web-dev-qa-db-ja.com

ntpクライアントのリッスンをブロックする

私は ntpクライアントとサーバーを構築して構成する を試みており、クライアントのntp.confでこの行を使用しました。

restrict default ignore

それでも、クライアントがローカルネットワークインターフェイスでリッスンしていることがわかります。システムログから:

Listening on interface #0 wildcard, 0.0.0.0#123 Disabled
Listening on interface #1 wildcard, ::#123 Disabled
Listening on interface #2 vmnet8, fe80::250:56ff:fec0:8#123 Enabled
Listening on interface #3 lo, ::1#123 Enabled
Listening on interface #4 eth0, fe80::222:68ff:fe10:1529#123 Enabled
Listening on interface #5 vmnet1, fe80::250:56ff:fec0:1#123 Enabled
Listening on interface #6 lo, 127.0.0.1#123 Enabled
Listening on interface #7 eth0, 192.168.111.183#123 Enabled
Listening on interface #8 vmnet1, 172.16.139.1#123 Enabled

0-1は無効になっています。これは良いことです。

nmap -sUS -O 127.0.0.1を使用して開いているポートのリスト:

Starting Nmap 4.53 ( http://insecure.org ) at 2009-08-03 12:25 IDT
Interesting ports on localhost (127.0.0.1):
Not shown: 3195 closed ports
PORT     STATE         SERVICE
22/tcp   open          ssh
631/tcp  open          ipp
902/tcp  open          iss-realsecure-sensor
5432/tcp open          postgres
68/udp   open|filtered dhcpc
123/udp  open|filtered ntp
5353/udp open|filtered zeroconf
Device type: general purpose
Running: Linux 2.6.X

ご覧のとおり、ntpはポート123でリッスンしています。なぜですか?

何か案は?

ウディ

3
Adam Matan

答えは、使用されているプロトコルのタイプのようです。NTPはコネクションレス型のUDPプロトコルを使用しているため、要求に続いてサーバーから時間を受信するには、開いているポートが必要です。

NTPはセキュリティの評判が非常に良いので、そのポートを開いたままにしておく必要があると思います。

7
Adam Matan

しかし、実際には同期しようとしていますか? 'man ntp.conf'の私のコピーは、自己同期の問題を防ぐためにデフォルトのエントリが自動的に追加されることを示唆しています(これはあなたが心配していると思います;そうでない場合は、あなたの質問が何であるかを明確にすることができます):

ローカルホストのインターフェイスアドレスごとに、フラグignore、interface、ntpportが設定されたデフォルトの制限リストエントリが起動時にテーブルに挿入され、サーバーが自身の時刻に同期しようとするのを防ぎます。デフォルトのエントリも常に存在しますが、それ以外の場合は構成されていません。デフォルトのエントリにフラグは関連付けられていません(つまり、独自のNTPサーバーは制限されていません)以外はすべてです)。

(ntpd 4.2.4p7)

2
genehack

私が思い出したことから、それはサーバーラインです。

このFreeBSDの記事サーバーへのアクセスの制御セクションを読んでください。

すべてのマシンがNTPサーバーにアクセスすることを拒否する場合は、[その行をサーバーに]を追加します


これらの Basic NTP configuration TLDP-SAGページのメモで再確認することをお勧めします。

1
nik