构建本地时间服务器

Question

我正试图在本地Ubuntu机器上安装一个时间服务器，以便我网络中的其他服务器能够与它同步。我们决定安装自己的时间服务器，而不是让每个服务器从外部服务器更新，以最小化安全风险。

• 有什么最好的服务器可以安装吗？
• 有什么已知的安全问题吗？
• 服务器应该从哪里更新？外面有值得信赖的时间服务器吗？

我将感谢任何帮助或参考链接！

谢谢,

Udi

Answer 1

我在建立NTP网络时使用的一些指南：

• 在您的网络上配置至少两台时间服务器是一个非常好的主意。将它们设置为对等节点(ntp.conf中的行"peer 址地址地址“)，并在可能的情况下给它们不同的外部NTP主机进行同步。
• 将客户端配置为使用所有时间服务器。如果一个人离开了，他们将仍然有很好的时间，不会失去同步在停机期间。
• 在对等服务器之间使用自动密钥或对称密钥密码。
• 在ntp.conf文件中设置适当的acl行，允许对等方相互交谈，但所有其他客户端只获取NTP信息，而没有控制数据。

第一点是在面对互联网中断时给你的网络弹性。当互联网连接中断时，您的对等服务器将在它们之间保持一个协商一致的时间，并且永远不会失去同步。这意味着你的客户不会失去同步。如果时间对你很重要，这是一件非常好的事情。

至于ACL选项，设置合理的默认值将有助于防止邪恶的发生：

restrict default ignore #deny access to general internet, just 'cause
restrict 192.168.0.0 255.255.0.0 nomodify nopeer # allow restricted access to internal
restrict 192.168.202.202 #allow TimeHost1 full access
restrict 192.168.202.203 #allow TimeHost2 full access
restrict 192.168.200.158 nopeer #allow the admin workstation to make changes

这将允许客户端使用ntpq这样的工具来诊断NTP问题，但不允许它更改任何内容。

至于自动密钥与对称密钥，这取决于您希望您的网络有多健壮。设置适当的ACL值应该可以抵抗邪恶，但这将提供一层额外的防范欺骗的保护。在这两种方法中，自动键更容易设置，但对称键更新，更健壮。

Answer 2

任何物理linux机器上的标准ntp (也可以是ntp-server或ntp-simple)包都是可以的。不要使用VM。

许多人会声称，当其他人知道您有什么时间时，就会有信息泄漏，而其他许多服务则会泄漏时间，而在发生任何问题时，当所有日志被同步时，您就会得到好处。默认的debian配置使远程用户除了时间同步之外什么都不做，这就足够了。

至于从pool.ntp.org更新什么是答案，如果可能的话，可以为您的国家使用适当的池。这也几乎总是linux的默认配置。

Answer 3

我推荐OpenNTPd (便携式)。

在他们的宣言中：

当前的NTP守护进程很复杂，很难配置和/或有可疑的许可证。正因为如此，只有有限数量的系统运行NTP，导致许多机器关闭数月甚至几年。我们的目标是通过提供一个安全且易于配置的免费简单实现，使NTP无处不在。

• 尽可能的安全。仔细编写代码，特别是在网络输入路径上进行严格的有效性检查，并使用有界缓冲区操作。使用权限分离来减轻可能的安全漏洞的影响。
• 提供一个精益的实现，足以满足大多数人的需要。不要试图支持每一种模糊的用例，而要涵盖典型的用例。
• 试着在后台“工作”。
• 只使用最低限度的配置。
• 达到合理的精度。我们不是在追求最后的微秒。