ntpオプション「デフォルトのnopeer制限」の機能は何ですか?

tag-icon tag-icon ntp ntpd
ntpオプション「デフォルトのnopeer制限」の機能は何ですか?

インストールされたNTPバージョン:ntp-4.2.6p5-5

私はntp restrictwithの使い方と意味を理解しようとしています。restrict default nopeer

引用するNTP文書:

nopeer:認証されていない接続を動員できるパケットを拒否します。これには、構成された接続が存在しない場合のブロードキャスト、対称アクティブ、およびマルチキャストサーバーパケットが含まれます。これにはプールアフィニティも含まれているため、poolディレクティブでサーバーを使用し、デフォルトでnopeerも使用したい場合は、nopeerディレクティブを含まない「limit source ...」行も必要です。このフラグは、接続を動員しようとしないパケットには適用されません。

これは、使用時にrestrict default nopeer認証なしでピアを接続できないことを意味しますか? (鍵を使わずに)?

次のシナリオを考えてみましょう。

サーバー構成:ip-10.12.12.12

[root@sdp_1 ~]# cat /etc/ntp.conf

server 10.12.10.53
    #restrict default kod nomodify nopeer noquery notrap
    #restrict -6 default kod nomodify nopeer noquery notrap
    #restrict 127.0.0.1
    #restrict -6 ::1
    restrict default nopeer
    keys /etc/ntp/keys

ピア構成: ip-10.12.12.11

[root@sdp_2 ~]# cat /etc/ntp.conf

#server 10.12.10.53
#restrict default kod nomodify nopeer noquery notrap
#restrict -6 default kod nomodify nopeer noquery notrap
#restrict 127.0.0.1  
#restrict -6 ::1
restrict default nopeer
peer 10.12.12.12 minpoll 4
keys /etc/ntp/keys

以下のように、2011年12月10日にもPEER接続を見ることができます。

ntpq> associations

ind assid status  conf reach auth condition  last_event cnt
===========================================================
  1 48387  961a   yes   yes  none  sys.peer    sys_peer  1
ntpq>

[root@sdp_2 ~]# ntpq -np
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*10.12.12.12    10.12.10.53     5 u   13   16  377    0.211    8.953   0.842

私の家は正しいですか?

ベストアンサー1

10.12.12.11 システムで次の構成を使用しました。

peer 10.12.12.12 minpoll 4

これは双方向NTP関係を確立しようとします。つまり、10.12.12.11は10.12.12.12をタイムソースとして使用していますが、10.12.12.11が10.12.12.12に「ねえ、私をサーバーとして使用できる場合は欲しい」。

そうでない場合、restrict default nopeer両方のシステムがしばらくNTPを実行した後、ntpq -np10.12.12.12のリストに10.12.12.11がリモートNTPソースとして表示されます。 10.12.12.12はNTPソースとして10.12.12.12しかないので、10.12.12.12はより良い階層値のためにまだ10.12.10.53を好むが、10.12.10.53への接続が失われると、10.12.1.1.1.2.1するには、互いに交差してください。 (または10.12.12.11が悪意のある場合は、この双方向関係を使用して、10.12.12.12の時計を実際の時間からますます遠くにすることができます。)

on 10.12.12.12は、restrict default nopeer正常に認証されていない(または10.12.12.12に明示的にリストされていない場合)、双方向NTP関係を提供するNTPサーバーを信頼しないように指示するため、ntp.conf単方向クライアント - サーバー関係になります。したがって、10.12.12.11はまだ10.12.12.12から時間を取得しますが、10.12.12.12が10.12.10.53への接続を失った場合、10.12.12.11とクロスチェックせずに10.12に接続するまで10.53が復元されました。

おすすめ記事