我正在尝试在本地 Ubuntu 机器上安装时间服务器,以便网络中的其他服务器可以与其同步。我们决定安装自己的时间服务器,而不是让每台服务器从外部服务器更新,以最大限度地降低安全风险。
- 您知道应该安装哪个服务器最好吗?
- 是否存在已知的安全问题?
- 服务器应该从哪里更新?有没有值得信赖的时间服务器?
我将不胜感激任何帮助或参考链接!
谢谢,
乌迪
答案1
设置 NTP 网络时我使用的一些指南:
- 在您的网络上配置至少两个时间服务器是个好主意。将它们设置为对等服务器(ntp.conf 中的“peer [ipaddress]”行),如果可能的话,为它们提供不同的外部 NTP 主机来同步。
- 配置您的客户端以使用所有时间服务器。如果其中一个服务器停止运行,它们仍将拥有正确的时间,并且不会在该服务器中断期间失去同步。
- 在对等服务器之间使用自动密钥或对称密钥加密。
- 在您的 ntp.conf 文件中设置适当的 acl 行,允许对等方相互通信,但所有其他客户端只能获取 NTP 信息而不能获取控制数据。
第一点是让您的网络在互联网中断时具有弹性。当互联网连接中断时,您的对等服务器将保持彼此一致的时间,并且永远不会不同步。这意味着您的客户端不会不同步。如果时间对您来说很重要,那么这是一件非常好的事情。
至于 ACL 选项,设置合理的默认值将有助于防止恶意事件发生:
restrict default ignore #deny access to general internet, just 'cause
restrict 192.168.0.0 255.255.0.0 nomodify nopeer # allow restricted access to internal
restrict 192.168.202.202 #allow TimeHost1 full access
restrict 192.168.202.203 #allow TimeHost2 full access
restrict 192.168.200.158 nopeer #allow the admin workstation to make changes
这将允许客户端使用 ntpq 等工具来诊断 NTP 问题,但不允许它更改任何东西。
至于自动密钥与对称密钥,这取决于您希望网络有多强大。设置适当的 ACL 值应该能够抵御邪恶,但这会提供额外的一层防欺骗保护。在这两者中,自动密钥更容易设置,但对称密钥更新且更强大。
答案2
任何服务器上的标准 ntp(也可能是 ntp-server 或 ntp-simple)包身体的Linux 机器就可以了。不要使用 VM。
很多人会声称,当别人知道你的时间时,就会出现信息泄露,然而,许多其他服务都会泄露时间,你会得到一个益处当所有日志都同步时,以防出现任何问题。默认的 Debian 配置会锁定远程用户,使其无法执行除时间同步之外的任何操作,这就足够了。
至于从pool.ntp.org更新什么,答案是,如果可能的话,使用适合您所在国家/地区的池。这也几乎总是Linux ntp的默认配置。
答案3
我建议OpenNTPd(便携的)。
从他们的宣言中:
当前的 NTP 守护程序非常复杂,难以配置和/或许可证存在问题。因此,只有有限数量的系统运行 NTP,导致许多机器几个月甚至几年都无法使用。我们的目标是通过提供安全且易于配置的免费简单实现,让 NTP 无处不在。
- 尽可能保证安全。谨慎编码,进行严格的有效性检查(尤其是在网络输入路径中),并使用有界缓冲区操作。使用权限分离来减轻可能的安全漏洞的影响。
- 提供精简的实现,满足大多数人的需求。不要尝试支持每一个模糊的用例,而是覆盖典型的用例。
- 尝试在后台“正常工作”。
- 仅需最低限度的配置即可工作。
- 达到合理的精度。我们不追求最后一微秒。