Com instal·lar i configurar el servidor i el client NTP a Debian

Network Time Protocol (NTP) presenta una capacitat única per a les empreses de sincronitzar els rellotges de tots els sistemes de l'empresa. La sincronització de l'hora és important per molts motius que van des dels segells d'hora de l'aplicació fins a la seguretat i les entrades de registre adequades.

Quan tots els sistemes d'una organització mantenen hores de rellotge diferents, des del punt de vista de la resolució de problemes, és molt difícil determinar quan i en quines condicions es pot produir un esdeveniment particular.

NTP proporciona una manera senzilla d'assegurar-se que tots els sistemes mantindran l'hora correcta, cosa que al seu torn pot simplificar molt la càrrega dels administradors/suport tècnic.

NTP funciona amb la premissa de la sincronització amb rellotges de referència, també coneguts com a servidors estrat 0. Tots els altres servidors NTP es converteixen en un servidor d'estrat de nivell inferior en funció de la distància que es troben d'un servidor de referència.

L'inici de la cadena NTP és un servidor de l'estrat 1 que sempre està connectat directament a un rellotge de referència de l'estrat 0. A partir d'aquí, els servidors de nivell inferior es connecten mitjançant una connexió de xarxa a un servidor de nivell superior.

Consulteu el diagrama següent per obtenir un concepte més clar.

Tot i que es pot configurar un servidor d'estrat 0 o 1, és car fer-ho i, per tant, aquesta guia se centrarà en la configuració del servidor d'estrat inferior.

Tecmint té una configuració bàsica de l'amfitrió de NTP al següent enllaç:

  1. Com sincronitzar l'hora amb el servidor NTP

On aquesta guia diferirà és en lloc de tenir tots els amfitrions de la xarxa consultant als servidors NTP públics, un (o, millor pràctica, diversos) servidors es posarà en contacte amb el sistema NTP públic i després proporcionarà temps per a tots els amfitrions dins del xarxa local.

Sovint, un servidor NTP intern és ideal per conservar l'amplada de banda de la xarxa i també per proporcionar una seguretat més gran mitjançant restriccions NTP i criptografia. Per veure com es diferencia del primer diagrama, consulteu el segon diagrama a continuació.

Pas 1: instal·lació del servidor NTP

1. El primer pas per configurar una estructura NTP interna és instal·lar el programari del servidor NTP. El paquet de programari de Debian anomenat NTP actualment conté totes les utilitats del servidor necessàries per configurar una jerarquia NTP. Com amb tots els tutorials sobre configuració del sistema, s'assumeix l'accés arrel o sudo.

# apt-get install ntp
# dpkg --get-selections ntp          [Can be used to confirm NTP is installed]
# dpkg -s ntp                        [Can also be used to confirm NTP is installed]

Pas 1: Configuració del servidor NTP

2. Un cop instal·lat NTP, és hora de configurar quins servidors d'estrat superior han de consultar el temps. El fitxer de configuració per a NTP s'emmagatzema a '/etc/ntp.conf' i es pot modificar amb qualsevol editor de text. Aquest fitxer contindrà els noms de domini totalment qualificats dels servidors de nivell superior, les restriccions establertes per a aquest servidor NTP i qualsevol altre paràmetre especial per als amfitrions que consulten aquest servidor NTP.

Per iniciar el procés de configuració, cal configurar els servidors de nivell superior. Debian per defecte posarà el grup NTP de Debian al fitxer de configuració. Això està bé per a la majoria de propòsits, però un administrador pot visitar NIST per especificar determinats servidors o per utilitzar tots els servidors del NIST de manera round robin (mètode suggerit pel NIST).

Per a aquest tutorial es configuraran servidors específics. El fitxer de configuració es divideix en algunes seccions principals i està configurat per defecte per a IPv4 i IPv6 (si voleu desactivar IPv6, s'esmentarà més endavant). Per iniciar el procés de configuració, cal obrir el fitxer de configuració amb un editor de text.

# nano /etc/ntp.conf

Les primeres seccions (driftfile, statsdir i statistics) estan bé configurades per defecte. La secció següent conté els servidors de nivell superior a través dels quals aquest servidor hauria de demanar temps. La sintaxi de cada entrada del servidor és molt senzilla:

server <fully qualified domain name> <options>
server time.nist.gov iburst â     [sample entry]

Normalment és una bona idea tenir diversos servidors d'estrat superior per triar en aquesta llista. Aquest servidor consultarà tots els servidors de la llista per determinar quin és el més fiable. Els servidors d'aquest exemple es van obtenir a: http://tf.nist.gov/tf-cgi/servers.cgi.

Pas 3: Configuració de les restriccions NTP

3. El següent pas és configurar les restriccions NTP. S'utilitzen per permetre o no permetre que els hosts interactuïn amb el servidor NTP. El valor predeterminat per a NTP és el temps de servei a qualsevol, però no permet la configuració tant en connexions IPv4 com IPv6.

Aquest servidor actualment només s'utilitza en una xarxa IPv4, de manera que IPv6 es va desactivar per dos mitjans. El primer que es va fer per desactivar IPv6 al servidor NTP va ser canviar els valors predeterminats que s'inicia el dimoni. Això es va aconseguir canviant la línia a '/etc/default/ntp'.

# nano /etc/default/ntp

NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]

De nou al fitxer de configuració principal (/etc/ntp.conf), el dimoni NTP es configurarà automàticament per compartir el temps amb tots els hosts IPv4/6 però no permetrà la configuració. Això es pot veure amb les dues línies següents:

NTPD funciona de manera permesa tret que es denegui. Com que IPv6 es va desactivar, la línia restring -6 es pot eliminar o comentar amb un #

Això canvia el comportament predeterminat perquè NTP ignori tots els missatges. Això pot semblar estrany, però seguiu llegint, ja que s'utilitzaran clàusules de restricció per ajustar l'accés a aquest servidor NTP per als amfitrions que necessiten accés.

Ara el servidor necessita saber qui pot consultar el servidor per l'hora i què més pot fer amb el servidor NTP. Per a aquest servidor, s'utilitzarà una xarxa privada de 172.27.0.0/16 per crear l'estrofa de restricció.

Aquesta línia informa al servidor que permet que qualsevol host de la xarxa 172.27.0.0/16 accedeixi al servidor per temps. Els paràmetres posteriors a la màscara ajuden a controlar què pot fer qualsevol dels amfitrions d'aquesta xarxa quan consulta el servidor. Dediquem un moment a entendre cadascuna d'aquestes opcions de restricció:

  1. Limitat: indica que si un client ha d'abusar del control de velocitat del nombre de paquets, els paquets seran descartats pel servidor. Si el paquet Kiss of Death està habilitat, es tornarà a enviar a l'amfitrió abusiu. Les tarifes són configurables per un administrador, però els valors predeterminats s'assumeixen aquí.
  2. KOD: petó de la mort. Si un amfitrió infringeix el límit de paquets al servidor, el servidor respondrà amb un paquet KoD a l'amfitrió infractor.
  3. Notrap: rebutja els missatges de control del mode 6. Aquests missatges de control s'utilitzen per a programes de registre remot.
  4. Nomodify: impedeix consultes ntpq i ntpdc que modificarien la configuració del servidor, però encara es permeten consultes informatives.
  5. Noquery: aquesta opció impedeix que els amfitrions consultin informació al servidor. Per exemple, sense aquesta opció, els amfitrions poden utilitzar ntpdc o ntpq per determinar d'on rep el temps un servidor d'hora en particular o d'altres servidors de temps iguals amb els quals es pot comunicar.