>安装ntp包;
>在服务器列表顶部添加一个指向的新服务器实例:
>对于我们或多或少的官方意大利语ntp服务器(time.ien.it),如果系统具有出站ntp访问权限;
>对于一个“内部主机”,如果系统不是因特网连接,它就像一种官方的ntp“内部”服务器.
>启用ntp服务,以便正确处理重启
因此,对于具有Internet访问权限的系统,ntp.conf中配置的服务器列表如下:
server time.ien.it iburst server 0.centos.pool.ntp.org iburst server 1.centos.pool.ntp.org iburst server 2.centos.pool.ntp.org iburst server 3.centos.pool.ntp.org iburst
在调查完全不同的问题时,我发现上面的配置会产生流量到我完全不知道的远程主机.
这是一个tcpdump捕获的片段,在我们的drbd-store-02-ch主机的出站接口上进行:
在哪里可以看到:
>来自/到我正确期望的主机的流量(“黄色”流量);
>来自/到与CentOS和/或ntp.org域无关的主机的流量.特别:
> 1.ntp.tld.sk
> laika.paina.net
> time.reisenbauer-it.com
> 183.84.160.167.rdns.kaiju.cc
在调查过程中,它出现在那里还有其他主机,不包括在上面的列表中.我甚至发现主机的反向主机名清楚地指向了一些大的ISP,指的是VPS和类似的东西.
所以我的问题是:
>我应该删除默认服务器列表并仅依赖于我的“受信任”time.ien.it外部ntp服务器主机吗?
>如果没有,我怎么能确定那些远程主机是否有效“安全”并得到妥善保护/管理……所以不要冒险我的ntp-service-requests?
P.S.:作为附注,我完全了解DNS解析过程,因此问题不是“为什么”我正在联系这些服务器.问题是:“它安全吗?”
解决方法
版本较长:您看到的行为完全正常且预期. NTP pool是一个动态池,每次DNS TTL到期时都可能会更改.
池中的每个主机都由NTP池基础结构监视,如果它报告的时间距离可接受的距离太远,则会从池中删除它.您可以在http://www.pool.ntp.org/scores/IP查看每个主机的监控记录(其中IP是服务器的IP地址).例如当我在我的机器上查找0.centos.pool.ntp.org时,我得到这些地址:
> 74.120.8.2
> 72.5.72.15
> 45.79.187.10
> 173.255.232.93
假设您的时间同步要求是平均的(根据与实际时间的偏移量),通常的最佳做法是在您自己的网络中设置4-6个服务器,这些服务器与池中的4-6个服务器同步,并将您的内部主机指向那些本地服务器.我在今年的Linux.conf.au sysadmin miniconf(页面上的最后一次谈话)中更详细地讨论了这个问题.
编辑:请注意,某些池服务器也是TOR中继或退出节点.这有时会使NTP池用户遇到过于热心的IDS / IPS甚至他们的ISP.有关最近的示例,请参见https://twitter.com/_lennart/status/861714732709031936.