Chapitre 28. Aperçu de la sécurité temporelle du réseau (NTS) dans chrony
Network Time Security (NTS) est un mécanisme d'authentification pour le protocole NTP (Network Time Protocol), conçu pour s'adapter à un nombre important de clients. Il vérifie que les paquets reçus des machines serveurs ne sont pas altérés lorsqu'ils sont transmis à la machine cliente. Network Time Security (NTS) comprend un protocole d'établissement de clés (NTS-KE) qui crée automatiquement les clés de cryptage utilisées entre le serveur et ses clients.
28.1. Activation de la sécurité temporelle du réseau (NTS) dans le fichier de configuration du client
Par défaut, Network Time Security (NTS) n'est pas activé. Vous pouvez l'activer sur le site /etc/chrony.conf
. Pour ce faire, procédez comme suit :
Conditions préalables
- Serveur avec support NTS
Procédure
Dans le fichier de configuration du client :
Spécifiez le serveur avec l'option
nts
en plus de l'option recommandéeiburst
.For example: server time.example.com iburst nts server nts.netnod.se iburst nts server ptbtime1.ptb.de iburst nts
Pour éviter de répéter la session Network Time Security-Key Establishment (NTS-KE) lors du démarrage du système, ajoutez la ligne suivante à
chrony.conf
, si elle n'est pas présente :ntsdumpdir /var/lib/chrony
Pour désactiver la synchronisation avec les serveurs NTP (Network Time Protocol) fournis par
DHCP
, commentez ou supprimez la ligne suivante danschrony.conf
, si elle est présente :sourcedir /run/chrony-dhcp
- Enregistrez vos modifications.
Redémarrez le service
chronyd
:systemctl restart chronyd
Vérification
Vérifiez si les clés
NTS
ont été établies avec succès :# chronyc -N authdata Name/IP address Mode KeyID Type KLen Last Atmp NAK Cook CLen ================================================================ time.example.com NTS 1 15 256 33m 0 0 8 100 nts.sth1.ntp.se NTS 1 15 256 33m 0 0 8 100 nts.sth2.ntp.se NTS 1 15 256 33m 0 0 8 100
Les valeurs de
KeyID
,Type
etKLen
doivent être différentes de zéro. Si la valeur est nulle, vérifiez dans le journal du système s'il y a des messages d'erreur provenant dechronyd
.Vérifiez que le client effectue des mesures NTP :
# chronyc -N sources MS Name/IP address Stratum Poll Reach LastRx Last sample ========================================================= time.example.com 3 6 377 45 +355us[ +375us] +/- 11ms nts.sth1.ntp.se 1 6 377 44 +237us[ +237us] +/- 23ms nts.sth2.ntp.se 1 6 377 44 -170us[ -170us] +/- 22ms
La colonne
Reach
doit avoir une valeur non nulle, idéalement 377. Si la valeur atteint rarement ou jamais 377, cela indique que des requêtes ou des réponses NTP se perdent dans le réseau.
Ressources supplémentaires
-
chrony.conf(5)
page de manuel