web-dev-qa-db-ja.com

ntpdがローカルクロックを同期するために外部インターフェイスをバインドする必要があるのはなぜですか?

セキュリティを強化したかったので、本当に必要のないポートは開かないようにしました。他の人が使用できるようにntpサーバーを実行するつもりはありません。ローカルクロックの同期を維持するためにntpデーモンを実行するだけなので、次の2行を/etc/ntp.confに追加しました。

interface ignore wildcard
interface listen lo

しかし、その後、次のように、ntpdはサーバーに到達できないようです。

# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 secondary.cleve .INIT.          16 -    -   64    0    0.000    0.000   0.000
 time.videxio.ne .INIT.          16 -    -   64    0    0.000    0.000   0.000
 ns0.luns.net.uk .INIT.          16 -    -   64    0    0.000    0.000   0.000
 rigel.retrosnub .INIT.          16 -    -   64    0    0.000    0.000   0.000
 europium.canoni .INIT.          16 -    -   64    0    0.000    0.000   0.000

構成により、nptdは他のサーバーに接続する場合でも、これらのインターフェイスをまったく使用しないようになっているようです。

Ntpdは、クロックを同期できるようにするために外部インターフェイスをリッスンする必要がありますか?

2
pupeno

私が知る限り、無視はアドレス/ポートを開かないことを意味し、ドロップは開くことを意味しますが、すべてのトラフィックを無視します(まだそれらを使用できる可能性があります)。そうそう、それはインターフェースをバインドする必要があるようです。

参照: http://www.eecis.udel.edu/~mills/ntp/html/miscopt.html#interface

2
NickW

背後にいる場合でも「ファイアウォールセーフなし」の設定をプッシュするのが好きなので、パッケージがインターフェイスバインディングの制御を提供しないとイライラします。 (oldhttp://www.openntpd.org/ には少なくとも1つの選択肢があります。 「クラシック」ntpdの場合、 http://support.ntp.org/bin/view/Support/AccessRestrictions 推奨事項の短い迷路があり、お気に入りのクエリ(たとえば、別のntpdateからのntpdate)を使用してテストできます。ホスト、Nagiosプラグインスイートのcheck_ntpなど)。

0
astrostl