web-dev-qa-db-ja.com

CentOS、Chrony、およびAWSポート

CentOS7インスタンスでchronyがシステム時刻を同期できるようにAWSセキュリティを適切に構成する方法を知りたいです。

Chrony1.29.1を使用した以前のバージョンのCentOS7を実行していましたが、以下の設定で動作しました。

インスタンスセキュリティグループ:ポート123で送信UDP

ネットワークACL:ポート123で着信UDP、ポート123で発信UDP。

ただし、yum updateを実行する場合、またはchrony2.1.1を含む最新のCentOS7リリースで新しいインスタンスを起動する場合、以下の構成とのみ同期させることができます。

インスタンスセキュリティグループ:ポート123で送信UDP

ネットワークACL:すべてのポートでの着信UDP、およびポート123での発信UDP。

何が起きてる?ネットワークACLのすべてのポートで着信UDPを許可する必要がありますか?これは安全ですか?私のセキュリティグループは、以前に発信接続を確立していない限り、着信UDPトラフィックを許可しないため、「はい」と想定します。

ありがとう。

1
Guest901238

いいえ、 acquisitionport を構成できるためです。

ソフトウェアがそのような利便性を許可せず、ファイアウォールがフローのリターントラフィックを許可しなかった場合でも、 エフェメラルポート範囲のみを開く で、既知のサービスを閉じたままにすることができます。

2
John Mahowald

そのかなり古い投稿ですが、私はここに最新の情報を載せました。

2017年11月以降、Amazonは 'Amazon Time Sync Service' を導入しました。

Amazon Time Sync Serviceは、VPCで実行されているインスタンスの169.254.169.123IPアドレスのNTP)から利用できます。インスタンスはインターネットにアクセスする必要がなく、設定する必要もありません。アクセスを許可するためのセキュリティグループルールまたはネットワークACLルール。

したがって、インスタンスがVPC内で実行されている場合、NTPサーバーにアクセスするためにACLとセキュリティグループを設定する必要はありません。169.254.169.123IPをNTP =サーバー。

Amazon Time SyncServiceを使用するNTP client(chrony)の設定方法の詳細については、 ここ を参照してください。

0
Dmytro