4.2. 시간 서버에서 NTS(Network Time Security) 활성화
자체 NTP(Network Time Protocol) 서버를 실행하는 경우 서버 NTS(Network Time Security) 지원을 활성화하여 클라이언트가 안전하게 동기화하도록 할 수 있습니다.
NTP 서버가 다른 서버의 클라이언트인 경우 동기화에 대해 NTS 또는 대칭 키를 사용해야 합니다.
사전 요구 사항
-
PEM
형식의 서버 개인 키 -
PEM
형식의 필수 중간 인증서가 있는 서버 인증서
프로세스
/etc/chrony.conf
파일을 편집하고 다음과 같이 변경합니다.ntsserverkey /etc/pki/tls/private/<ntp-server.example.net>.key ntsservercert /etc/pki/tls/certs/<ntp-server.example.net>.crt
ntsserverkey /etc/pki/tls/private/<ntp-server.example.net>.key ntsservercert /etc/pki/tls/certs/<ntp-server.example.net>.crt
Copy to Clipboard Copied! Toggle word wrap Toggle overflow chrony 사용자가 파일을 읽을 수 있도록 개인 키와 인증서 파일에 대한 권한을 설정합니다. 예를 들면
chown root:chrony /etc/pki/tls/private/<ntp-server.example.net>.key /etc/pki/tls/certs/<ntp-server.example.net>.crt chmod 644 /etc/pki/tls/private/<ntp-server.example.net>.key /etc/pki/tls/certs/<ntp-server.example.net>.crt
# chown root:chrony /etc/pki/tls/private/<ntp-server.example.net>.key /etc/pki/tls/certs/<ntp-server.example.net>.crt # chmod 644 /etc/pki/tls/private/<ntp-server.example.net>.key /etc/pki/tls/certs/<ntp-server.example.net>.crt
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
ntsdumpdir /var/lib/chrony
설정이 있는지 확인합니다. firewalld에서 필요한 포트를 엽니다.
firewall-cmd --permanent --add-port={323/udp,4460/tcp} firewall-cmd --reload
# firewall-cmd --permanent --add-port={323/udp,4460/tcp} # firewall-cmd --reload
Copy to Clipboard Copied! Toggle word wrap Toggle overflow chronyd
서비스를 다시 시작합니다.systemctl restart chronyd
# systemctl restart chronyd
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
클라이언트 시스템에서 테스트를 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 시스템 클럭 잘못된
메시지는 NTP 서버가 NTS-KE 연결을 수락하고 NTS 보호 NTP 메시지로 응답하고 있음을 나타냅니다.서버에서 관찰되는 NTS-KE 연결 및 인증된 NTP 패킷을 확인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow NTS-KE 연결 값이 수락
되고 인증된 NTP 패킷
필드가 0이 아닌 값인 경우 하나 이상의 클라이언트가 NTS-KE 포트에 연결하고 인증된 NTP 요청을 보낼 수 있었습니다.