26.6. Configuration de l'accès à la surveillance à distance
chronyc peut accéder à chronyd
de deux manières :
- Protocole Internet, IPv4 ou IPv6.
-
Socket de domaine Unix, accessible localement par l'utilisateur
root
ouchrony
.
Par défaut, chronyc se connecte au socket du domaine Unix. Le chemin par défaut est /var/run/chrony/chronyd.sock
. Si cette connexion échoue, ce qui peut se produire par exemple lorsque chronyc s'exécute sous un utilisateur non root, chronyc essaie de se connecter à 127.0.0.1 puis à ::1.
Seules les commandes de surveillance suivantes, qui n'affectent pas le comportement de chronyd
, sont autorisées à partir du réseau :
- activité
- liste des manuels
- rtcdata
- lissage
- sources
- statistiques sur les sources d'approvisionnement
- suivi
- waitsync
L'ensemble des hôtes à partir desquels chronyd
accepte ces commandes peut être configuré avec la directive cmdallow
dans le fichier de configuration de chronyd
, ou avec la commande cmdallow
dans le fichier de configuration de chronyc. Par défaut, les commandes ne sont acceptées qu'à partir de localhost (127.0.0.1 ou ::1).
Toutes les autres commandes ne sont autorisées qu'à travers le socket du domaine Unix. Lorsqu'elle est envoyée sur le réseau, chronyd
répond par une erreur Not authorised
, même si elle provient de localhost.
La procédure suivante décrit comment accéder à chronyd à distance à l'aide de la commande chronyc.
Procédure
Autorisez l'accès à partir d'adresses IPv4 et IPv6 en ajoutant ce qui suit au fichier
/etc/chrony.conf
:bindcmdaddress 0.0.0.0
ou
bindcmdaddress : :
Autoriser les commandes provenant d'une adresse IP, d'un réseau ou d'un sous-réseau distant en utilisant la directive
cmdallow
.Ajoutez le contenu suivant au fichier
/etc/chrony.conf
:cmdallow 192.168.1.0/24
Ouvrez le port 323 dans le pare-feu pour vous connecter à partir d'un système distant :
# firewall-cmd --zone=public --add-port=323/udp
En option, vous pouvez ouvrir le port 323 de manière permanente à l'aide de l'option
--permanent
:# firewall-cmd --permanent --zone=public --add-port=323/udp
Si vous avez ouvert le port 323 de manière permanente, rechargez la configuration du pare-feu :
firewall-cmd --reload
Ressources supplémentaires
-
chrony.conf(5)
page de manuel