19.9. 了解 ntpd 配置文件
守护进程 ntpd
在系统启动时或 服务重启时读取配置文件。文件的默认位置为 /etc/ntp.conf
,您可以输入以下命令来查看该文件:
~]$ less /etc/ntp.conf
本章稍后将简要阐述配置命令,请参阅 第 19.17 节 “配置 NTP” 并在 ntp.conf(5)
man page 中更详细地阐述。
以下是默认配置文件内容的简短说明:
- driftfile 条目
指定了到 drift 文件的路径,Red Hat Enterprise Linux 中的默认条目为:
driftfile /var/lib/ntp/drift
如果您对此进行更改,请确保目录可由
ntpd
写入。文件包含一个值,用于在每次系统或服务启动后调整系统时钟频率。如需更多信息,请参阅了解偏移文件。- 访问控制条目
以下行设置默认访问控制限制:
restrict default nomodify notrap nopeer noquery
-
nomodify
选项可防止对配置进行任何更改。 -
notrap
选项可防止ntpdc 控制
消息协议陷阱。 -
nopeer
选项可防止形成同级关联。 noquery
选项可防止回答ntpq
和ntpdc
查询,而不是时间查询。重要ntpq
和ntpdc
查询可用于放大攻击,因此请勿在可公开访问的系统上从restrict 默认
命令中删除noquery
选项。详情请查看 CVE-2013-5211。
不同进程或应用
有时需要范围 127.0.0.0/8
范围内的地址。由于上面的"限制默认"行阻止对未明确允许的所有内容的访问,因此允许通过以下行访问IPv4
和IPv6
的标准回环地址:# the administrative functions. restrict 127.0.0.1 restrict ::1
如果另一个应用程序有特别要求,可以在下面添加地址。
由于上面的"restrict default"行,不允许本地网络上的主机。要更改此值,例如,允许
192.0.2.0/24
网络中的主机查询时间和统计信息,但不需要再使用以下格式的行:restrict 192.0.2.0 mask 255.255.255.0 nomodify notrap nopeer
要允许特定主机(如
192.0.2.250/32
)进行不受限制的访问,需要以下格式的行:restrict 192.0.2.250
如果未指定,则将应用
255.255.255.255
掩码。ntp_acc(5)
手册页面中解释了 restrict 命令。
-
- 公共服务器条目
默认情况下,ntp
.conf
文件包含四个公共服务器条目:server 0.rhel.pool.ntp.org iburst server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburst
- 广播多播服务器条目
-
默认情况下,ntp
.conf
文件包含一些注释掉的示例。这些都是自我解释的。有关特定命令的说明,请参阅 第 19.17 节 “配置 NTP”。如果需要,在示例中添加命令。
当 DHCP
客户端程序, dhclient 收到来自 DHCP
服务器的 NTP
服务器列表时,它会将它们添加到 ntp.conf
并重新启动服务。要禁用此功能,请将 PEERNTP=no
添加到 /etc/sysconfig/network
。