ntp 옵션 "기본 nopeer 제한"의 기능은 무엇입니까?

tag-icon tag-icon ntp ntpd
ntp 옵션 "기본 nopeer 제한"의 기능은 무엇입니까?

설치된 NTP 버전: ntp-4.2.6p5-5

나는 ntp restrictwith의 사용법과 의미를 이해하려고 노력하고 있습니다.restrict default nopeer

인용하다NTP 문서:

nopeer: 인증되지 않은 연결을 동원할 수 있는 패킷을 거부합니다. 여기에는 구성된 연결이 존재하지 않는 경우 브로드캐스트, 대칭 활성 및 멀티캐스트 서버 패킷이 포함됩니다. 여기에는 풀 선호도도 포함되어 있으므로 pool 지시문에서 서버를 사용하고 기본적으로 nopeer도 사용하려는 경우 nopeer 지시문을 포함하지 않는 "limit source..." 줄도 필요합니다. 이 플래그는 연결을 동원하려고 시도하지 않는 패킷에는 적용되지 않습니다.

이는 를 사용할 때 restrict default nopeer인증 없이 피어를 연결할 수 없음을 의미합니까? (열쇠를 사용하지 않고)?

다음 시나리오를 고려해보세요.

서버 구성: ip-10.12.12.12

[root@sdp_1 ~]# cat /etc/ntp.conf

server 10.12.10.53
    #restrict default kod nomodify nopeer noquery notrap
    #restrict -6 default kod nomodify nopeer noquery notrap
    #restrict 127.0.0.1
    #restrict -6 ::1
    restrict default nopeer
    keys /etc/ntp/keys

피어 구성: ip-10.12.12.11

[root@sdp_2 ~]# cat /etc/ntp.conf

#server 10.12.10.53
#restrict default kod nomodify nopeer noquery notrap
#restrict -6 default kod nomodify nopeer noquery notrap
#restrict 127.0.0.1  
#restrict -6 ::1
restrict default nopeer
peer 10.12.12.12 minpoll 4
keys /etc/ntp/keys

아래와 같이 2011년 12월 10일에도 PEER 연결을 볼 수 있습니다.

ntpq> associations

ind assid status  conf reach auth condition  last_event cnt
===========================================================
  1 48387  961a   yes   yes  none  sys.peer    sys_peer  1
ntpq>

[root@sdp_2 ~]# ntpq -np
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*10.12.12.12    10.12.10.53     5 u   13   16  377    0.211    8.953   0.842

내 가정이 맞나요?

답변1

10.12.12.11 시스템에서 다음 구성을 사용했습니다.

peer 10.12.12.12 minpoll 4

이는 양방향 NTP 관계를 설정하려고 시도합니다. 즉, 10.12.12.11은 10.12.12.12를 시간 소스로 사용하지만 10.12.12.11이 10.12.12.12에게 "이봐, 나를 서버로 사용할 수 있는 경우 원하다".

그렇지 않은 경우 restrict default nopeer두 시스템 모두 한동안 NTP를 실행한 후에는 ntpq -np10.12.12.12 목록에 10.12.12.11이 원격 NTP 소스로 표시됩니다. 10.12.12.11에는 NTP 소스로 10.12.12.12만 있으므로 10.12.12.12는 더 나은 계층 값으로 인해 여전히 10.12.10.53을 선호하지만 10.12.10.53에 대한 연결이 끊어지면 10.12.12.12 및 10.12.12.11 모두 타이밍 오류를 최소화하려면 서로 교차 확인하세요. (또는 10.12.12.11이 악의적인 경우 이 양방향 관계를 이용하여 10.12.12.12의 시계가 실제 시간에서 점점 더 멀어지게 만들 수 있습니다.)

on 10.12.12.12는 restrict default nopeer성공적으로 인증되지 않은 경우(또는 10.12.12.12에 명시적으로 나열되지 않은 경우) 양방향 NTP 관계를 제공하는 NTP 서버를 신뢰하지 않도록 지시하므로 ntp.conf단방향 클라이언트-서버 관계가 됩니다. 따라서 10.12.12.11은 여전히 ​​10.12.12.12에서 시간을 가져오지만 10.12.12.12가 10.12.10.53에 대한 연결이 끊어지면 10.12.12.11과 교차 확인하지 않고 10.12에 연결될 때까지 자체 타이밍에 의존합니다. 10.53이 복원되었습니다.

답변2

다음은 man ntp_aac의 내용입니다.

기본 항목은 구성되지 않은 경우에도 항상 존재합니다. 기본 항목과 연관된 플래그가 없습니다(즉, 자체 NTP 서버를 제외한 모든 것이 제한되지 않습니다).

ntp conf의 논리로 인해 restrict실제로는 이 데몬의 \trap\peer\query 항목에 대한 수정이 허용되지 않음을 의미합니다 permit. restrict default nomodify notrap nopeer noquery이 문장은 생략되었지만 여전히 작동합니다.

관련 정보