Memo/Linux/ntp

http://dexlab.net/pukiwiki/index.php?Memo/Linux/ntp
 

ntp: 自動で時刻合わせ


インストール

  • ntpdを使う
    1. yum -y install ntp
    2.  
    3. perl -p -i -e 's#^(server \d+.centos.pool.ntp.org)$#\#$1#' "/etc/ntp.conf"
    4.  
    5. cat >> /etc/ntp.conf << EOS
    6. server ntp.nict.jp iburst
    7. server ntp.jst.mfeed.ad.jp iburst
    8. server ntp.ring.gr.jp iburst
    9.  
    10. # Blocking DDoS Attacks
    11. disable monitor
    12.  
    13. tinker panic 0 step 300
    14. EOS
    15.  
    16. # ずれ幅が大きい(1000秒以上)とntpが起動できないため手動合わせ
    17. ntpdate -u ntp.nict.jp
    18.  
    19. service ntpd restart
    20. chkconfig ntpd on
  • 同期の確認。「-pn」だとNTPサーバをIPアドレスで表示。DNS参照しないため早い
    1. ntpq -p
    2. *210.171.226.40  .NICT.           1 u   47 1024  377   11.246   -4.939   0.318
    3. +ntp2.jst.mfeed. 210.173.160.86   2 u    8 1024  377   12.333   -3.950   0.587
    4. +ring.ix.oita-u. 133.37.223.92    3 u   40 1024  377   41.665   -4.769   0.452
    5.  
    6.  ' '(reject)     距離が遠くて捨てられたサーバー
    7.  'x'(falsetick) falseticker検査で捨てられたサーバー
    8.  '.'(excess)     参照サーバーが多くて捨てられたサーバー
    9.  '-'(outlyer)    クラスタリング検査で捨てられたサーバー
    10.  '+'(candidat)   接続テストに合格し、いつでも参照可能なサーバー
    11.  '#'(selected)   同期距離が遠いが参照可能なサーバー
    12.  '*'(sys.peer)   同期中であると宣言されたサーバー
    13.  'o'(pps.peer)   同期中であると宣言されたサーバー(同期はPPS信号から間接的に行なう。)
  • 手動で同期(ntpdが起動している場合は-uオプションが必要)
    1. ntpdate -u ntp.nict.jp
    2. hwclock --systohc
  • ntpq -p で「localhost: timed out, nothing received」が出る場合。127.0.0.1を指定するか、/etc/hostsにIPv6の記述があるので、コメントアウトか削除
    1. ntpq -p 127.0.0.1
    2.  
    3. vim /etc/hosts
    4. ----
    5. #::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
    6. ----
  • cronを使う場合
    1. crontab -e
    2. ----
    3.  # Time Adjust 毎日2:43に時刻合わせ
    4.  43 2 * * * (/usr/sbin/ntpdate ntp.ring.gr.jp) > /dev/null 2>&1
    5.  
    6.  # CMOS Time Writting 1週間に一度ハードウェアクロックを更新
    7.  15 1 * * 7 (/sbin/hwclock --systohc) >/dev/null 2>&1
    8. ----
  • 4.2.7p26以下のmonlist機能がDDoS攻撃に利用される脆弱性があるので、ntp.confに「disable monitor」を追加した方が良い。NTPサービスを提供していない場合、123/UDPポートもiptables等で塞いでおく。
    • ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起
    • NTPベースのDDoS攻撃を理解する - ワザノバ | wazanova
      1. # バージョン確認
      2. ntpd --version
      3. ntpd - NTP daemon program - Ver. 4.2.4p8
      4.  
      5. # monlist機能が有効な場合
      6. ntpdc -c monlist localhost
      7.  
      8. remote address          port local address      count m ver code avgint  lstint
      9. ===============================================================================
      10. localhost              34254 ::1                    1 7 2      0      0       0
      11. ntp-a2.nict.go.jp        123 192.168.1.128          1 4 4    5d0      0       1
      12. ...
      13.  
      14. # monlist機能が無効な場合
      15. ntpdc -c monlist localhost
      16. ***Server reports data not found

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2016-08-02 (火) 02:42:48 (750d)