ntp 身份验证 - MD5 - freeBSD

ntp 身份验证 - MD5 - freeBSD

NTP 声称支持 md5 身份验证。我找到的文档对于我的水平来说不够清晰。我该如何使用它,使用一组 freebsd 客户端和几个 freebsd 服务器(从我的网络之外的服务器获取时间)?一切都在 ntp 4.2.* - 4.2.6p*、4.2.7p* 和 4.2.8 上。我该如何验证它们是否真的在相互验证;有没有办法问他们他们认为他们在做什么,或者我需要做负面测试(使用错误密钥的客户端和/或服务器)?

一个好的 RTFM 链接就足够了;我觉得自己问这个问题像个白痴,但 ntp.org 更擅长解释理论而不是实践,而且似乎经常描述 ntp 3 甚至更早的版本。我设置的计时非常顺利 - 但它仍然计时,客户端配置有问题,没有告诉客户端在哪里可以找到密钥文件 :-(

同样,如果我不希望它们参与 DDOS 攻击,我需要锁定什么?(假设我目前不只是依赖防火墙 - 我正在寻找“最佳实践”常见问题解答。)对于 4.2.7 或 4.2.8 版本,我需要锁定什么?开锁以获得合理的行为。(我已经发现“限制 127.0.0.1 掩码 255.255.255.255”不允许我从本地主机执行太多操作。看起来它默认开启了 noquery 和更多功能。)

答案1

推荐/etc/ntp.conf就是这样的

#######
driftfile /etc/ntp.drift
disable         monitor

server          0.pool.ntp.org
server          1.pool.ntp.org
server          2.pool.ntp.org

# deny client access by default
restrict -4     default ignore
restrict -6     default ignore

# allow access for localhost...
restrict        127.0.0.1
restrict        127.127.1.0
restrict -6     ::1

# and local subnet
restrict        10.0.0.0        mask 255.0.0.0  nomodify notrap
#######

答案2

以下网页似乎描述了设置 ntp 客户端以使用 md5/对称密钥认证的基础知识。

http://www.nist.gov/pml/div688/grp40/upload/-Instructions-for-using-the-NIST-authenticated-Network-Time-Protocol-NTP-server.pdf

它针对特定服务器的客户端,但应该具有适应性。我还没有测试过。

相关内容