腾讯云CVM如何配置NTP

最近给腾讯云主机配置ntp时,特意查了一下官方文档,讲的比较粗略

https://cloud.tencent.com/document/product/213/30393

这样配是没有问题的,但安全性却大打折扣,因为在外网的其他服务器是可以向你的主机查询时间的,也就是对于UDP/123端口的访问控制做的不够细化。(可用ntpdate -q 云主机ip这条命令测试,是能获取到时间的)

实现访问控制,第一个想到的是iptables,但上一级的ntp服务器的ip地址可能变换。最佳的方式应是修改/etc/ntp.conf文件。

加入以下行,允许本机不受限制地访问自身的ntpd(从而你能够监控ntpd,以及用ntpdc快速地做配置变动):

IPv4: restrict 127.0.0.1

IPv6: restrict -6 ::1

先注销掉centos自带的server行

Vi /etc/ntp.conf,

#server 0.centos.pool.ntp.org iburst

#server 1.centos.pool.ntp.org iburst

#server 2.centos.pool.ntp.org iburst

#server 3.centos.pool.ntp.org iburst

然后查找上级时钟服务器的IP地址(ntpupdate.tencentyun.com和 time.edu.cn)

#host ntpupdate.tencentyun.com

ntpupdate.tencentyun.com has address 169.254.0.2

#host time.edu.cn

time.edu.cn has address 202.112.0.38

time.edu.cn has address 202.112.10.36

time.edu.cn has address 202.112.10.37

time.edu.cn has address 202.112.0.7

vi /etc/ntp.conf

加入以下行:

server ntpupdate.tencentyun.com

restrict    169.254.0.2

server time.edu.cn

restrict    202.112.0.38    nomodify notrap nopeer noquery

server time.edu.cn

restrict    202.112.10.36    nomodify notrap nopeer noquery

server time.edu.cn

restrict    202.112.10.37    nomodify notrap nopeer noquery

server time.edu.cn

restrict    202.112.0.7    nomodify notrap nopeer noquery

修改完毕再service ntpd restart

之后外网的主机再ntpdate -q <X.X.X.X>就获取不到你的服务器时间了

【参考链接】

http://support.ntp.org/bin/view/Support/AccessRestrictions#Section_6.5.1.1.

以下是简要的翻译。

对于每个上级的时钟服务器,都加入以下两行(中括号内是可选的选项,按实际需要来)

(若为IPV4地址)

server x.y.z.w

restrict x.y.z.w [nomodify notrap nopeer noquery]

(若为IPV6地址)

server -6 v:u:t:s::

restrict -6 v:u:t:s:: [nomodify notrap nopeer noquery]

你可以在server行用主机名或ip地址,但在restrict行必须用ip地址。加上restrict行后面中括号里的选项无伤大雅,要知道是你在用人家的ntp服务,他们管你要一点信息不过分吧。

也可以加入以下行,允许特定IP的主机无限制地向你的服务器要时间

IPv4: restrict 192.168.1.10

以下行的作用是允许某个网段的机器来管你要时间以及查询你的服务器统计数据:

IPv4: restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap nopeer

IPv6: restrict 2001:838:0:1:: mask ffff:ffff:ffff:ffff:: nomodify notrap nopeer

发表评论

您的电子邮箱地址不会被公开。