19.17. NTP 설정

시스템에서 실행 중인 NTP 서비스에 대한 액세스를 제한하거나 제어하려면 ntp.conf 파일에서 restrict 명령을 사용하십시오. 주석 처리된 예제를 참조하십시오.

# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

restrict 명령은 다음 형식을 사용합니다.

restrict address [mask mask] option

여기서 address 및 mask 는 제한을 적용할 IP 주소를 지정하고, 옵션 은 다음 중 하나 이상입니다.

쿼리에 전혀 응답하지 않도록 속도 제한 액세스를 구성하려면 각 제한 명령에 제한된 옵션이 있어야 합니다. ntpd 가 KoD 패킷으로 응답해야하는 경우 restrict 명령에는 제한 옵션과 kod 옵션이 모두 있어야 합니다.

ntpq 및 ntpdc 쿼리는 간소화 공격에 사용할 수 있습니다(자세한 내용은 CVE-2013-5211 참조) 공개적으로 액세스 가능한 시스템의 기본 명령에서 noquery 옵션을 제거하지 마십시오.

시스템에서 실행 중인 NTP 서비스에 대한 속도 제한 액세스를 활성화하려면 19.17.1절. “NTP 서비스에 대한 액세스 제어 구성” 에 설명된 대로 제한 옵션을 제한 명령에 추가합니다. 기본 삭제 매개변수를 사용하지 않으려면 여기에 설명된 대로 삭제 명령도 사용합니다.

삭제 명령은 다음 형식을 취합니다.

discard average value minimum value monitor value

삭제 명령의 예는 다음과 같습니다.

discard average 4

discard average 4 minimum 2

즉, 동일한 stratum의 NTP 서비스를 실행하는 서버의 주소를 추가하려면 ntp.conf 파일에서 peer 명령을 사용하십시오.

peer 명령은 다음과 같은 형식을 취합니다.

peer address

여기서 address 는 IP 유니캐스트 주소이거나 DNS 확인 가능한 이름입니다. 주소는 동일한 계층 구조의 멤버로 알려진 시스템의 내용일 뿐입니다. 피어는 서로 다른 시간 소스를 하나 이상 보유해야 합니다. 피어는 일반적으로 동일한 관리 제어 시스템에 있습니다.

서버 주소를 추가하려면, 즉 더 높은 계층 시스템의 NTP 서비스를 실행하는 서버의 주소를 추가하고, ntp.conf 파일에서 server 명령을 사용합니다.

server 명령은 다음 형식을 취합니다.

server address

여기서 address 는 IP 유니캐스트 주소이거나 DNS 확인 가능한 이름입니다. 패킷을 수신할 원격 참조 서버 또는 로컬 참조 클럭의 주소입니다.

전송을 위해 브로드캐스트 또는 멀티캐스트 주소를 추가하려면, 브로드캐스트 또는 멀티캐스트 NTP 패킷의 주소가 ntp.conf 파일에서 브로드캐스트 명령을 사용하십시오.

브로드캐스트 및 멀티 캐스트 모드에는 기본적으로 인증이 필요합니다. 19.6절. “NTP의 인증 옵션”을 참조하십시오.

broadcast 명령은 다음 형식을 취합니다.

broadcast address

여기서 address 는 패킷이 전송되는 IP 브로드캐스트 또는 멀티캐스트 주소입니다.

이 명령은 NTP 브로드캐스트 서버로 작동하도록 시스템을 구성합니다. 사용된 주소는 브로드캐스트 또는 멀티캐스트 주소여야 합니다. 브로드캐스트 주소는 IPv4 주소 255.255.255.255 를 의미합니다. 기본적으로 라우터는 브로드캐스트 메시지를 전달하지 않습니다. 멀티캐스트 주소는 IPv4 클래스 D 주소 또는 IPv6 주소일 수 있습니다. IANA는 IPv4 멀티캐스트 주소 224.0.1.1 및 IPv6 주소 FF05::101 (site local)을 NTP 에 할당했습니다. RFC 2365 관리 범위 IP 멀티 캐스트에 설명된 대로 관리 범위가 지정된 IPv4 멀티캐스트 주소도 사용할 수 있습니다.

예를 들어 NTP 서버 검색에 사용할 멀티캐스트 주소를 구성하려면 ntp.conf 파일에서 manycastclient 명령을 사용합니다.

manycastclient 명령은 다음 형식을 취합니다.

manycastclient address

여기서 address 는 패킷을 수신할 IP 멀티캐스트 주소입니다. 클라이언트는 주소로 요청을 보내고 응답에서 최상의 서버를 선택하고 다른 서버를 무시합니다. 그런 다음 NTP 통신에서는 검색된 NTP 서버가 ntp.conf 에 나열된 것처럼 유니캐스트 연결을 사용합니다.

이 명령은 NTP 클라이언트로 작동하도록 시스템을 구성합니다. 시스템은 클라이언트와 서버 모두를 동시에 수행할 수 있습니다.

브로드캐스트 NTP 패킷에 대해 모니터링할 브로드캐스트 주소를 구성하려면 ntp.conf 파일에서 broadcastclient 명령을 사용하십시오.

broadcastclient 명령은 다음 형식을 취합니다.

broadcastclient

브로드캐스트 메시지를 수신할 수 있습니다. 기본적으로 인증이 필요합니다. 19.6절. “NTP의 인증 옵션”을 참조하십시오.

이 명령은 NTP 클라이언트로 작동하도록 시스템을 구성합니다. 시스템은 클라이언트와 서버 모두를 동시에 수행할 수 있습니다.

예를 들어, 클라이언트가 NTP 패킷을 멀티 캐스트하여 서버를 검색할 수 있도록 주소를 구성하려면 ntp.conf 파일에서 manycastserver 명령을 사용하십시오.

manycastserver 명령은 다음 형식을 취합니다.

manycastserver address

멀티 캐스트 메시지 전송을 활성화합니다. 여기서 address 는 멀티 캐스트의 주소입니다. 이는 서비스 중단을 방지하기 위해 인증과 함께 사용해야 합니다.

이 명령은 NTP 서버 역할을 하는 시스템을 구성합니다. 시스템은 클라이언트와 서버 모두를 동시에 수행할 수 있습니다.

멀티 캐스트 클라이언트 주소를 추가하려면 멀티캐스트 NTP 패킷에 대해 모니터링할 멀티캐스트 주소를 구성하려면 ntp.conf 파일에서 multicastclient 명령을 사용하십시오.

multicastclient 명령은 다음 형식을 사용합니다.

multicastclient address

멀티 캐스트 메시지 수신을 활성화합니다. 여기에서 address 는 서브스크립션할 주소입니다. 이는 서비스 중단을 방지하기 위해 인증과 함께 사용해야 합니다.

이 명령은 NTP 클라이언트로 작동하도록 시스템을 구성합니다. 시스템은 클라이언트와 서버 모두를 동시에 수행할 수 있습니다.

공용 서버에 대해 버스트 옵션을 사용하는 것은 악용으로 간주됩니다. 공용 NTP 서버에 이 옵션을 사용하지 마십시오. 조직 내의 애플리케이션에만 사용하십시오.

평균 시간 오프셋 통계를 늘리려면 서버 명령 끝에 다음 옵션을 추가합니다.

burst

모든 폴링 간격에서 서버가 응답할 때 시스템은 일반적인 하나의 패킷 대신 최대 8개의 패킷을 전송합니다. server 명령과 함께 사용하여 시계열 계산의 평균 품질을 개선할 수 있습니다.

초기 동기화에 걸린 시간을 개선하려면 서버 명령 끝에 다음 옵션을 추가합니다.

iburst

서버에 연결할 수 없는 경우 일반적인 하나의 패킷 대신 8개의 패킷을 전송합니다. 패킷 간격은 일반적으로 2 s입니다; 그러나 첫 번째 패킷과 두 번째 패킷 사이의 간격은 calldelay 명령으로 변경할 수 있습니다. 모뎀이나 ISDN 호출에 대한 추가 시간을 허용하도록 calldelay 명령을 사용하여 변경할 수 있습니다. server 명령과 함께 사용하면 초기 동기화에 소요되는 시간을 줄일 수 있습니다. 이제 구성 파일의 기본 옵션입니다.

키를 사용하여 대칭 인증을 구성하려면 서버 또는 피어 명령 끝에 다음 옵션을 추가합니다.

key number

여기서 숫자는 1 ~65534 범위에 포함됩니다. 이 옵션을 사용하면 패킷에서 메시지 인증 코드(MAC )를사용할 수 있습니다. 이 옵션은 피어,서버, 브로드캐스트 및 manycastclient 명령과 함께 사용할 수 있습니다.

옵션은 다음과 같이 /etc/ntp.conf 파일에서 사용할 수 있습니다.

server 192.168.1.1 key 10
broadcast 192.168.1.255 key 20
manycastclient 239.255.254.254 key 30

자세한 내용은 19.6절. “NTP의 인증 옵션” 참조하십시오.

기본 폴링 간격을 변경하려면 server 또는 peer 명령 끝에 다음 옵션을 추가합니다.

minpoll value and maxpoll value

기본 폴링 간격을 변경하는 옵션(초 단위)은 2를 값 의 거듭제곱으로 늘려 계산합니다. 즉, 간격은 log2 초로 표시됩니다. 기본 minpoll 값은 6, 2⁶ 이며 64 s입니다. maxpoll 의 기본값은 10이며 이는 1024 s입니다. 허용되는 값은 3~17포함 범위에 있으며 각각 8 s에서 36.4 h와 같습니다. 이러한 옵션은 피어 또는 서버와 함께 사용할 수 있습니다. maxpoll 을 더 짧게 설정하면 클럭 정확도가 향상될 수 있습니다.

특정 서버가 유사한 통계적 품질보다 우선하도록 지정하려면 서버 또는 피어 명령 끝에 다음 옵션을 추가합니다.

prefer

이 서버는 유사한 통계 품질의 다른 서버에 우선적으로 동기화되는 데 사용합니다. 이 옵션은 피어 또는 서버 명령과 함께 사용할 수 있습니다.

특정TTL( Time-to-live ) 값을 기본값 대신 사용해야 함을 지정하려면 서버 또는 피어 명령 끝에 다음 옵션을 추가합니다.

ttl value

브로드캐스트 서버 및 멀티 캐스트 NTP 서버에서 보낸 패킷에 사용할 TTL(Time-to-live) 값을 지정합니다. 많은 캐스트 클라이언트에서 "expanding ring search"에 사용할 최대 time-to-live 값을 지정합니다. 기본값은 127 입니다.

특정 NTP 버전을 기본값 대신 사용하도록 지정하려면 서버 또는 피어 명령 끝에 다음 옵션을 추가합니다.

version value

생성된 NTP 패킷에서 설정된 NTP 버전을 지정합니다. 값은 1 에서 4 까지의 범위일 수 있습니다. 기본값은 4 입니다.