我试图在本地的Ubuntu机器上安装一个时间服务器,所以我的networking中的其他服务器将与它同步。 我们决定安装我们自己的时间服务器,而不是让每个服务器从外部服务器更新,以最大限度地降低安全风险。
我将不胜感激任何帮助或参考链接!
谢谢,
乌迪
我在设置NTPnetworking时使用的一些指南:
第一点是在互联网中断的情况下为您的networking提供弹性。 当互联网连接断开时,你的对等服务器将保持彼此之间的协商时间,并且不会失去同步。 这意味着你的客户不会失去同步。 如果时间对你很重要,这是一件非常好的事情。
至于ACL选项,设置合理的默认值有助于防止邪恶的发生:
restrict default ignore #deny access to general internet, just 'cause restrict 192.168.0.0 255.255.0.0 nomodify nopeer # allow restricted access to internal restrict 192.168.202.202 #allow TimeHost1 full access restrict 192.168.202.203 #allow TimeHost2 full access restrict 192.168.200.158 nopeer #allow the admin workstation to make changes 这将使客户能够使用像ntpq这样的工具来诊断NTP问题,但不会允许它改变任何东西。
至于自动密钥与对称密钥,这取决于你想要你的networking有多强大。 设置适当的ACL值应该能够抵抗恶意,但是这会提供额外的防范欺骗。 其中,自动键更容易设置,但对称更新,更强大。
任何物理 linux机器上的标准ntp(也可能是ntp-server或ntp-simple)包都可以。 不要使用虚拟机。
很多人会说当别人知道你什么时候有信息泄漏,然而许多其他的服务泄漏了时间,并且当所有的日志同步时都会有好处 。 默认的debianconfiguration可以locking远程用户除了时间同步之外的任何事情,这已经足够了。
至于要从pool.ntp.org更新什么是答案,如果可能的话,为您的国家使用适当的池。 这也几乎总是linux ntp的默认configuration。
我build议OpenNTPd (便携式)。
从他们的宣言:
目前的NTP守护进程很复杂,难以configuration和/或有可疑的许可证。 正因为如此,只有有限的几个系统运行NTP,导致许多机器数月甚至数年。 我们的目标是通过提供安全且易于configuration的免费简单实现来使NTP无处不在。
- 尽可能安全。 仔细编码,特别是在networkinginputpath上进行严格的有效性检查,并使用有界缓冲区操作。 使用特权分离来减轻可能的安全漏洞的影响。
- 提供精益实施,足够多数人。 不要试图支持每一个模糊的使用案例,而是要涵盖典型的使用案例。
- 尝试在后台“只是工作”。
- 仅仅使用最less的configuration工作。
- 达到合理的准确度。 我们不是在最后几微秒之后。