CentOS、Chrony 和 AWS 埠
我想知道如何正確配置 AWS 安全性以允許 chrony 在 CentOS 7 實例上同步系統時間。
我執行的是 CentOS 7 的早期版本,它使用 chrony 1.29.1,它使用以下設置。
**實例安全組:**埠 123 上的傳出 UDP
**網路 ACL:**埠 123 上的傳入 UDP,埠 123 上的傳出 UDP。
但是,當執行 yum update 或使用最新的 CentOS 7 版本(包括 chrony 2.1.1)啟動新實例時,我只能讓它與以下配置同步。
**實例安全組:**埠 123 上的傳出 UDP
**網路 ACL:**所有埠上的傳入 UDP ,埠 123 上的傳出 UDP。
這裡發生了什麼?我現在真的需要在網路 ACL 的所有埠上允許傳入 UDP 嗎?這安全嗎?我會假設是的,因為我的安全組不允許傳入的 UDP 流量,除非它之前建立了傳出連接,對吧?
謝謝。
不,因為 採集埠 可以配置。
即使軟體不允許這樣的便利,並且防火牆不允許流的返回流量,您仍然可以只打開一個臨時埠範圍並保持眾所周知的服務關閉。
它的文章很舊,但我在這裡放了最新資訊。
自 2017 年 11 月以來,亞馬遜推出了“亞馬遜時間同步服務”。
Amazon Time Sync Service 可通過 NTP 在 169.254.169.123 IP 地址上用於在 VPC 中執行的任何實例。您的實例不需要訪問 Internet,並且您無需配置安全組規則或網路 ACL 規則即可允許訪問。
因此,如果您的實例在 VPC 內執行,則無需配置 ACL 和安全組來訪問 NTP 伺服器,只需使用 169.254.169.123 IP 作為 NTP 伺服器即可。
可以在此處找到如何配置使用 Amazon 時間同步服務的 NTP 客戶端(chrony)的更多詳細資訊。