インストールされたNTPバージョン:ntp-4.2.6p5-5
私はntp restrict
withの使い方と意味を理解しようとしています。restrict default nopeer
引用するNTP文書:
nopeer:認証されていない接続を動員できるパケットを拒否します。これには、構成された接続が存在しない場合のブロードキャスト、対称アクティブ、およびマルチキャストサーバーパケットが含まれます。これにはプールアフィニティも含まれているため、poolディレクティブでサーバーを使用し、デフォルトでnopeerも使用したい場合は、nopeerディレクティブを含まない「limit source ...」行も必要です。このフラグは、接続を動員しようとしないパケットには適用されません。
これは、使用時にrestrict default nopeer
認証なしでピアを接続できないことを意味しますか? (鍵を使わずに)?
次のシナリオを考えてみましょう。
サーバー構成:ip-10.12.12.12
[root@sdp_1 ~]# cat /etc/ntp.conf
server 10.12.10.53
#restrict default kod nomodify nopeer noquery notrap
#restrict -6 default kod nomodify nopeer noquery notrap
#restrict 127.0.0.1
#restrict -6 ::1
restrict default nopeer
keys /etc/ntp/keys
ピア構成: ip-10.12.12.11
[root@sdp_2 ~]# cat /etc/ntp.conf
#server 10.12.10.53
#restrict default kod nomodify nopeer noquery notrap
#restrict -6 default kod nomodify nopeer noquery notrap
#restrict 127.0.0.1
#restrict -6 ::1
restrict default nopeer
peer 10.12.12.12 minpoll 4
keys /etc/ntp/keys
以下のように、2011年12月10日にもPEER接続を見ることができます。
ntpq> associations
ind assid status conf reach auth condition last_event cnt
===========================================================
1 48387 961a yes yes none sys.peer sys_peer 1
ntpq>
[root@sdp_2 ~]# ntpq -np
remote refid st t when poll reach delay offset jitter
==============================================================================
*10.12.12.12 10.12.10.53 5 u 13 16 377 0.211 8.953 0.842
私の家は正しいですか?
ベストアンサー1
10.12.12.11 システムで次の構成を使用しました。
peer 10.12.12.12 minpoll 4
これは双方向NTP関係を確立しようとします。つまり、10.12.12.11は10.12.12.12をタイムソースとして使用していますが、10.12.12.11が10.12.12.12に「ねえ、私をサーバーとして使用できる場合は欲しい」。
そうでない場合、restrict default nopeer
両方のシステムがしばらくNTPを実行した後、ntpq -np
10.12.12.12のリストに10.12.12.11がリモートNTPソースとして表示されます。 10.12.12.12はNTPソースとして10.12.12.12しかないので、10.12.12.12はより良い階層値のためにまだ10.12.10.53を好むが、10.12.10.53への接続が失われると、10.12.1.1.1.2.1するには、互いに交差してください。 (または10.12.12.11が悪意のある場合は、この双方向関係を使用して、10.12.12.12の時計を実際の時間からますます遠くにすることができます。)
on 10.12.12.12は、restrict default nopeer
正常に認証されていない(または10.12.12.12に明示的にリストされていない場合)、双方向NTP関係を提供するNTPサーバーを信頼しないように指示するため、ntp.conf
単方向クライアント - サーバー関係になります。したがって、10.12.12.11はまだ10.12.12.12から時間を取得しますが、10.12.12.12が10.12.10.53への接続を失った場合、10.12.12.11とクロスチェックせずに10.12に接続するまで10.53が復元されました。