Kako instalirati i konfigurirati NTP poslužitelj i klijent na Debianu

Network Time Protocol (NTP) predstavlja jedinstvenu mogućnost za tvrtke da sinkroniziraju satove svih sustava unutar tvrtke. Vremenska sinkronizacija važna je iz mnogo razloga, od vremenskih oznaka aplikacije do sigurnosti i ispravnih unosa u dnevnik.

Kada svi sustavi organizacije održavaju različita vremena na satu, sa stajališta rješavanja problema postaje vrlo teško odrediti kada i pod kojim uvjetima bi se određeni događaj mogao dogoditi.

NTP pruža jednostavan način da se osigura da će svi sustavi održavati točno vrijeme, što zauzvrat može uvelike pojednostaviti opterećenje administratora/tehničke podrške.

NTP radi na premisi sinkronizacije s referentnim satovima, također poznatim kao poslužitelji 'stratum 0'. Svi ostali NTP poslužitelji tada postaju strata poslužitelji niže razine na temelju toga koliko su udaljeni od referentnog poslužitelja.

Početak NTP lanca je poslužitelj stratuma 1 koji je uvijek izravno povezan s referentnim satom stratuma 0. Odavde su poslužitelji niže razine slojeva povezani mrežnom vezom s poslužiteljem više razine slojeva.

Za jasniji koncept pogledajte donji dijagram.

Iako je moguće postaviti poslužitelj stratuma 0 ili stratuma 1, to je skupo i stoga će se ovaj vodič usredotočiti na postavljanje poslužitelja nižeg sloja.

Tecmint ima osnovnu konfiguraciju hosta NTP na sljedećoj poveznici:

  1. Kako sinkronizirati vrijeme s NTP poslužiteljem

Gdje će se ovaj vodič razlikovati, umjesto da svi hostovi na mreži postavljaju upite javnim NTP poslužiteljima, jedan (ili bolje, nekoliko) poslužitelja kontaktirat će javni NTP sustav i zatim dati vremena za sve hostove unutar lokalna mreža.

Interni NTP poslužitelj često je idealan za očuvanje propusnosti mreže, kao i za pružanje povećane sigurnosti kroz NTP ograničenja i kriptografiju. Kako biste vidjeli kako se ovo razlikuje od prvog dijagrama, pogledajte drugi dijagram u nastavku.

Korak 1: Instalacija NTP poslužitelja

1. Prvi korak za postavljanje interne NTP strukture je instaliranje softvera NTP poslužitelja. Softverski paket u Debianu pod nazivom ‘NTP’ trenutačno sadrži sve pomoćne programe poslužitelja potrebne za postavljanje NTP hijerarhije. Kao i kod svih vodiča o konfiguraciji sustava, pretpostavlja se Root ili sudo pristup.

apt-get install ntp
dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
dpkg -s ntp                        [Can also be used to confirm NTP is installed]

Korak 1: Konfiguracija NTP poslužitelja

2. Nakon što je NTP instaliran, vrijeme je da konfigurirate koji će poslužitelji višeg sloja tražiti vrijeme. Konfiguracijska datoteka za NTP pohranjena je na ‘/etc/ntp.conf’ i može se mijenjati bilo kojim uređivačem teksta. Ova datoteka će sadržavati potpuno kvalificirane nazive domena poslužitelja više razine, ograničenja postavljena za ovaj NTP poslužitelj i sve druge posebne parametre za hostove koji postavljaju upite ovom NTP poslužitelju.

Za početak konfiguracijskog procesa potrebno je konfigurirati poslužitelje više razine. Debian će prema zadanim postavkama staviti Debianov NTP skup u konfiguracijsku datoteku. Oni su u redu za većinu namjena, ali administrator može posjetiti NIST da navede određene poslužitelje ili da koristi sve NIST-ove poslužitelje na kružni način (metoda koju je predložio NIST).

Za ovaj vodič bit će konfigurirani specifični poslužitelji. Konfiguracijska datoteka podijeljena je na neke glavne dijelove i konfigurirana je prema zadanim postavkama za IPv4 i IPv6 (ako želite onemogućiti IPv6, to će biti spomenuto kasnije). Da biste pokrenuli proces konfiguracije, konfiguracijsku datoteku morate otvoriti uređivačem teksta.

nano /etc/ntp.conf

Prvih nekoliko odjeljaka (driftfile, statsdir i statistika) dobro su postavljeni na zadane vrijednosti. Sljedeći odjeljak sadrži poslužitelje više razine preko kojih ovaj poslužitelj treba zahtijevati vrijeme. Sintaksa za svaki unos poslužitelja je vrlo jednostavna:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Obično je dobra ideja imati nekoliko poslužitelja višeg sloja koje možete izabrati na ovom popisu. Ovaj poslužitelj će postaviti upit svim poslužiteljima na popisu kako bi odredio koji je najpouzdaniji. Poslužitelji za ovaj primjer preuzeti su s: http://tf.nist.gov/tf-cgi/servers.cgi.

Korak 3: Konfiguracija NTP ograničenja

3. Sljedeći korak je konfiguracija NTP ograničenja. Oni se koriste za dopuštanje ili onemogućavanje interakcije hostova s NTP poslužiteljem. Zadano za NTP je vrijeme posluživanja za bilo koga, ali ne dopušta konfiguraciju na IPv4 i IPv6 vezama.

Ovaj se poslužitelj trenutno koristi samo na IPv4 mreži tako da je IPv6 onemogućen na dva načina. Prvo što je učinjeno da se onemogući IPv6 na NTP poslužitelju bila je promjena zadanih postavki koje pokreće demon. To je postignuto promjenom retka u '/etc/default/ntp'.

nano /etc/default/ntp

NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

U glavnoj konfiguracijskoj datoteci (/etc/ntp.conf), NTP demon će se automatski konfigurirati za dijeljenje vremena sa svim IPv4/6 hostovima, ali neće dopustiti konfiguraciju. To se može vidjeti u sljedeća dva retka:

NTPD radi na dopuštenoj osnovi osim ako nije odbijen. Budući da je IPv6 onemogućen, redak ‘restrict -6’ može se ukloniti ili komentirati s ‘ #

Ovo mijenja zadano ponašanje za NTP da zanemaruje sve poruke. Ovo se može činiti čudnim, ali nastavite čitati jer će se klauzule ograničenja koristiti za fino podešavanje pristupa ovom NTP poslužitelju za hostove koji trebaju pristup.

Sada poslužitelj mora znati kome je dopušteno postavljati upite poslužitelju za vrijeme i što još smije raditi s NTP poslužiteljem. Za ovaj poslužitelj, privatna mreža 172.27.0.0/16 koristit će se za izgradnju restriktivne strofe.

Ova linija obavještava poslužitelj da dopusti bilo kojem hostu s mreže 172.27.0.0/16 da pristupi poslužitelju neko vrijeme. Parametri nakon maske pomažu kontrolirati što bilo koji od hostova na ovoj mreži može učiniti kada postavlja upit poslužitelju. Uzmimo trenutak da razumijemo svaku od ovih opcija ograničenja:

  1. Ograničeno: označava da će poslužitelj odbaciti pakete ako klijent zloupotrijebi kontrolu brzine broja paketa. Ako je paket Kiss of Death omogućen, bit će poslan natrag hostu koji zlostavlja. Cijene može konfigurirati administrator, ali ovdje se pretpostavljaju zadane vrijednosti.
  2. KOD: Poljubac smrti. Ako host prekrši ograničenje paketa za poslužitelj, poslužitelj će odgovoriti s KoD paketom hostu koji krši.
  3. Notrap: kontrolne poruke načina odbijanja 6. Ove se kontrolne poruke koriste za programe daljinskog zapisivanja.
  4. Nomodify: Sprječava ntpq i ntpdc upite koji bi izmijenili konfiguraciju poslužitelja, ali su informativni upiti i dalje dopušteni.
  5. Noquery: Ova opcija sprječava hostove da poslužitelju traže informacije. Na primjer, bez ove opcije domaćini mogu koristiti ntpdc ili ntpq da bi odredili odakle određeni vremenski poslužitelj dobiva svoje vrijeme ili druge ravnopravne vremenske poslužitelje s kojima možda komunicira.