红帽全球峰会19.9. 了解 ntpd 配置文件
守护进程 ntpd 在系统启动时或 服务重启时读取配置文件。文件的默认位置为 /etc/ntp.conf,您可以输入以下命令来查看该文件:
less /etc/ntp.conf
~]$ less /etc/ntp.conf
本章稍后将简要阐述配置命令,请参阅 第 19.17 节 “配置 NTP” 并在 ntp.conf(5) man page 中更详细地阐述。
以下是默认配置文件内容的简短说明:
- driftfile 条目
指定了到 drift 文件的路径,Red Hat Enterprise Linux 中的默认条目为:
driftfile /var/lib/ntp/drift
driftfile /var/lib/ntp/driftCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果您对此进行更改,请确保目录可由
ntpd写入。文件包含一个值,用于在每次系统或服务启动后调整系统时钟频率。如需更多信息,请参阅了解偏移文件。- 访问控制条目
以下行设置默认访问控制限制:
restrict default nomodify notrap nopeer noquery
restrict default nomodify notrap nopeer noqueryCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
nomodify选项可防止对配置进行任何更改。 -
notrap选项可防止ntpdc 控制消息协议陷阱。 -
nopeer选项可防止形成同级关联。 noquery选项可防止回答ntpq和ntpdc查询,而不是时间查询。重要ntpq和ntpdc查询可用于放大攻击,因此请勿在可公开访问的系统上从restrict 默认命令中删除noquery选项。详情请查看 CVE-2013-5211。
不同进程或应用
有时需要范围 127.0.0.0/8范围内的地址。由于上面的"限制默认"行阻止对未明确允许的所有内容的访问,因此允许通过以下行访问IPv4和IPv6的标准回环地址:the administrative functions.
# the administrative functions. restrict 127.0.0.1 restrict ::1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果另一个应用程序有特别要求,可以在下面添加地址。
由于上面的"restrict default"行,不允许本地网络上的主机。要更改此值,例如,允许
192.0.2.0/24网络中的主机查询时间和统计信息,但不需要再使用以下格式的行:restrict 192.0.2.0 mask 255.255.255.0 nomodify notrap nopeer
restrict 192.0.2.0 mask 255.255.255.0 nomodify notrap nopeerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要允许特定主机(如
192.0.2.250/32)进行不受限制的访问,需要以下格式的行:restrict 192.0.2.250
restrict 192.0.2.250Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果未指定,则将应用
255.255.255.255掩码。ntp_acc(5)手册页面中解释了 restrict 命令。
-
- 公共服务器条目
默认情况下,ntp
.conf文件包含四个公共服务器条目:server 0.rhel.pool.ntp.org iburst server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburst
server 0.rhel.pool.ntp.org iburst server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburstCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 广播多播服务器条目
-
默认情况下,ntp
.conf文件包含一些注释掉的示例。这些都是自我解释的。有关特定命令的说明,请参阅 第 19.17 节 “配置 NTP”。如果需要,在示例中添加命令。
当 DHCP 客户端程序, dhclient 收到来自 DHCP 服务器的 NTP 服务器列表时,它会将它们添加到 ntp.conf 并重新启动服务。要禁用此功能,请将 PEERNTP=no 添加到 /etc/sysconfig/network。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}