19.4. Управление доступом

Проблема

Нужно проследить за тем, чтобы локальные клиенты выполняли функции только клиентов, но не серверов NTP. Они должны пользоваться только услугами службы времени и только от указанных серверов.

Решение

Для ограничения доступа и предотвращения несанкционированных действий локальных клиентов можно настроить правила управления доступом в файле /etc/ntp.conf или создать соответствующие правила в iptables на брандмауэре клиента.

Чтобы использовать механизм управления доступом NTP, добавьте следующие строки в /etc/ntp.conf:

# Политика доступа по умолчанию
# Запретить весь трафик NTP, который не был специально разрешён
restrict default ignore
restrict 192.168.1.101
# Локальный хост является доверенным
restrict 127.0.0.0 mask 255.0.0.0

Не забудьте перезапустить ntpd после внесения изменений в ntp.conf. Это обеспечит активацию новой политики доступа и позволит избежать нежелательных подключений.

Альтернативой может стать настройка правил брандмауэра с использованием iptables. Если на клиентском компьютере работает iptables, добавьте следующие правила:

iptables -A INPUT -p udp --dport 123 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 123 -j REJECT

Первое правило принимает все ответы на отправленные пакеты NTP, а второе отклоняет остальные пакеты. Это предотвращает попытки подключения со стороны других хостов, разрешая только ответы на запросы клиента. Данный метод добавляет дополнительный уровень защиты к настройкам NTP и особенно полезен в сетях с повышенными требованиями к безопасности.

Комментарии

Некоторые параметры конфигурации ntp.conf:

• peer [хост или IP] — указанный хост опрашивается в симметричном активном режиме, т.е. хосты синхронизируются друг с другом. Этот параметр не используется для общедоступных серверов времени;
• server [хост или IP] — сервер опрашивается в клиентском режиме (синхронизация выполняется только на клиенте);
• restrict — определение ограничений для конкретных хостов с переопределением значений по умолчанию;
• ignore — игнорирование всех пакетов NTP;
• nomodify — запрет изменения конфигурации на стадии выполнения (разрешены только запросы на получение информации);
• nopeer — запрет одноранговой синхронизации, обеспечивающей синхронизацию только от серверов, указанных в директиве server;
• notrap — запрет на перехват управляющих сообщений режима 6 (фактически запрещает удалённое логирование);
• noquery — игнорирование всех информационных запросов NTP режимов 6 и 7.

Управление доступом позволяет гарантировать, что клиенты не будут выполнять функции серверов, поддерживая стабильность и безопасность сети. При использовании строгих правил ограничений у клиентов не будет возможности вмешиваться в процесс синхронизации времени на других устройствах. Правильная настройка этих параметров помогает предотвратить потенциальные угрозы и конфликты, возникающие из-за несогласованного использования времени.

Для более глубокого понимания работы NTP и улучшения конфигурации можно изучить дополнительные параметры и командные опции, такие как minpoll и maxpoll, чтобы более точно настроить интервал опроса серверов. Это позволяет достичь большей точности и надёжности в синхронизации времени в сетях с высоким уровнем активности.

См. также

Локальная документация (/usr/share/doc/ntp-doc/html) или документация в Интернете (http://www.ntp.org/documentation.html); домашняя страница проекта pool.ntp.org (http://www.pool.ntp.org); веб-сайт ntp.org (http://www.ntp.org/); архивы группы Usenet comp.protocols.time.ntp.