我想知道如何正确配置 AWS 安全性以允许 chrony 在 CentOS 7 实例上同步系统时间。
我运行的是 CentOS 7 的早期版本,它使用 chrony 1.29.1,并且它使用以下设置。
实例安全组:端口 123 上的传出 UDP
网络 ACL:在端口 123 上传入 UDP,在端口 123 上传出 UDP。
但是,当运行 yum update 或使用最新的 CentOS 7 版本(包含 chrony 2.1.1)启动新实例时,我只能让它与以下配置同步。
实例安全组:端口 123 上的传出 UDP
网络 ACL:传入 UDP 开启所有端口,以及端口 123 上的传出 UDP。
这是怎么回事?我现在真的需要允许网络 ACL 的所有端口上的传入 UDP 吗?这安全吗?我假设是的,因为我的安全组不允许传入 UDP 流量,除非它先前建立了传出连接,对吗?
谢谢。
答案1
没有为什么 收购港 可以配置。
即使软件没有提供这种便利,并且防火墙不允许流量返回,你仍然可以只开放一个临时端口范围并保持知名服务关闭。
答案2
这是一篇相当老的帖子,但我在这里提供了最新的信息。
自 2017 年 11 月起,亚马逊推出“亚马逊时间同步服务”。
对于在 VPC 中运行的任何实例,Amazon Time Sync Service 都可通过 NTP 在 IP 地址 169.254.169.123 上使用。您的实例不需要访问互联网,您也不必配置安全组规则或网络 ACL 规则来允许访问。
因此,如果您的实例在 VPC 内运行,则无需配置 ACL 和安全组来访问 NTP 服务器,只需使用 169.254.169.123 IP 作为 NTP 服务器。
有关如何配置使用 Amazon Time Sync Service 的 NTP 客户端 (chrony) 的更多详细信息,请参见这里。