AWS 实例上的 ntp 安全最佳实践

AWS 实例上的 ntp 安全最佳实践

我正在检查我的 EC2 实例(标准 AWS Linux 映像)的 VPC 流日志,偶然发现了一个端口为 123(NTP)的条目,目的地为 107.170.0.6(kapu.ruselabs.com

由于是新手,我进一步挖掘并发现我的虚拟机使用了更多看起来奇怪的 NTP 服务器。

[ec2-user@ip-... ~]$ ntpq -p
remote           refid     
 -------------------------
+time.mclarkdev. 167.114.204.238
-aprihop.cdknnjl 173.162.192.156
*chl.la          216.218.254.202
+kapu.ruselabs.c 200.98.196.212

我知道这很可能是一种标准做法,但当我的盒子与陌生人交谈时,我感到不舒服。在这种情况下,我无法找到哪个人/组织运行 kapu.ruselabs.com

所以问题是,在 AWS 中运行虚拟机时使用 NTP 服务器的最佳实践是什么。

答案1

根据AWS 文档/etc/ntp.conf 中定义的服务器是:

n.amazon.pool.ntp.org DNS 记录旨在对来自 AWS 的 NTP 流量进行负载平衡。但是,这些是 pool.ntp.org 项目中的公共 NTP 服务器,不归 AWS 所有或管理。无法保证它们在地理位置上靠近您的实例,甚至位于 AWS 网络内。

鉴于 AWS 已将这些设置为 Amazon Linux 中的默认设置,我不得不假设风险很低。就我个人而言,我不会这么做。

您可以手动将它们设置为记录的 NTP 服务器如果您愿意,可以使用特定服务器或使用可能实现负载平衡的别名。单击右上角的链接查找 URL。只需编辑文件 /etc/ntp.conf 即可指定它们。

2017 年 12 月 1 日更新

AWS Time Sync 服务现已推出。阅读文档这里

答案2

好吧,我知道这已经过时了,但我刚刚才发现它!我运营 kapu.ruselabs.com,它是 ntp 池项目的一部分www.ntppool.org为服务器提供免费的 ntp/时间服务!大多数 ubuntu/linux 镜像都与公共 ntp 服务器通信,我们中的许多人都自愿奉献时间、金钱和带宽,以便人们能够获得准确的时间。希望这能有所帮助!

答案3

https://aws.amazon.com/blogs/aws/keeping-time-with-amazon-time-sync-service/

AWS 刚刚推出了自己的 NTP 服务,虚拟机不需要 Internet 网关来同步时间!

相关内容