ntp.conf), NTP demonas bus automatiškai sukonfigūruotas, kad dalytųsi laiką su visais IPv4/6 pagrindiniais kompiuteriais, bet neleistų konfigūruoti. Tai matyti iš šių dviejų eilučių:

NTPD veikia leistinai, nebent būtų uždrausta. Kadangi IPv6 buvo išjungtas, eilutę „restrict -6“ galima pašalinti arba pakomentuoti naudojant „ #“.

Tai pakeičia numatytąją NTP elgseną, kad būtų nepaisoma visų pranešimų. Tai gali atrodyti keista, bet skaitykite toliau, nes ribojimo sąlygos bus naudojamos norint tiksliai suderinti prieigą prie šio NTP serverio pagrindiniams kompiuteriams, kuriems reikia prieigos.

Dabar serveris turi žinoti, kam leidžiama užklausti serveryje laiko ir ką dar leidžiama daryti su NTP serveriu. Šiam serveriui privatus 172.27.0.0/16 tinklas bus naudojamas apribojimo posmui sukurti.

Ši eilutė informuoja serverį, kad bet kuriai prieglobai iš 172.27.0.0/16 tinklo tam tikrą laiką būtų leidžiama pasiekti serverį. Parametrai po kaukės padeda kontroliuoti, ką bet kuris šio tinklo kompiuteris gali daryti, kai užklausa serveryje. Skirkime šiek tiek laiko, kad suprastume kiekvieną iš šių apribojimo parinkčių:

  1. Ribotas: nurodo, kad jei klientas piktnaudžiauja paketų greičio valdymu, serveris paketus atmes. Jei Mirties bučinio paketas įjungtas, jis bus išsiųstas atgal įžeidžiančiam šeimininkui. Įkainius gali konfigūruoti administratorius, tačiau čia pateikiami numatytieji nustatymai.
  2. KOD: Mirties bučinys. Jei pagrindinis kompiuteris pažeidžia serveriui skirtų paketų limitą, serveris atsakys pažeidžiančiam kompiuteriui s KoD paketu.
  3. Notrap: 6 atmetimo režimo valdymo pranešimai. Šie valdymo pranešimai naudojami nuotolinio registravimo programoms.
  4. Nomodify: neleidžia ntpq ir ntpdc užklausoms, kurios pakeistų serverio konfigūraciją, tačiau informacinės užklausos vis tiek leidžiamos.
  5. Noquery: ši parinktis neleidžia pagrindiniams kompiuteriams prašyti serverio informacijos. Pavyzdžiui, be šios parinkties prieglobos gali naudoti ntpdc arba ntpq, kad nustatytų, iš kur konkretus laiko serveris gauna laiką iš arba kitų lygiaverčių laiko serverių, su kuriais jis gali bendrauti.