19.4. Управление доступом
Проблема
Нужно проследить за тем, чтобы локальные клиенты выполняли функции только клиентов, но не серверов NTP. Они должны пользоваться только услугами службы времени и только от указанных серверов.
Решение
Для ограничения доступа и предотвращения несанкционированных действий локальных клиентов можно настроить правила управления доступом в файле /etc/ntp.conf
или создать соответствующие правила в iptables
на брандмауэре клиента.
Чтобы использовать механизм управления доступом NTP, добавьте следующие строки в /etc/ntp.conf
:
# Политика доступа по умолчанию
# Запретить весь трафик NTP, который не был специально разрешён
restrict default ignore
restrict 192.168.1.101
# Локальный хост является доверенным
restrict 127.0.0.0 mask 255.0.0.0
Не забудьте перезапустить ntpd
после внесения изменений в ntp.conf
. Это обеспечит активацию новой политики доступа и позволит избежать нежелательных подключений.
Альтернативой может стать настройка правил брандмауэра с использованием iptables
. Если на клиентском компьютере работает iptables
, добавьте следующие правила:
iptables -A INPUT -p udp --dport 123 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 123 -j REJECT
Первое правило принимает все ответы на отправленные пакеты NTP, а второе отклоняет остальные пакеты. Это предотвращает попытки подключения со стороны других хостов, разрешая только ответы на запросы клиента. Данный метод добавляет дополнительный уровень защиты к настройкам NTP и особенно полезен в сетях с повышенными требованиями к безопасности.
Комментарии
Некоторые параметры конфигурации ntp.conf
:
peer [хост или IP]
— указанный хост опрашивается в симметричном активном режиме, т.е. хосты синхронизируются друг с другом. Этот параметр не используется для общедоступных серверов времени;server [хост или IP]
— сервер опрашивается в клиентском режиме (синхронизация выполняется только на клиенте);restrict
— определение ограничений для конкретных хостов с переопределением значений по умолчанию;ignore
— игнорирование всех пакетов NTP;nomodify
— запрет изменения конфигурации на стадии выполнения (разрешены только запросы на получение информации);nopeer
— запрет одноранговой синхронизации, обеспечивающей синхронизацию только от серверов, указанных в директивеserver
;notrap
— запрет на перехват управляющих сообщений режима 6 (фактически запрещает удалённое логирование);noquery
— игнорирование всех информационных запросов NTP режимов 6 и 7.
Управление доступом позволяет гарантировать, что клиенты не будут выполнять функции серверов, поддерживая стабильность и безопасность сети. При использовании строгих правил ограничений у клиентов не будет возможности вмешиваться в процесс синхронизации времени на других устройствах. Правильная настройка этих параметров помогает предотвратить потенциальные угрозы и конфликты, возникающие из-за несогласованного использования времени.
Для более глубокого понимания работы NTP и улучшения конфигурации можно изучить дополнительные параметры и командные опции, такие как minpoll
и maxpoll
, чтобы более точно настроить интервал опроса серверов. Это позволяет достичь большей точности и надёжности в синхронизации времени в сетях с высоким уровнем активности.
См. также
Локальная документация (/usr/share/doc/ntp-doc/html
) или документация в Интернете (http://www.ntp.org/documentation.html); домашняя страница проекта pool.ntp.org
(http://www.pool.ntp.org); веб-сайт ntp.org
(http://www.ntp.org/); архивы группы Usenet comp.protocols.time.ntp
.