Kā instalēt un konfigurēt NTP serveri un klientu Debian


Tīkla laika protokols (NTP) uzņēmumiem piedāvā unikālu iespēju sinhronizēt visu uzņēmuma pulksteņu rādītājus. Laika sinhronizācija ir svarīga daudzu iemeslu dēļ, sākot no lietojuma laika zīmogiem līdz drošībai un beidzot ar pareiziem žurnāla ierakstiem.

Kad visas organizācijas sistēmas uztur atšķirīgu pulksteņa laiku, no traucējummeklēšanas viedokļa kļūst ļoti grūti noteikt, kad un kādos apstākļos var notikt konkrēts notikums.

NTP nodrošina vienkāršu veidu, kā nodrošināt, ka visas sistēmas uztur pareizo laiku, kas savukārt var ievērojami vienkāršot administratoru/tehniskā atbalsta slogu.

NTP darbojas ar sinhronizācijas priekšnoteikumu ar atsauces pulksteņiem, kurus sauc arī par “0 slāņa” serveriem. Tad visi pārējie NTP serveri kļūst par zemāka līmeņa slāņu serveriem, pamatojoties uz to, cik tālu tie atrodas no atsauces servera.

NTP ķēdes sākums ir 1. slāņa serveris, kas vienmēr ir tieši savienots ar 0 slāņa atsauces pulksteni. No šejienes zemāka līmeņa slāņu serveri, izmantojot tīkla savienojumu, ir savienoti ar augstāka slāņa līmeņa serveri.

Skaidrāku jēdzienu skatiet zemāk redzamajā diagrammā.

Kaut arī var iestatīt 0 vai 1. slāņa serveri, tas ir dārgi, un tāpēc šī rokasgrāmata koncentrēsies uz zemāku slāņu servera iestatīšanu.

Tecmint ir NTP galvenā resursdatora konfigurācija, izmantojot šo saiti:

  1. Kā sinhronizēt laiku ar NTP serveri

Kur šī rokasgrāmata atšķirsies, tā vietā, lai visi tīkla resursdatori pieprasītu publiskos NTP serverus, viens (vai labākas prakses, vairāki) serveri sazināsies ar publisko NTP sistēmu un pēc tam nodrošinās laiku visiem resursdatoriem vietējais tīkls.

Iekšējais NTP serveris bieži ir ideāls, lai saglabātu tīkla joslas platumu, kā arī nodrošinātu lielāku drošību, izmantojot NTP ierobežojumus un kriptogrāfiju. Lai uzzinātu, kā tas atšķiras no pirmās diagrammas, lūdzu, skatiet otro diagrammu zemāk.

1. solis: NTP servera instalēšana

1. Pirmais iekšējās NTP struktūras iestatīšanas solis ir NTP servera programmatūras instalēšana. Programmatūras pakotne Debian ar nosaukumu “NTP” pašlaik satur visas servera utilītas, kas nepieciešamas NTP hierarhijas iestatīšanai. Tāpat kā visās apmācībās par sistēmas konfigurēšanu, tiek pieņemta root vai sudo piekļuve.

# apt-get install ntp
# dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
# dpkg -s ntp                        [Can also be used to confirm NTP is installed]

1. solis: NTP servera konfigurēšana

2. Kad NTP ir instalēts, ir pienācis laiks konfigurēt, kuri augstākā slāņa serveri pieprasīt laiku. NTP konfigurācijas fails tiek saglabāts vietnē ‘ /etc/ntp.conf ’, un to var modificēt ar jebkuru teksta redaktoru. Šajā failā būs pilnībā kvalificēti augstākā līmeņa serveru domēnu nosaukumi, šim NTP serverim noteiktie ierobežojumi un visi citi īpašie parametri saimniekiem, kuri vaicā šim NTP serverim.

Lai sāktu konfigurācijas procesu, ir jākonfigurē augstāka līmeņa serveri. Pēc noklusējuma Debian konfigurācijas failā ievietos Debian NTP kopu. Tie ir piemēroti lielākajai daļai mērķu, taču administrators var apmeklēt NIST, lai norādītu noteiktus serverus vai izmantotu visus NIST serverus pēc kārtas (NIST ieteiktā metode).

Šajā apmācībā tiks konfigurēti īpaši serveri. Konfigurācijas fails ir sadalīts dažās galvenajās sadaļās un pēc noklusējuma ir konfigurēts IPv4 un IPv6 (ja vēlaties atspējot IPv6, tas tiek minēts vēlāk). Lai sāktu konfigurācijas procesu, konfigurācijas fails jāatver ar teksta redaktoru.

# nano /etc/ntp.conf

Pirmās sadaļas (driftfile, statsdir un statistika) ir iestatītas pēc noklusējuma. Nākamajā sadaļā ir iekļauti augstāka līmeņa serveri, caur kuriem šim serverim jāpieprasa laiks. Katra servera ieraksta sintakse ir ļoti vienkārša:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Parasti šajā sarakstā ir ieteicams izvēlēties vairākus augstāku slāņu serverus. Šis serveris vaicās visiem saraksta serveriem, lai noteiktu, kurš no tiem ir visticamākais. Šī piemēra serveri tika iegūti vietnē: http://tf.nist.gov/tf-cgi/servers.cgi.

3. solis: NTP ierobežojumu konfigurēšana

3. Nākamais solis ir NTP ierobežojumu konfigurēšana. Tie tiek izmantoti, lai ļautu vai deaktivizēt saimniekus mijiedarboties ar NTP serveri. NTP noklusējums ir apkalpošanas laiks ikvienam, bet neļauj konfigurēt gan IPv4, gan IPv6 savienojumus.

Šis serveris pašlaik tiek izmantots tikai IPv4 tīklā, tāpēc IPv6 tika atspējots ar diviem līdzekļiem. Pirmais, kas tika darīts, lai NTP serverī atspējotu IPv6, bija mainīt noklusējumus, kurus dēmons sāk. Tas tika paveikts, mainot līniju ‘/etc/default/ntp ’.

# nano /etc/default/ntp
NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

Atpakaļ galvenajā konfigurācijas failā ( /etc/ntp.conf ) NTP dēmons tiks automātiski konfigurēts, lai koplietotu laiku ar visiem IPv4/6 resursdatoriem, bet neļautu konfigurēt. To var redzēt šādās divās rindiņās:

NTPD darbojas atļautā veidā, ja vien tas netiek noraidīts. Tā kā IPv6 tika atspējots, rindu ‘ ierobežot -6 ’ var noņemt vai komentēt ar ‘ #

Tas maina NTP noklusējuma uzvedību, ignorējot visus ziņojumus. Tas var šķist dīvaini, bet turpiniet lasīt, jo ierobežojuma klauzulas tiks izmantotas, lai precīzi pielāgotu piekļuvi šim NTP serverim saimniekiem, kuriem nepieciešama piekļuve.

Tagad serverim ir jāzina, kurš drīkst serverim vaicāt pēc laika un ko vēl drīkst darīt ar NTP serveri. Šim serverim ierobežojuma posma izveidošanai tiks izmantots privātais tīkls ar vērtību 172,27,0,0/16.

Šī līnija informē serveri, lai jebkurš resursdators no 172.27.0.0/16 tīkla varētu laiku piekļūt serverim. Parametri pēc maskas palīdz kontrolēt, ko kāds no šī tīkla resursdatoriem var darīt, vaicājot serverim. Atvēlēsim brīdi, lai saprastu katru no šīm ierobežošanas iespējām:

  1. Ierobežots : norāda, ka, ja klientam jāizmanto ļaunprātīgi pakešu ātruma kontroles skaits, paketes tiks izmesti. Ja ir iespējota Nāves skūpsta pakete, tā tiks nosūtīta atpakaļ ļaunprātīgajam resursdatoram. Likmes var konfigurēt administrators, taču šeit tiek pieņemti noklusējumi.
  2. KOD : nāves skūpsts. Ja resursdators pārkāpj paketes ierobežojumu serverim, serveris atbildēs ar s KoD paketi uz pārkāpošo resursdatoru.
  3. Notrap : noraidiet 6. režīma vadības ziņojumus. Šie vadības ziņojumi tiek izmantoti attālās reģistrēšanas programmām.
  4. Nomodificēt : novērš ntpq un ntpdc vaicājumus, kas mainītu servera konfigurāciju, taču informatīvie vaicājumi joprojām ir atļauti.
  5. Noquery : šī opcija neļauj saimniekiem pieprasīt informāciju serverī. Piemēram, bez šīs opcijas resursdatori var izmantot ntpdc vai ntpq, lai noteiktu, no kurienes saņem konkrēts laika serveris, vai citiem vienaudžu laika serveriem, ar kuriem tas, iespējams, sazinās.