CentOS，Chrony和AWS端口

Question

我想知道如何正确配置AWS安全性，以便让时间同步CentOS 7实例上的系统时间。

我运行的是CentOS 7的早期版本，它使用的是rony1.29.1，它适用于以下设置。

实例安全组:端口123上的传出UDP

网络ACL:端口123上的传入UDP，端口123上的传出UDP。

但是，当运行yum或使用最新的CentOS 7发行版启动一个新实例(其中包括rony2.1.1)时，我只能让它与下面的配置同步。

实例安全组:端口123上的传出UDP

网络ACL:在所有端口上输入UDP，在端口123上发送UDP。

这里发生了什么事？我现在真的需要允许网络ACL的所有端口上输入UDP吗？这安全吗？我将假设是的，因为我的安全组不允许传入UDP通信，除非它以前建立了一个传出连接，对吗？

谢谢。

Answer 1

不，因为可以配置获取端口。

即使软件不允许这样的方便，防火墙也不允许流的返回流量，您仍然可以只打开一个短暂的端口范围并关闭众所周知的服务。

Answer 2

这是一篇很旧的文章，但我在这里提供了日期信息。

自2017年11月以来，亚马逊推出了“亚马逊时间同步服务”。

对于运行在VPC中的任何实例，可以通过NTP在169.254.169.123 IP地址上使用Amazon服务。您的实例不需要访问internet，也不必配置您的安全组规则或网络ACL规则来允许访问。

因此，如果您的实例在VPC中运行，您不需要配置ACL和Security组来访问NTP服务器，只需使用169.254.169.123 IP作为NTP服务器。

有关如何配置使用的NTP客户端(Chrony)的更多详细信息，可以找到这里。