ローカルタイムサーバーの構築

NTPネットワークを設定するときに使用するガイド：

• ネットワーク上に少なくとも2つのタイムサーバーを構成することをお勧めします。それらをピアとして設定し（ntp.confの「peer [ipaddress]」行）、可能であれば、同期元となる異なる外部NTPホストを指定します。
• すべてのタイムサーバーを使用するようにクライアントを構成します。 1つがなくなった場合でも、彼らはまだ楽しい時間を過ごし、1つが停止している間に同期が外れることはありません。
• ピアサーバー間で自動鍵または対称鍵暗号のいずれかを使用します。
• Ntp.confファイルに適切なacl行を設定して、ピアが相互に通信できるようにしますが、他のすべてのクライアントはNTP情報のみを取得し、制御データは取得しません。

最初のポイントは、インターネットの停止に直面してもネットワークに回復力を与えることです。インターネット接続が切断されると、ピアサーバーは相互に合意した時間を維持し、同期が外れることはありません。つまり、クライアントが同期しなくなることはありません。時間が重要な場合、これは非常に良いことです。

ACLオプションに関しては、適切なデフォルトを設定すると、悪の発生を防ぐのに役立ちます。

restrict default ignore #deny access to general internet, just 'cause
restrict 192.168.0.0 255.255.0.0 nomodify nopeer # allow restricted access to internal
restrict 192.168.202.202 #allow TimeHost1 full access
restrict 192.168.202.203 #allow TimeHost2 full access
restrict 192.168.200.158 nopeer #allow the admin workstation to make changes

これにより、クライアントはntpqなどのツールを使用してNTPの問題を診断できますが、何も変更することはできません。

自動鍵と対称鍵については、ネットワークの堅牢性によって異なります。適切なACL値を設定すると、悪に対する抵抗力が得られますが、これにより、なりすましに対する保護層が追加されます。 2つのうち、自動キーの設定は簡単ですが、対称はより新しく、より堅牢です。