19.9. ntpd 設定ファイルについて
ntpd
デーモンは、システム起動時またはサービスの再起動時に設定ファイルを読み取ります。このファイルのデフォルトの位置は /etc/ntp.conf
で、以下のコマンド入力して確認することができます。
~]$ less /etc/ntp.conf
設定コマンドについては、本章の後半 「NTP の設定」 で簡単に説明されており、詳しくは ntp.conf(5)
man ページで説明されています。
ここでは、以下でデフォルトの設定ファイルを簡単に説明します。
- driftfile エントリー
drift ファイルへのパスが指定されていると、Red Hat Enterprise Linux のデフォルトエントリーは以下のようになります。
driftfile /var/lib/ntp/drift
これを変更する場合は、ディレクトリーが
ntpd
で書き込み可能となっていることを確認してください。ファイルには、システムもしくはサービス起動時に毎回システムクロックの周波数を調整する値が含まれます。詳細情報は、誤差ファイルの概要 を参照してください。- アクセス制御エントリー
以下の行は、デフォルトのアクセス制御制限を設定します。
restrict default nomodify notrap nopeer noquery
-
nomodify
オプションは、設定に変更が加えられないようにします。 -
notrap
オプションは、ntpdc
制御メッセージプロトコルトラップを防ぎます。 -
nopeer
オプションは、ピア関連付けが形成されないようにします。 noquery
オプションは、ntpq
およびntpdc
クエリーへの応答を防ぎますが、タイムクエリーは除外されます。重要ntpq
およびntpdc
クエリーは増幅攻撃に使用できます。そのため、アクセスを公開しているシステムでは、restrict default
コマンドからnoquery
オプションの指定を外さないでください。詳細は、CVE-2013-5211 を参照してください。
127.0.0.0/8
範囲内のアドレスは、種々のプロセスやアプリケーションが必要とすることがあります。上記の "restrict default" 行は明示的に許可されていないすべてのものへのアクセスを妨害するので、IPv4
およびIPv6
の標準ループバックアドレスへのアクセスは以下の行で許可されます。# the administrative functions. restrict 127.0.0.1 restrict ::1
別のアプリケーションで特に必要とされる場合は、アドレスはすぐ下に追加できます。
ローカルネットワーク上のホストは、上記の "restrict default" 行のために許可されません。これを変更して、たとえば
192.0.2.0/24
ネットワークからのホストが時間および統計情報のみをクエリーできるようにするには、以下の形式の行が必要になります。restrict 192.0.2.0 mask 255.255.255.0 nomodify notrap nopeer
特定のホスト、たとえば
192.0.2.250/32
からの無制限のアクセスを許可するには、以下の形式の行が必要になります。restrict 192.0.2.250
指定がない場合は、
255.255.255.255
のマスクが適用されます。制限コマンドは、
ntp_acc(5)
man ページで説明されています。
-
- 公開サーバーエントリー
デフォルトでは、以下の 4 つの公開サーバーエントリーが
ntp.conf
ファイルに格納されています。server 0.rhel.pool.ntp.org iburst server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburst
- ブロードキャストマルチキャストサーバーエントリー
-
デフォルトでは、
ntp.conf
ファイルにはコメントアウトされた例がいくつか含まれています。これらは見ればすぐにわかります。特定のコマンドの説明は、「NTP の設定」 を参照してください。必要に応じて、例のすぐ下にコマンドを追加します。
DHCP
クライアントプログラムである dhclient は、DHCP
サーバーから NTP
サーバーのリストを受信すると、これに ntp.conf
を追加してサービスを再起動します。この機能を無効にするには、PEERNTP=no
を /etc/sysconfig/network
に追加します。