28.2. Activation de la sécurité temporelle du réseau (NTS) sur le serveur
Si vous utilisez votre propre serveur NTP (Network Time Protocol), vous pouvez activer le support NTS (Network Time Security) du serveur pour permettre à ses clients de se synchroniser en toute sécurité.
Si le serveur NTP est un client d'autres serveurs, c'est-à-dire s'il n'est pas un serveur de strate 1, il doit utiliser NTS ou une clé symétrique pour sa synchronisation.
Conditions préalables
-
Clé privée du serveur au format
PEM
-
Certificat du serveur avec les certificats intermédiaires requis au format
PEM
Procédure
Indiquez la clé privée et le fichier de certificat dans le champ
chrony.conf
For example: ntsserverkey /etc/pki/tls/private/foo.example.net.key ntsservercert /etc/pki/tls/certs/foo.example.net.crt
Assurez-vous que les fichiers de clés et de certificats sont lisibles par l'utilisateur du système chrony, en définissant la propriété du groupe.
For example: chown :chrony /etc/pki/tls/*/foo.example.net.*
-
Assurez-vous que la directive
ntsdumpdir /var/lib/chrony
est présente dans le fichierchrony.conf
. Redémarrez le service
chronyd
:systemctl restart chronyd
ImportantSi le serveur est équipé d'un pare-feu, il doit autoriser les ports
UDP 123
etTCP 4460
pour NTP et Network Time Security-Key Establishment (NTS-KE).
Vérification
Effectuez un test rapide à partir d'une machine cliente à l'aide de la commande suivante :
$ chronyd -Q -t 3 'server foo.example.net iburst nts maxsamples 1' 2021-09-15T13:45:26Z chronyd version 4.1 starting (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +SCFILTER +SIGND +ASYNCDNS +NTS +SECHASH +IPV6 +DEBUG) 2021-09-15T13:45:26Z Disabled control of system clock 2021-09-15T13:45:28Z System clock wrong by 0.002205 seconds (ignored) 2021-09-15T13:45:28Z chronyd exiting
Le message
System clock wrong
indique que le serveur NTP accepte les connexions NTS-KE et répond avec des messages NTP protégés par NTS.Vérifiez les connexions NTS-KE et les paquets NTP authentifiés observés sur le serveur :
# chronyc serverstats NTP packets received : 7 NTP packets dropped : 0 Command packets received : 22 Command packets dropped : 0 Client log records dropped : 0 NTS-KE connections accepted: 1 NTS-KE connections dropped : 0 Authenticated NTP packets: 7
Si la valeur des champs
NTS-KE connections accepted
etAuthenticated NTP packets
est différente de zéro, cela signifie qu'au moins un client a pu se connecter au port NTS-KE et envoyer une requête NTP authentifiée.