4.2. 시간 서버에서 NTS(Network Time Security) 활성화

프로세스

1. /etc/chrony.conf 파일을 편집하고 다음과 같이 변경합니다.

   ntsserverkey /etc/pki/tls/private/<ntp-server.example.net>.key
   ntsservercert /etc/pki/tls/certs/<ntp-server.example.net>.crt

   Copy to Clipboard Toggle word wrap

2. chrony 사용자가 파일을 읽을 수 있도록 개인 키와 인증서 파일에 대한 권한을 설정합니다. 예를 들면

   # chown root:chrony /etc/pki/tls/private/<ntp-server.example.net>.key /etc/pki/tls/certs/<ntp-server.example.net>.crt
   
   # chmod 644 /etc/pki/tls/private/<ntp-server.example.net>.key /etc/pki/tls/certs/<ntp-server.example.net>.crt

   Copy to Clipboard Toggle word wrap
3. ntsdumpdir /var/lib/chrony 설정이 있는지 확인합니다.

4. firewalld에서 필요한 포트를 엽니다.

   # firewall-cmd --permanent --add-port={323/udp,4460/tcp}
   # firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

5. chronyd 서비스를 다시 시작합니다.

   # systemctl restart chronyd

   Copy to Clipboard Toggle word wrap

검증

1. 클라이언트 시스템에서 테스트를 수행합니다.

   $ chronyd -Q -t 3 'server
   
   ntp-server.example.net iburst nts maxsamples 1'
   2021-09-15T13:45:26Z chronyd version 4.1 starting (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +SCFILTER +SIGND +ASYNCDNS +NTS +SECHASH +IPV6 +DEBUG)
   2021-09-15T13:45:26Z Disabled control of system clock
   2021-09-15T13:45:28Z System clock wrong by 0.002205 seconds (ignored)
   2021-09-15T13:45:28Z chronyd exiting

   Copy to Clipboard Toggle word wrap

   시스템 클럭 잘못된 메시지는 NTP 서버가 NTS-KE 연결을 수락하고 NTS 보호 NTP 메시지로 응답하고 있음을 나타냅니다.

2. 서버에서 관찰되는 NTS-KE 연결 및 인증된 NTP 패킷을 확인합니다.

   # chronyc serverstats
   
   NTP packets received       : 7
   NTP packets dropped        : 0
   Command packets received   : 22
   Command packets dropped    : 0
   Client log records dropped : 0
   NTS-KE connections accepted: 1
   NTS-KE connections dropped : 0
   Authenticated NTP packets: 7

   Copy to Clipboard Toggle word wrap

   NTS-KE 연결 값이 수락 되고 인증된 NTP 패킷 필드가 0이 아닌 값인 경우 하나 이상의 클라이언트가 NTS-KE 포트에 연결하고 인증된 NTP 요청을 보낼 수 있었습니다.