linux – ntp.conf:依赖于在CentOS中公开的默认服务器列表是否
|
每次我设置一个新的
Linux主机(CentOS,最近),特别是当这样的主机在我们的小型数据中心(大约100个主机)中有一些角色时,我会注意:
>安装ntp包; >对于我们或多或少的官方意大利语ntp服务器(time.ien.it),如果系统具有出站ntp访问权限; >启用ntp服务,以便正确处理重启 因此,对于具有Internet访问权限的系统,ntp.conf中配置的服务器列表如下: server time.ien.it iburst server 0.centos.pool.ntp.org iburst server 1.centos.pool.ntp.org iburst server 2.centos.pool.ntp.org iburst server 3.centos.pool.ntp.org iburst 在调查完全不同的问题时,我发现上面的配置会产生流量到我完全不知道的远程主机. 这是一个tcpdump捕获的片段,在我们的drbd-store-02-ch主机的出站接口上进行: 在哪里可以看到: >来自/到我正确期望的主机的流量(“黄色”流量); > 1.ntp.tld.sk 在调查过程中,它出现在那里还有其他主机,不包括在上面的列表中.我甚至发现主机的反向主机名清楚地指向了一些大的ISP,指的是VPS和类似的东西. 所以我的问题是: >我应该删除默认服务器列表并仅依赖于我的“受信任”time.ien.it外部ntp服务器主机吗? P.S.:作为附注,我完全了解DNS解析过程,因此问题不是“为什么”我正在联系这些服务器.问题是:“它安全吗?” 解决方法
简短版本:它可能是安全的.
版本较长:您看到的行为完全正常且预期. NTP pool是一个动态池,每次DNS TTL到期时都可能会更改. 池中的每个主机都由NTP池基础结构监视,如果它报告的时间距离可接受的距离太远,则会从池中删除它.您可以在http://www.pool.ntp.org/scores/IP查看每个主机的监控记录(其中IP是服务器的IP地址).例如当我在我的机器上查找0.centos.pool.ntp.org时,我得到这些地址: > 74.120.8.2 假设您的时间同步要求是平均的(根据与实际时间的偏移量),通常的最佳做法是在您自己的网络中设置4-6个服务器,这些服务器与池中的4-6个服务器同步,并将您的内部主机指向那些本地服务器.我在今年的Linux.conf.au sysadmin miniconf(页面上的最后一次谈话)中更详细地讨论了这个问题. 编辑:请注意,某些池服务器也是TOR中继或退出节点.这有时会使NTP池用户遇到过于热心的IDS / IPS甚至他们的ISP.有关最近的示例,请参见https://twitter.com/_lennart/status/861714732709031936. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |