Red Hat Summit19.9. ntpd 設定ファイルについて
ntpd デーモンは、システム起動時またはサービスの再起動時に設定ファイルを読み取ります。このファイルのデフォルトの位置は /etc/ntp.conf で、以下のコマンド入力して確認することができます。
~]$ less /etc/ntp.conf
~]$ less /etc/ntp.conf
設定コマンドについては、本章の後半 「NTP の設定」 で簡単に説明されており、詳しくは ntp.conf(5) man ページで説明されています。
ここでは、以下でデフォルトの設定ファイルを簡単に説明します。
- driftfile エントリー
drift ファイルへのパスが指定されていると、Red Hat Enterprise Linux のデフォルトエントリーは以下のようになります。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow driftfile /var/lib/ntp/drift
driftfile /var/lib/ntp/driftこれを変更する場合は、ディレクトリーが
ntpdで書き込み可能となっていることを確認してください。ファイルには、システムもしくはサービス起動時に毎回システムクロックの周波数を調整する値が含まれます。詳細情報は、誤差ファイルの概要 を参照してください。- アクセス制御エントリー
以下の行は、デフォルトのアクセス制御制限を設定します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow restrict default nomodify notrap nopeer noquery
restrict default nomodify notrap nopeer noquery-
nomodifyオプションは、設定に変更が加えられないようにします。 -
notrapオプションは、ntpdc制御メッセージプロトコルトラップを防ぎます。 -
nopeerオプションは、ピア関連付けが形成されないようにします。 noqueryオプションは、ntpqおよびntpdcクエリーへの応答を防ぎますが、タイムクエリーは除外されます。重要ntpqおよびntpdcクエリーは増幅攻撃に使用できます。そのため、アクセスを公開しているシステムでは、restrict defaultコマンドからnoqueryオプションの指定を外さないでください。詳細は、CVE-2013-5211 を参照してください。
127.0.0.0/8範囲内のアドレスは、種々のプロセスやアプリケーションが必要とすることがあります。上記の "restrict default" 行は明示的に許可されていないすべてのものへのアクセスを妨害するので、IPv4およびIPv6の標準ループバックアドレスへのアクセスは以下の行で許可されます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow the administrative functions.
# the administrative functions. restrict 127.0.0.1 restrict ::1別のアプリケーションで特に必要とされる場合は、アドレスはすぐ下に追加できます。
ローカルネットワーク上のホストは、上記の "restrict default" 行のために許可されません。これを変更して、たとえば
192.0.2.0/24ネットワークからのホストが時間および統計情報のみをクエリーできるようにするには、以下の形式の行が必要になります。Copy to Clipboard Copied! Toggle word wrap Toggle overflow restrict 192.0.2.0 mask 255.255.255.0 nomodify notrap nopeer
restrict 192.0.2.0 mask 255.255.255.0 nomodify notrap nopeer特定のホスト、たとえば
192.0.2.250/32からの無制限のアクセスを許可するには、以下の形式の行が必要になります。Copy to Clipboard Copied! Toggle word wrap Toggle overflow restrict 192.0.2.250
restrict 192.0.2.250指定がない場合は、
255.255.255.255のマスクが適用されます。制限コマンドは、
ntp_acc(5)man ページで説明されています。
-
- 公開サーバーエントリー
デフォルトでは、以下の 4 つの公開サーバーエントリーが
ntp.confファイルに格納されています。Copy to Clipboard Copied! Toggle word wrap Toggle overflow server 0.rhel.pool.ntp.org iburst server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburst
server 0.rhel.pool.ntp.org iburst server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburst- ブロードキャストマルチキャストサーバーエントリー
-
デフォルトでは、
ntp.confファイルにはコメントアウトされた例がいくつか含まれています。これらは見ればすぐにわかります。特定のコマンドの説明は、「NTP の設定」 を参照してください。必要に応じて、例のすぐ下にコマンドを追加します。
DHCP クライアントプログラムである dhclient は、DHCP サーバーから NTP サーバーのリストを受信すると、これに ntp.conf を追加してサービスを再起動します。この機能を無効にするには、PEERNTP=no を /etc/sysconfig/network に追加します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}