22.16. NTP の設定
NTP サービスのデフォルト設定を変更するには、root でテキストエディターを使用して /etc/ntp.conf ファイルを編集します。このファイルは ntpd とともにインストールされ、Red Hat プールからのタイムサーバーを使用するデフォルト設定になっています。ntp.conf(5) の man ページでは、アクセスおよびレート制限コマンドとは別に、設定ファイルで使用可能なコマンドオプションが説明されています。アクセスおよびレート制限コマンドは、ntp_acc(5) man ページで説明されています。
22.16.1. NTP サービスへのアクセス制御の設定
システムで実行している
NTP サービスへのアクセスを制限または制御するには、ntp.conf ファイルの restrict コマンドを利用します。コメントアウトされた例は以下のとおりです。
# Hosts on local network are less restricted. #restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
restrict コマンドは以下の形式になります。
restrict address mask option
ここでの address と mask は、制限を適用する IP アドレスを指定します。オプション は以下のいずれかになります。
ignore:ntpqおよびntpdcクエリーを含むすべてのパケットは無視されます。KoD: 「Kiss-o'-death」 パケットが送信され、不要なクエリーが少なくなります。limited: パケットがレート制限のデフォルト値または discard コマンドで指定された値に違反する場合、タイムサービス要求に応答しません。ntpqおよびntpdcクエリーは影響を受けません。discard コマンドおよびデフォルト値に関する詳細情報は、「NTP サービスへのレート制限アクセスの設定」 を参照してください。lowpriotrap: 一致するホストがトラップを低い優先度に設定します。nomodify: 設定に変更を加えられないようにします。noquery:ntpqおよびntpdcクエリーに応答しないようにしますが、タイムクエリーは除外されます。nopeer: ピア関連付けが形成されないようにします。noserve:ntpqおよびntpdcクエリー以外のパケットをすべて拒否します。notrap:ntpdc制御メッセージプロトコルトラップを防ぎます。notrust: 暗号法で認証されないパケットを拒否します。ntpport: 発信元ポートが標準のNTPUDPポート123の場合、一致アルゴリズムが制限のみを適用するように修正します。version: 現在のNTPバージョンに一致しないパケットを拒否します。
レート制限アクセスがクエリーに対してまったく応答しないように設定するには、各 restrict コマンドに
limited オプションを指定する必要があります。ntpd が KoD パケットで応答する必要がある場合は、restrict コマンドに limited オプションと kod オプションの両方が必要です。
ntpq および ntpdc クエリーは増幅攻撃に使用できます(詳細は 『CVE-2013-5211』 を参照してください)。アクセスを公開しているシステムでは、restrict default コマンドから noquery オプションを削除しないでください。
