19.9. ntpd 설정 파일 이해
데몬인 ntpd
는 시스템 시작 시 또는 서비스가 다시 시작될 때 구성 파일을 읽습니다. 파일의 기본 위치는 /etc/ntp.conf
이며 다음 명령을 입력하여 파일을 볼 수 있습니다.
~]$ less /etc/ntp.conf
설정 명령은 이 장의 뒷부분에서 간단히 설명합니다. 19.17절. “NTP 설정” 및 ntp.conf(5)
도움말 페이지에서 자세한 내용을 참조하십시오.
다음은 기본 구성 파일의 내용에 대한 간략한 설명입니다.
- 드리프트 파일 항목
드리프트 파일의 경로가 지정되어 있으며 Red Hat Enterprise Linux의 기본 항목은 다음과 같습니다.
driftfile /var/lib/ntp/drift
이 값을 변경한 경우
ntpd
에서 디렉터리에 쓸 수 있습니다. 파일에는 모든 시스템 또는 서비스 시작 후 시스템 클럭 빈도를 조정하는 데 사용되는 하나의 값이 포함되어 있습니다. 자세한 내용은 Drift 파일 이해를 참조하십시오.- 액세스 제어 항목
다음 줄은 기본 액세스 제어 제한을 설정합니다.
restrict default nomodify notrap nopeer noquery
-
nomodify
옵션은 설정을 변경할 수 없습니다. -
notrap
옵션은ntpdc
제어 메시지 프로토콜 트랩을 방지합니다. -
nopeer
옵션은 피어 연관이 형성되는 것을 방지합니다. noquery
옵션은ntpq
및ntpdc
쿼리를 허용하지만 시간 쿼리는 응답하지 않습니다.중요ntpq
및ntpdc
쿼리는 간소화 공격에 사용될 수 있으므로 공개적으로 액세스 가능한 시스템의restrict 기본
명령에서noquery
옵션을 제거하지 마십시오.자세한 내용은 CVE-2013-5211 을 참조하십시오.
127.0.0.0/8
범위 내의 주소는 다양한 프로세스 또는 애플리케이션에 필요한 경우가 있습니다. 위의 "제한 기본" 줄에 명시적으로 허용되지 않는 모든 항목에 대한 액세스를 차단하므로IPv4
및IPv6
에 대한 표준 루프백 주소에 대한 액세스는 다음 줄을 통해 허용됩니다.# the administrative functions. restrict 127.0.0.1 restrict ::1
주소를 다른 응용 프로그램에서 특별히 요구하는 경우 아래에 추가할 수 있습니다.
위의 "제한 기본" 라인으로 인해 로컬 네트워크의 호스트는 허용되지 않습니다. 예를 들어
192.0.2.0/24
네트워크의 호스트가 시간과 통계를 쿼리할 수 있도록 허용하려면 다음과 같은 형식의 행이 필요합니다.restrict 192.0.2.0 mask 255.255.255.0 nomodify notrap nopeer
특정 호스트에서 무제한 액세스를 허용하려면(예:
192.0.2.250/32
) 다음 형식의 행이 필요합니다.restrict 192.0.2.250
255.255.255.255
의 마스크는 지정되지 않은 경우 적용됩니다.restrict 명령은
ntp_acc(5)
도움말 페이지에 설명되어 있습니다.
-
- 공용 서버 항목
기본적으로
ntp.conf
파일에는 4개의 공용 서버 항목이 포함되어 있습니다.server 0.rhel.pool.ntp.org iburst server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburst
- 브로드캐스트 멀티 캐스트 서버 항목
-
기본적으로
ntp.conf
파일에는 몇 가지 주석 처리된 예제가 포함되어 있습니다. 이는 대체로 자체 설명적입니다. 특정 명령에 대한 설명은 19.17절. “NTP 설정” 을 참조하십시오. 필요한 경우 예제 바로 아래에 명령을 추가합니다.
클라이언트 프로그램 dhclient 가 DHCP 서버에서 DHCP
NTP
서버 목록을 수신하면 해당 서버를 ntp.conf
에 추가하고 서비스를 다시 시작합니다. 해당 기능을 비활성화하려면 PEERNTP=no
를 /etc/sysconfig/network
에 추가합니다.