NTP 声称支持 md5 身份验证。我找到的文档对于我的水平来说不够清晰。我该如何使用它,使用一组 freebsd 客户端和几个 freebsd 服务器(从我的网络之外的服务器获取时间)?一切都在 ntp 4.2.* - 4.2.6p*、4.2.7p* 和 4.2.8 上。我该如何验证它们是否真的在相互验证;有没有办法问他们他们认为他们在做什么,或者我需要做负面测试(使用错误密钥的客户端和/或服务器)?
一个好的 RTFM 链接就足够了;我觉得自己问这个问题像个白痴,但 ntp.org 更擅长解释理论而不是实践,而且似乎经常描述 ntp 3 甚至更早的版本。我设置的计时非常顺利 - 但它仍然计时,客户端配置有问题,没有告诉客户端在哪里可以找到密钥文件 :-(
同样,如果我不希望它们参与 DDOS 攻击,我需要锁定什么?(假设我目前不只是依赖防火墙 - 我正在寻找“最佳实践”常见问题解答。)对于 4.2.7 或 4.2.8 版本,我需要锁定什么?开锁以获得合理的行为。(我已经发现“限制 127.0.0.1 掩码 255.255.255.255”不允许我从本地主机执行太多操作。看起来它默认开启了 noquery 和更多功能。)
答案1
推荐/etc/ntp.conf
就是这样的
#######
driftfile /etc/ntp.drift
disable monitor
server 0.pool.ntp.org
server 1.pool.ntp.org
server 2.pool.ntp.org
# deny client access by default
restrict -4 default ignore
restrict -6 default ignore
# allow access for localhost...
restrict 127.0.0.1
restrict 127.127.1.0
restrict -6 ::1
# and local subnet
restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap
#######
答案2
以下网页似乎描述了设置 ntp 客户端以使用 md5/对称密钥认证的基础知识。
它针对特定服务器的客户端,但应该具有适应性。我还没有测试过。