Hvernig á að setja upp og stilla NTP netþjón og viðskiptavin á Debian

Network Time Protocol (NTP) sýnir einstaka möguleika fyrir fyrirtæki til að samstilla klukkur allra kerfa innan fyrirtækisins. Tímasamstilling er mikilvæg af mörgum ástæðum, allt frá tímastimplum forrita til öryggis til réttar færslur í annálum.

Þegar kerfi fyrirtækis halda öll mismunandi klukkutímum, verður það mjög erfitt frá bilanaleitarsjónarmiði að ákvarða hvenær og við hvaða aðstæður tiltekinn atburður gæti átt sér stað.

NTP veitir auðveld leið til að tryggja að öll kerfi haldi réttum tíma sem aftur getur einfaldað verulega álag á stjórnendur/tækniaðstoð.

NTP virkar á forsendum samstillingar við viðmiðunarklukkur, einnig þekktar sem „stratum 0“ netþjónar. Allir aðrir NTP netþjónar verða þá að lægri strata miðlara miðað við hversu langt þeir eru frá viðmiðunarþjóni.

Upphaf NTP keðjunnar er stratum 1 þjónn sem er alltaf beintengdur við stratum 0 viðmiðunarklukku. Héðan eru lægri strata netþjónar tengdir í gegnum nettengingu við hærra strata level netþjón.

Sjá skýringarmyndina hér að neðan til að fá skýrari hugmynd.

Þó að hægt sé að setja upp stratum 0 eða stratum 1 miðlara er það dýrt að gera það og sem slík mun þessi handbók einbeita sér að uppsetningu á lægri strata miðlara.

Tecmint er með grunnstillingu hýsingar fyrir NTP á eftirfarandi hlekk:

  1. Hvernig á að samstilla tíma við NTP netþjón

Þar sem þessi leiðarvísir verður frábrugðinn er í stað þess að láta alla vélar á netinu spyrjast fyrir til almennings NTP netþjóna, einn (eða betri venja, nokkrir) netþjónar hafa samband við opinbera NTP kerfið og gefa síðan tíma fyrir alla véla innan staðarnet.

Innri NTP þjónn er oft tilvalinn til að varðveita netbandbreidd og veita aukið öryggi með NTP takmörkunum og dulritun. Til að sjá hvernig þetta er frábrugðið fyrstu skýringarmyndinni, vinsamlegast sjáðu aðra skýringarmyndina hér að neðan.

Skref 1: Uppsetning NTP netþjóns

1. Fyrsta skrefið til að setja upp innri NTP uppbyggingu er að setja upp NTP miðlara hugbúnaðinn. Hugbúnaðarpakkinn í Debian sem heitir 'NTP' inniheldur eins og er öll tól netþjónsins sem nauðsynleg eru til að setja upp NTP stigveldi. Eins og með allar kennsluleiðbeiningar um kerfisstillingar er gert ráð fyrir rótar- eða sudoaðgangi.

# apt-get install ntp
# dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
# dpkg -s ntp                        [Can also be used to confirm NTP is installed]

Skref 1: Stilling NTP netþjóns

2. Þegar NTP hefur verið sett upp er kominn tími til að stilla hvaða netþjónar á hærra stratum að spyrjast fyrir um tíma. Stillingarskráin fyrir NTP er geymd á ‘/etc/ntp.conf‘ og hægt er að breyta henni með hvaða textaritli sem er. Þessi skrá mun innihalda fullgild lénsheiti æðstu netþjónanna, takmarkanir settar fyrir þennan NTP netþjón og allar aðrar sérstakar breytur fyrir vélar sem spyrja um þennan NTP netþjón.

Til að hefja stillingarferlið þarf að stilla þjónana á hærra stigi. Debian mun sjálfgefið setja Debian NTP hópinn í stillingarskrána. Þetta er fínt í flestum tilgangi en stjórnandi getur heimsótt NIST til að tilgreina ákveðna netþjóna eða til að nota alla netþjóna NIST á hringlaga hátt (tillögð aðferð af NIST).

Fyrir þessa kennslu verða sérstakir netþjónar stilltir. Stillingarskráin er skipt í nokkra stóra hluta og er sjálfgefið stillt fyrir IPv4 og IPv6 (Ef þú vilt slökkva á IPv6, er minnst á þetta síðar). Til að hefja stillingarferlið verður að opna stillingarskrána með textaritli.

# nano /etc/ntp.conf

Fyrstu hlutarnir (driftfile, statsdir og statistics) eru fínstilltir á sjálfgefnar stillingar. Næsti hluti inniheldur netþjóna á hærra stigi sem þessi þjónn ætti að biðja um tíma í gegnum. Setningafræðin fyrir hverja netþjónsfærslu er mjög einföld:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Venjulega er það góð hugmynd að hafa nokkra hærri strata netþjóna til að velja úr á þessum lista. Þessi þjónn mun spyrjast fyrir um alla netþjóna á listanum til að ákvarða hver er áreiðanlegastur. Netþjónarnir fyrir þetta dæmi voru fengnir frá: http://tf.nist.gov/tf-cgi/servers.cgi.

Skref 3: Stilling NTP-takmarkana

3. Næsta skref er að stilla NTP takmarkanir. Þetta er notað til að leyfa eða banna gestgjöfum að hafa samskipti við NTP netþjóninn. Sjálfgefið fyrir NTP er afgreiðslutími fyrir hvern sem er en ekki leyfa stillingar á bæði IPv4 og IPv6 tengingum.

Þessi þjónn er sem stendur aðeins notaður á IPv4 neti þannig að IPv6 var óvirkt með tvennum hætti. Það fyrsta sem gert var til að slökkva á IPv6 á NTP þjóninum var að breyta sjálfgefnum stillingum sem púkinn byrjar. Þetta var gert með því að breyta línunni í '/etc/default/ntp'.

# nano /etc/default/ntp

NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

Til baka í aðalstillingarskránni (/etc/ntp.conf), verður NTP púkinn sjálfkrafa stilltur til að deila tíma með öllum IPv4/6 vélum en leyfa ekki stillingar. Þetta má sjá á eftirfarandi tveimur línum:

NTPD virkar á leyfilegum grundvelli nema því sé hafnað. Þar sem IPv6 var óvirkt er hægt að fjarlægja 'restrict -6' línuna eða skrifa athugasemdir út með ' #

Þetta breytir sjálfgefna hegðun fyrir NTP til að hunsa öll skilaboð. Þetta kann að virðast skrítið en haltu áfram að lesa þar sem takmarkanir verða notaðar til að fínstilla aðgang að þessum NTP netþjóni fyrir þá sem þurfa aðgang.

Nú þarf þjónninn að vita hverjir hafa leyfi til að spyrjast fyrir um tíma og hvað annað þeir mega gera við NTP þjóninn. Fyrir þennan netþjón verður einkanet 172.27.0.0/16 notað til að byggja upp takmarkaða stanza.

Þessi lína upplýsir þjóninn um að leyfa hvaða vél sem er frá 172.27.0.0/16 netinu að fá aðgang að þjóninum í tíma. Færibreyturnar á eftir grímunni hjálpa til við að stjórna því hvað einhver gestgjafi á þessu neti getur gert þegar spurt er um netþjóninn. Við skulum taka smá stund til að skilja hvern af þessum takmörkunarvalkostum:

  1. Takmarkað: Gefur til kynna að ef viðskiptavinur ætti að misnota hraðastýringu fjölda pakka, þá verði pökkunum hent af netþjóninum. Ef Kiss of Death pakkinn er virkur verður hann sendur aftur til hýsilsins sem er ofbeldisfullur. Gjaldskráin er stillanleg af stjórnanda en hér er gert ráð fyrir sjálfgefnum stillingum.
  2. KOD: Kiss of Death. Ef gestgjafi brýtur pakkatakmarkanir til þjónsins mun þjónninn svara með s KoD pakka til hýsilsins sem brýtur gegn.
  3. Notrap: Afþakka ham 6 stjórna skilaboð. Þessi stjórnskilaboð eru notuð fyrir fjarskráningarforrit.
  4. Nomodify: Kemur í veg fyrir ntpq og ntpdc fyrirspurnir sem myndu breyta stillingum þjónsins en upplýsingafyrirspurnir eru enn leyfðar.
  5. Noquery: Þessi valkostur kemur í veg fyrir að gestgjafar biðji um upplýsingar á þjóninum. Til dæmis án þessa valkosts geta vélar notað ntpdc eða ntpq til að ákvarða hvaðan tiltekinn tímaþjónn er að fá sinn tíma eða aðra jafningjatímaþjóna sem hann gæti verið í samskiptum við.