Security
建構本地時間伺服器
我正在嘗試在本地 Ubuntu 機器上安裝時間伺服器,以便我網路中的其他伺服器與之同步。我們決定安裝自己的時間伺服器,而不是讓每個伺服器從外部伺服器更新,以最大程度地降低安全風險。
- 任何想法什麼是最好的伺服器安裝?
- 是否存在任何已知的安全問題?
- 伺服器應該從哪裡更新?那裡有值得信賴的時間伺服器嗎?
我將不勝感激任何幫助或參考連結!
謝謝,
烏迪
我在設置 NTP 網路時使用的一些指南:
- 在您的網路上配置至少兩個時間伺服器是一個非常好的主意。將它們設置為對等點(“對等點”行$$ ipaddress $$" 在 ntp.conf 中),如果可能的話,給他們不同的外部 NTP 主機進行同步。
- 配置您的客戶端以使用您的所有時間伺服器。萬一一個人走了,他們仍然有很好的時間,並且在一個人的中斷期間不會失去同步。
- 在對等伺服器之間使用自動密鑰或對稱密鑰加密。
- 在 ntp.conf 文件中設置適當的 acl 行,允許對等方相互通信,但所有其他客戶端僅獲得 NTP 資訊而沒有控制數據。
第一點是在面對網際網路中斷時賦予您的網路彈性。當網際網路連接中斷時,您的對等伺服器將在彼此之間保持一致的時間,並且永遠不會不同步。這意味著您的客戶不會不同步。如果時間對你很重要,這是一件非常好的事情。
至於 ACL 選項,設置合理的預設值將有助於防止邪惡的發生:
restrict default ignore #deny access to general internet, just 'cause restrict 192.168.0.0 255.255.0.0 nomodify nopeer # allow restricted access to internal restrict 192.168.202.202 #allow TimeHost1 full access restrict 192.168.202.203 #allow TimeHost2 full access restrict 192.168.200.158 nopeer #allow the admin workstation to make changes
這將允許客戶端使用 ntpq 之類的工具來診斷 NTP 問題,但不允許它改變任何東西。
至於自動密鑰與對稱密鑰,這取決於您希望網路有多健壯。設置適當的 ACL 值應該可以抵抗邪惡,但這將提供額外的保護層以防止欺騙。在這兩者中,自動密鑰更容易設置,但對稱更新更強大。