CentOS7インスタンスでchronyがシステム時刻を同期できるようにAWSセキュリティを適切に構成する方法を知りたいです。
Chrony1.29.1を使用した以前のバージョンのCentOS7を実行していましたが、以下の設定で動作しました。
インスタンスセキュリティグループ:ポート123で送信UDP
ネットワークACL:ポート123で着信UDP、ポート123で発信UDP。
ただし、yum updateを実行する場合、またはchrony2.1.1を含む最新のCentOS7リリースで新しいインスタンスを起動する場合、以下の構成とのみ同期させることができます。
インスタンスセキュリティグループ:ポート123で送信UDP
ネットワークACL:すべてのポートでの着信UDP、およびポート123での発信UDP。
何が起きてる?ネットワークACLのすべてのポートで着信UDPを許可する必要がありますか?これは安全ですか?私のセキュリティグループは、以前に発信接続を確立していない限り、着信UDPトラフィックを許可しないため、「はい」と想定します。
ありがとう。
いいえ、 acquisitionport を構成できるためです。
ソフトウェアがそのような利便性を許可せず、ファイアウォールがフローのリターントラフィックを許可しなかった場合でも、 エフェメラルポート範囲のみを開く で、既知のサービスを閉じたままにすることができます。
そのかなり古い投稿ですが、私はここに最新の情報を載せました。
2017年11月以降、Amazonは 'Amazon Time Sync Service' を導入しました。
Amazon Time Sync Serviceは、VPCで実行されているインスタンスの169.254.169.123IPアドレスのNTP)から利用できます。インスタンスはインターネットにアクセスする必要がなく、設定する必要もありません。アクセスを許可するためのセキュリティグループルールまたはネットワークACLルール。
したがって、インスタンスがVPC内で実行されている場合、NTPサーバーにアクセスするためにACLとセキュリティグループを設定する必要はありません。169.254.169.123IPをNTP =サーバー。
Amazon Time SyncServiceを使用するNTP client(chrony)の設定方法の詳細については、 ここ を参照してください。