🥇સમય સમન્વયન કેવી રીતે સુરક્ષિત બન્યું

જો તમારી પાસે TCP/IP દ્વારા સંદેશાવ્યવહાર કરતા લાખો મોટા અને નાના ઉપકરણો હોય તો સમય દીઠ સમય જૂઠું ન બોલે તેની ખાતરી કેવી રીતે કરવી? છેવટે, તેમાંના દરેક પાસે ઘડિયાળ છે, અને સમય તે બધા માટે સાચો હોવો જોઈએ. એનટીપી વિના આ સમસ્યાને દૂર કરી શકાતી નથી.

ચાલો એક મિનિટ માટે કલ્પના કરીએ કે ઔદ્યોગિક IT ઈન્ફ્રાસ્ટ્રક્ચરના એક સેગમેન્ટમાં સમય જતાં સેવાઓને સિંક્રનાઇઝ કરવામાં મુશ્કેલીઓ છે. તરત જ એન્ટરપ્રાઇઝ સૉફ્ટવેરનો ક્લસ્ટર સ્ટેક નિષ્ફળ થવાનું શરૂ કરે છે, ડોમેન્સ વિખેરાઈ જાય છે, માસ્ટર્સ અને સ્ટેન્ડબાય નોડ્સ યથાવત સ્થિતિને પુનઃસ્થાપિત કરવાનો અસફળ પ્રયાસ કરે છે.

તે પણ શક્ય છે કે હુમલાખોર ઇરાદાપૂર્વક MiTM અથવા DDOS હુમલા દ્વારા સમયને વિક્ષેપિત કરવાનો પ્રયાસ કરે. આવી સ્થિતિમાં, કંઈપણ થઈ શકે છે:

વપરાશકર્તા ખાતાના પાસવર્ડ્સ સમાપ્ત થશે;
X.509 પ્રમાણપત્રો સમાપ્ત થશે;
TOTP દ્વિ-પરિબળ પ્રમાણીકરણ કામ કરવાનું બંધ કરશે;
બેકઅપ જૂના થઈ જશે અને સિસ્ટમ તેમને કાઢી નાખશે;
DNSSEc તૂટી જશે.

તે સ્પષ્ટ છે કે દરેક IT વિભાગ સમય સુમેળ સેવાઓના વિશ્વસનીય સંચાલનમાં રસ ધરાવે છે, અને જો તે ઔદ્યોગિક કામગીરીમાં વિશ્વસનીય અને સલામત હોત તો તે સારું રહેશે.

25 મિનિટમાં NTP તોડી નાખો

નેટવર્ક પ્રોટોકોલ - સહસ્ત્રાબ્દીની એક ખાસિયત છે, તે રહી છે જૂના અને હવે કોઈ પણ વસ્તુ માટે સારી નથી, પરંતુ ઉત્સાહીઓ અને ભંડોળના નિર્ણાયક સમૂહ એકઠા થાય ત્યારે પણ તેમને બદલવું એટલું સરળ નથી.

ક્લાસિક NTP વિશેની મુખ્ય ફરિયાદ ઘુસણખોરો દ્વારા હુમલાઓ સામે રક્ષણ માટે વિશ્વસનીય પદ્ધતિઓનો અભાવ છે. આ સમસ્યાના ઉકેલ માટે વિવિધ પ્રયાસો કરવામાં આવ્યા છે. આ હાંસલ કરવા માટે, અમે સૌપ્રથમ સપ્રમાણ કીની આપલે માટે પ્રી-શેર્ડ કી (PSK) મિકેનિઝમ લાગુ કર્યું.

કમનસીબે, આ પદ્ધતિ એક સરળ કારણોસર ચૂકવણી કરી શકી નથી - તે સારી રીતે સ્કેલ કરતી નથી. સર્વર પર આધાર રાખીને ક્લાયંટ બાજુ પર મેન્યુઅલ રૂપરેખાંકન જરૂરી છે. આનો અર્થ એ છે કે તમે તેના જેવા અન્ય ક્લાયંટને ઉમેરી શકતા નથી. જો NTP સર્વર પર કંઈક બદલાય છે, તો બધા ક્લાયન્ટ્સ ફરીથી ગોઠવેલા હોવા જોઈએ.

પછી તેઓ AutoKey સાથે આવ્યા, પરંતુ તેઓએ તરત જ એલ્ગોરિધમની ડિઝાઇનમાં ઘણી ગંભીર નબળાઈઓ શોધી કાઢી અને તેઓએ તેને છોડી દેવી પડી. આ બાબત એ છે કે બીજમાં માત્ર 32-બિટ્સ છે, તે ખૂબ નાનું છે અને આગળના હુમલા માટે પૂરતી કોમ્પ્યુટેશનલ જટિલતા નથી.

કી ID - સપ્રમાણ 32-બીટ કી;
MAC (સંદેશ પ્રમાણીકરણ કોડ) - NTP પેકેટ ચેકસમ;

ઑટોકીની ગણતરી નીચે પ્રમાણે કરવામાં આવે છે.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

જ્યાં H() એ ક્રિપ્ટોગ્રાફિક હેશ ફંક્શન છે.

પેકેટોના ચેકસમની ગણતરી કરવા માટે સમાન કાર્યનો ઉપયોગ થાય છે.

MAC=H(Autokey||NTP packet)

તે તારણ આપે છે કે પેકેજ તપાસની સંપૂર્ણ અખંડિતતા કૂકીઝની અધિકૃતતા પર આધારિત છે. એકવાર તમારી પાસે તે થઈ ગયા પછી, તમે ઑટોકીને પુનઃસ્થાપિત કરી શકો છો અને પછી MAC ને સ્પુફ કરી શકો છો. જો કે, એનટીપી સર્વર તેમને જનરેટ કરતી વખતે બીજનો ઉપયોગ કરે છે. આ તે છે જ્યાં કેચ આવેલું છે.

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

MSB_32 ફંક્શન md5 હેશ ગણતરી પરિણામમાંથી 32 સૌથી નોંધપાત્ર બિટ્સને કાપી નાખે છે. જ્યાં સુધી સર્વર પેરામીટર્સ યથાવત રહે છે ત્યાં સુધી ક્લાયંટ કૂકી બદલાતી નથી. પછી હુમલાખોર ફક્ત પ્રારંભિક નંબરને પુનઃસ્થાપિત કરી શકે છે અને સ્વતંત્ર રીતે કૂકીઝ જનરેટ કરવામાં સક્ષમ હશે.

પ્રથમ, તમારે ક્લાયન્ટ તરીકે NTP સર્વર સાથે કનેક્ટ થવાની અને કૂકીઝ પ્રાપ્ત કરવાની જરૂર છે. આ પછી, બ્રુટ ફોર્સ પદ્ધતિનો ઉપયોગ કરીને, હુમલાખોર એક સરળ અલ્ગોરિધમને અનુસરીને પ્રારંભિક સંખ્યાને પુનઃસ્થાપિત કરે છે.

બ્રુટ-ફોર્સ પદ્ધતિનો ઉપયોગ કરીને પ્રારંભિક સંખ્યાની ગણતરી પર હુમલો કરવા માટેનું અલ્ગોરિધમ.

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

IP સરનામાઓ જાણીતા છે, તેથી જ્યાં સુધી બનાવેલ કૂકી NTP સર્વરમાંથી મળેલી એક સાથે મેળ ન ખાય ત્યાં સુધી 2^32 હેશ બનાવવાનું બાકી છે. Intel Core i5 સાથે નિયમિત હોમ સ્ટેશન પર, આમાં 25 મિનિટનો સમય લાગશે.

NTS - નવી ઑટોકી

ઑટોકીમાં આવા સુરક્ષા છિદ્રો સાથે મૂકવું અશક્ય હતું, અને 2012 માં તે દેખાયું નવી આવૃત્તિ પ્રોટોકોલ નામ સાથે ચેડા કરવા માટે, તેઓએ રિબ્રાન્ડ કરવાનું નક્કી કર્યું, તેથી ઑટોકી v.2 ને નેટવર્ક ટાઈમ સિક્યુરિટી તરીકે ડબ કરવામાં આવ્યું.

NTS પ્રોટોકોલ એ NTP સુરક્ષાનું એક્સ્ટેંશન છે અને હાલમાં માત્ર યુનિકાસ્ટ મોડને સપોર્ટ કરે છે. તે પેકેટ મેનીપ્યુલેશન સામે મજબૂત ક્રિપ્ટોગ્રાફિક રક્ષણ પૂરું પાડે છે, સ્નૂપિંગને અટકાવે છે, સારી રીતે સ્કેલ કરે છે, નેટવર્ક પેકેટ નુકશાન માટે સ્થિતિસ્થાપક છે અને કનેક્શન સુરક્ષા દરમિયાન ઓછામાં ઓછા પ્રમાણમાં ચોકસાઇના નુકશાનમાં પરિણમે છે.

NTS કનેક્શનમાં બે તબક્કા હોય છે જે નીચલા સ્તરના પ્રોટોકોલનો ઉપયોગ કરે છે. ચાલુ પ્રથમ આ તબક્કે, ક્લાયંટ અને સર્વર વિવિધ કનેક્શન પરિમાણો પર સંમત થાય છે અને તમામ સાથેના ડેટા સેટ સાથે કી ધરાવતી કૂકીઝનું વિનિમય કરે છે. ચાલુ બીજું આ તબક્કે, વાસ્તવિક સુરક્ષિત NTS સત્ર ક્લાયંટ અને NTP સર્વર વચ્ચે થાય છે.

NTS બે લોઅર-લેયર પ્રોટોકોલ ધરાવે છે: નેટવર્ક ટાઈમ સિક્યુરિટી કી એક્સચેન્જ (NTS-KE), જે TLS પર સુરક્ષિત કનેક્શન શરૂ કરે છે, અને NTPv4, NTP પ્રોટોકોલનો નવીનતમ અવતાર. નીચે આ વિશે થોડું વધુ.

પ્રથમ તબક્કો - NTS KE

આ તબક્કે, NTP ક્લાયંટ NTS KE સર્વર સાથે અલગ TCP કનેક્શન પર TLS 1.2/1.3 સત્ર શરૂ કરે છે. આ સત્ર દરમિયાન નીચે મુજબ થાય છે.

પક્ષો પરિમાણો નક્કી કરે છે AEAD બીજા તબક્કા માટે અલ્ગોરિધમનો.
પક્ષો બીજા લોઅર-લેયર પ્રોટોકોલને વ્યાખ્યાયિત કરે છે, પરંતુ આ ક્ષણે માત્ર NTPv4 સપોર્ટેડ છે.
પક્ષકારો NTP સર્વરનું IP સરનામું અને પોર્ટ નક્કી કરે છે.
NTS KE સર્વર NTPv4 હેઠળ કૂકીઝ જારી કરે છે.
પક્ષો કૂકી સામગ્રીમાંથી સપ્રમાણ કીની જોડી (C2S અને S2C) કાઢે છે.

આ અભિગમનો મોટો ફાયદો છે કે કનેક્શન પરિમાણોને લગતી ગુપ્ત માહિતી પ્રસારિત કરવાનો સંપૂર્ણ બોજ સાબિત અને વિશ્વસનીય TLS પ્રોટોકોલ પર પડે છે. આ સુરક્ષિત NTP હેન્ડશેક માટે તમારા પોતાના વ્હીલને ફરીથી શોધવાની જરૂરિયાતને દૂર કરે છે.

બીજો તબક્કો - NTS રક્ષણ હેઠળ NTP

બીજા પગલામાં, ક્લાયંટ NTP સર્વર સાથે સમયને સુરક્ષિત રીતે સિંક્રનાઇઝ કરે છે. આ હેતુ માટે, તે NTPv4 પેકેટ સ્ટ્રક્ચરમાં ચાર વિશેષ એક્સ્ટેંશન (એક્સ્ટેંશન ફીલ્ડ્સ) ટ્રાન્સમિટ કરે છે.

યુનિક આઇડેન્ટિફાયર એક્સ્ટેંશન રિપ્લે હુમલાઓને રોકવા માટે રેન્ડમ નોન્સ ધરાવે છે.
NTS કૂકી એક્સ્ટેંશન ક્લાયન્ટ માટે ઉપલબ્ધ NTP કૂકીઝમાંથી એક ધરાવે છે. કારણ કે માત્ર ક્લાયન્ટ પાસે સપ્રમાણ AAED C2S અને S2C કી છે, NTP સર્વરે તેમને કૂકી સામગ્રીમાંથી બહાર કાઢવું જોઈએ.
NTS કૂકી પ્લેસહોલ્ડર એક્સ્ટેંશન એ ક્લાયન્ટ માટે સર્વર પાસેથી વધારાની કૂકીઝની વિનંતી કરવાનો એક માર્ગ છે. NTP સર્વર પ્રતિસાદ વિનંતી કરતા વધુ લાંબો ન હોય તેની ખાતરી કરવા માટે આ એક્સ્ટેંશન જરૂરી છે. આ એમ્પ્લીફિકેશન હુમલાઓને રોકવામાં મદદ કરે છે.
NTS પ્રમાણકર્તા અને એન્ક્રિપ્ટેડ એક્સ્ટેંશન ફીલ્ડ્સ એક્સ્ટેંશનમાં C2S કી સાથે AAED સાઇફર, NTP હેડર, ટાઇમસ્ટેમ્પ્સ અને ઉપરોક્ત EF સાથેના ડેટા તરીકે સમાવેશ થાય છે. આ એક્સ્ટેંશન વિના ટાઇમસ્ટેમ્પ્સને બગાડવાનું શક્ય છે.

ક્લાયન્ટ તરફથી વિનંતી પ્રાપ્ત કરવા પર, સર્વર NTP પેકેટની અધિકૃતતાની ચકાસણી કરે છે. આ કરવા માટે, તેણે કૂકીઝને ડિક્રિપ્ટ કરવી જોઈએ, AAED અલ્ગોરિધમ અને કીઓ કાઢવા જોઈએ. માન્યતા માટે NTP પેકેટ સફળતાપૂર્વક તપાસ્યા પછી, સર્વર ક્લાયન્ટને નીચેના ફોર્મેટમાં જવાબ આપે છે.

યુનિક આઇડેન્ટિફાયર એક્સ્ટેંશન એ ક્લાયંટની વિનંતીની મિરર કોપી છે, રિપ્લે હુમલાઓ સામેનું માપ.
સત્ર ચાલુ રાખવા માટે NTS કૂકી એક્સ્ટેંશન વધુ કૂકીઝ.
NTS પ્રમાણકર્તા અને એન્ક્રિપ્ટેડ એક્સ્ટેંશન ફીલ્ડ્સ એક્સ્ટેંશન S2C કી સાથે AEAD સાઇફર ધરાવે છે.

પ્રથમ પગલાને બાયપાસ કરીને, બીજી હેન્ડશેક ઘણી વખત પુનરાવર્તિત થઈ શકે છે, કારણ કે દરેક વિનંતી અને પ્રતિસાદ ક્લાયંટને વધારાની કૂકીઝ આપે છે. આનો ફાયદો એ છે કે PKI ડેટાના કમ્પ્યુટિંગ અને ટ્રાન્સમિટિંગના પ્રમાણમાં સંસાધન-સઘન TLS ઑપરેશન્સને પુનરાવર્તિત વિનંતીઓની સંખ્યા દ્વારા વિભાજિત કરવામાં આવે છે. વિશિષ્ટ FPGA ટાઈમકીપર્સ માટે આ ખાસ કરીને અનુકૂળ છે, જ્યારે તમામ મુખ્ય કાર્યક્ષમતાને સમમેટ્રિક ક્રિપ્ટોગ્રાફીના ક્ષેત્રમાંથી કેટલાક કાર્યોમાં પેક કરી શકાય છે, સમગ્ર TLS સ્ટેકને અન્ય ઉપકરણ પર સ્થાનાંતરિત કરી શકાય છે.

NTPSec

NTP વિશે શું ખાસ છે? હકીકત એ છે કે પ્રોજેક્ટના લેખક, ડેવ મિલ્સ, તેના કોડને શક્ય તેટલું શ્રેષ્ઠ દસ્તાવેજીકૃત કરવાનો પ્રયાસ કર્યો હોવા છતાં, તે એક દુર્લભ પ્રોગ્રામર છે જે 35 વર્ષ જૂના સમય સિંક્રનાઇઝેશન અલ્ગોરિધમ્સની જટિલતાઓને સમજવામાં સક્ષમ હશે. કેટલાક કોડ POSIX યુગ પહેલા લખવામાં આવ્યા હતા, અને યુનિક્સ API એ આજે જે ઉપયોગમાં લેવાય છે તેનાથી ખૂબ જ અલગ હતું. વધુમાં, ઘોંઘાટવાળી રેખાઓ પર હસ્તક્ષેપથી સિગ્નલને સાફ કરવા માટે આંકડાનું જ્ઞાન જરૂરી છે.

NTS એ NTPને ઠીક કરવાનો પહેલો પ્રયાસ નહોતો. એકવાર હુમલાખોરોએ DDoS હુમલાને વિસ્તૃત કરવા માટે NTP નબળાઈઓનો ઉપયોગ કરવાનું શીખ્યા, તે સ્પષ્ટ થઈ ગયું કે આમૂલ ફેરફારોની જરૂર છે. અને જ્યારે NTS ડ્રાફ્ટ તૈયાર કરવામાં આવી રહ્યો હતો અને તેને અંતિમ સ્વરૂપ આપવામાં આવી રહ્યું હતું, ત્યારે 2014ના અંતે યુએસ નેશનલ સાયન્સ ફાઉન્ડેશને NTPના આધુનિકીકરણ માટે તાત્કાલિક ગ્રાન્ટ ફાળવી.

કાર્યકારી જૂથનું નેતૃત્વ ફક્ત કોઈના દ્વારા જ નહીં, પરંતુ એરિક સ્ટીવન રેમન્ડ - ઓપન સોર્સ સમુદાયના સ્થાપકો અને સ્તંભોમાંના એક અને પુસ્તકના લેખક કેથેડ્રલ અને બજાર. એરિક અને તેના મિત્રોએ પ્રથમ વસ્તુ જે કરવાનો પ્રયાસ કર્યો તે BitKeeper પ્લેટફોર્મ પરથી NTP કોડને git પર ખસેડવાનો હતો, પરંતુ તે તે રીતે કામ કરતું ન હતું. પ્રોજેક્ટ લીડર હાર્લન સ્ટેન આ નિર્ણયની વિરુદ્ધ હતા અને વાટાઘાટો અટકી ગઈ હતી. પછી પ્રોજેક્ટ કોડ ફોર્ક કરવાનો નિર્ણય લેવામાં આવ્યો, અને NTPSec નો જન્મ થયો.

GPSD પર કામ, ગાણિતિક પૃષ્ઠભૂમિ અને પ્રાચીન કોડ વાંચવાની જાદુઈ કૌશલ્ય સહિત નક્કર અનુભવ - એરિક રેમન્ડ બરાબર હેકર હતો જે આવા પ્રોજેક્ટને ખેંચી શકે છે. ટીમને કોડ માઈગ્રેશન નિષ્ણાત મળ્યા અને માત્ર 10 અઠવાડિયામાં NTP નીચે સ્થાયીGitLab પર. કામ પૂરજોશમાં હતું.

એરિક રેમન્ડની ટીમે એ જ રીતે કાર્ય હાથ ધર્યું જે રીતે ઓગસ્ટે રોડિને પથ્થરના બ્લોક સાથે કર્યું હતું. જૂના કોડના 175 KLOC દૂર કરીને, તેઓ ઘણા સુરક્ષા છિદ્રોને બંધ કરીને હુમલાની સપાટીને નોંધપાત્ર રીતે ઘટાડવામાં સક્ષમ હતા.

અહીં વિતરણમાં સમાવિષ્ટ લોકોની અપૂર્ણ સૂચિ છે:

બિનદસ્તાવેજીકૃત, જૂનું, જૂનું અથવા તૂટેલું રીફક્લોક.
નહિ વપરાયેલ ICS પુસ્તકાલય.
લિબોપ્ટ્સ/ઓટોજન.
વિન્ડોઝ માટે જૂનો કોડ.
ntpdc.
ઑટોકી.
ntpq C કોડને Python માં ફરીથી લખવામાં આવ્યો છે.
sntp/ntpdig C કોડ Python માં ફરીથી લખવામાં આવ્યો છે.

કોડ સાફ કરવા ઉપરાંત, પ્રોજેક્ટમાં અન્ય કાર્યો હતા. અહીં સિદ્ધિઓની આંશિક સૂચિ છે:

બફર ઓવરફ્લો સામે કોડ રક્ષણ નોંધપાત્ર રીતે સુધારેલ છે. બફર ઓવરફ્લો અટકાવવા માટે, બધા અસુરક્ષિત સ્ટ્રિંગ ફંક્શન્સ (strcpy/strcat/strtok/sprintf/vsprintf/gets) ને સુરક્ષિત સંસ્કરણો સાથે બદલવામાં આવ્યા છે જે બફર કદ મર્યાદાને અમલમાં મૂકે છે.
ઉમેરાયેલ NTS આધાર.
ભૌતિક હાર્ડવેરને લિંક કરીને સમયના પગલાની ચોકસાઈમાં દસ ગણો સુધારો. આ એ હકીકતને કારણે છે કે જ્યારે NTP નો જન્મ થયો હતો ત્યારે આધુનિક કમ્પ્યુટર ઘડિયાળો તેના કરતા વધુ સચોટ બની ગઈ છે. આના સૌથી વધુ લાભાર્થીઓ જીપીએસડીઓ અને સમર્પિત સમય રેડિયો હતા.
પ્રોગ્રામિંગ ભાષાઓની સંખ્યા ઘટાડીને બે કરવામાં આવી છે. પર્લ, awk અને એસ સ્ક્રિપ્ટ્સને બદલે, તે હવે પાયથોન છે. આને કારણે, કોડના પુનઃઉપયોગ માટે વધુ તકો છે.
ઓટોટૂલ્સ સ્ક્રિપ્ટ્સના નૂડલ્સને બદલે, પ્રોજેક્ટે સોફ્ટવેર બિલ્ડ સિસ્ટમનો ઉપયોગ કરવાનું શરૂ કર્યું waf.
પ્રોજેક્ટ દસ્તાવેજીકરણ અપડેટ અને પુનઃસંગઠિત. દસ્તાવેજોના વિરોધાભાસી અને ક્યારેક પ્રાચીન સંગ્રહમાંથી, તેઓએ તદ્દન પસાર કરી શકાય તેવા દસ્તાવેજો બનાવ્યા. દરેક કમાન્ડ લાઇન સ્વીચ અને દરેક રૂપરેખાંકન એન્ટિટી પાસે હવે સત્યનું એક સંસ્કરણ છે. વધુમાં, મેન પેજીસ અને વેબ ડોક્યુમેન્ટેશન હવે સમાન કોર ફાઈલોમાંથી બનાવવામાં આવ્યા છે.

NTPSec સંખ્યાબંધ Linux વિતરણો માટે ઉપલબ્ધ છે. આ ક્ષણે, નવીનતમ સ્થિર સંસ્કરણ 1.1.8 છે, જેન્ટૂ લિનક્સ માટે તે અંતિમ સંસ્કરણ છે.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

ક્રોની

જૂના NTPને વધુ સુરક્ષિત વિકલ્પ સાથે બદલવાનો બીજો પ્રયાસ હતો. Chrony, NTPSec થી વિપરીત, ગ્રાઉન્ડ ઉપરથી લખાયેલ છે અને અસ્થિર નેટવર્ક કનેક્શન્સ, આંશિક નેટવર્ક ઉપલબ્ધતા અથવા ભીડ અને તાપમાનમાં ફેરફાર સહિતની વિશાળ શ્રેણી હેઠળ વિશ્વસનીય રીતે કાર્ય કરવા માટે રચાયેલ છે. આ ઉપરાંત, ક્રોનીના અન્ય ફાયદા છે:

chrony સિસ્ટમ ઘડિયાળને વધુ સચોટતા સાથે ઝડપથી સિંક્રનાઇઝ કરી શકે છે;
chrony નાની છે, ઓછી મેમરી વાપરે છે, અને જ્યારે જરૂર પડે ત્યારે જ CPU ને એક્સેસ કરે છે. સંસાધનો અને ઊર્જા બચાવવા માટે આ એક મોટો વત્તા છે;
chrony Linux પર હાર્ડવેર ટાઇમસ્ટેમ્પ્સને સપોર્ટ કરે છે, સ્થાનિક નેટવર્ક્સ પર અત્યંત સચોટ સિંક્રોનાઇઝેશનને મંજૂરી આપે છે.

જો કે, ક્રોનીમાં જૂના NTPની કેટલીક વિશેષતાઓનો અભાવ છે, જેમ કે બ્રોડકાસ્ટ અને મલ્ટિકાસ્ટ ક્લાયંટ/સર્વર. વધુમાં, ક્લાસિક NTP મોટી સંખ્યામાં ઓપરેટિંગ સિસ્ટમ્સ અને પ્લેટફોર્મને સપોર્ટ કરે છે.

chronyd પ્રક્રિયામાં સર્વરની કાર્યક્ષમતા અને NTP વિનંતીઓને અક્ષમ કરવા માટે, ફક્ત chrony.conf ફાઇલમાં પોર્ટ 0 લખો. આ એવા કિસ્સાઓમાં કરવામાં આવે છે કે જ્યાં NTP ક્લાયન્ટ્સ અથવા સાથીદારો માટે સમય જાળવવાની જરૂર નથી. સંસ્કરણ 2.0 થી, NTP સર્વર પોર્ટ ફક્ત ત્યારે જ ખુલ્લું છે જ્યારે ઍક્સેસને પરવાનગી નિર્દેશન અથવા યોગ્ય આદેશ દ્વારા મંજૂરી આપવામાં આવે છે, અથવા NTP પીઅર ગોઠવવામાં આવે છે, અથવા બ્રોડકાસ્ટ ડાયરેક્ટિવનો ઉપયોગ કરવામાં આવે છે.

પ્રોગ્રામમાં બે મોડ્યુલોનો સમાવેશ થાય છે.

chronyd એ એક સેવા છે જે પૃષ્ઠભૂમિમાં ચાલે છે. તે સિસ્ટમ ઘડિયાળ અને બાહ્ય સમય સર્વર વચ્ચેના તફાવત વિશે માહિતી મેળવે છે અને સ્થાનિક સમયને સમાયોજિત કરે છે. તે NTP પ્રોટોકોલનો પણ અમલ કરે છે અને ક્લાયંટ અથવા સર્વર તરીકે કાર્ય કરી શકે છે.
chronyc એ પ્રોગ્રામ મોનિટરિંગ અને કંટ્રોલ માટે કમાન્ડ લાઇન યુટિલિટી છે. વિવિધ સેવા પરિમાણોને ફાઇન-ટ્યુન કરવા માટે વપરાય છે, ઉદાહરણ તરીકે જ્યારે chronyd ચાલુ રહે ત્યારે તમને NTP સર્વર્સ ઉમેરવા અથવા દૂર કરવાની મંજૂરી આપે છે.

RedHat Linux ના સંસ્કરણ 7 થી ઉપયોગ કરે છે સમય સુમેળ સેવા તરીકે chrony. પેકેજ અન્ય Linux વિતરણો માટે પણ ઉપલબ્ધ છે. નવીનતમ સ્થિર સંસ્કરણ 3.5 છે, જે v4.0 ના પ્રકાશનની તૈયારી કરી રહ્યું છે.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

ઑફિસ નેટવર્ક પર સમયને સિંક્રનાઇઝ કરવા માટે ઇન્ટરનેટ પર તમારું પોતાનું રિમોટ ક્રોની સર્વર કેવી રીતે સેટ કરવું. નીચે VPS સેટ કરવાનું ઉદાહરણ છે.

VPS પર RHEL / CentOS પર Chrony સેટ કરવાનું ઉદાહરણ

ચાલો હવે થોડી પ્રેક્ટિસ કરીએ અને VPS પર આપણું પોતાનું NTP સર્વર સેટ કરીએ. તે ખૂબ જ સરળ છે, ફક્ત RuVDS વેબસાઇટ પર યોગ્ય ટેરિફ પસંદ કરો, તૈયાર સર્વર મેળવો અને એક ડઝન સરળ આદેશો ટાઇપ કરો. અમારા હેતુઓ માટે, આ વિકલ્પ તદ્દન યોગ્ય છે.

ચાલો સેવાને સેટ કરવા માટે આગળ વધીએ અને પહેલા ક્રોની પેકેજ ઇન્સ્ટોલ કરીએ.

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8 એક અલગ પેકેજ મેનેજરનો ઉપયોગ કરે છે.

[root@server ~]$ dnf install chrony

ક્રોની ઇન્સ્ટોલ કર્યા પછી, તમારે સેવા શરૂ કરવાની અને સક્રિય કરવાની જરૂર છે.

[root@server ~]$ systemctl enable chrony --now

જો ઇચ્છિત હોય, તો તમે /etc/chrony.conf માં ફેરફારો કરી શકો છો, પ્રતિભાવ સમય ઘટાડવા માટે નજીકના સ્થાનિક સાથે NPT સર્વરને બદલી શકો છો.

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

આગળ, અમે ઉલ્લેખિત પૂલમાંથી નોડ્સ સાથે NTP સર્વરનું સિંક્રનાઇઝેશન સેટ કરીએ છીએ.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

NTP પોર્ટને બહારથી ખોલવું પણ જરૂરી છે, અન્યથા ફાયરવોલ ક્લાયંટ નોડ્સમાંથી આવતા કનેક્શન્સને અવરોધિત કરશે.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

ક્લાયંટ બાજુ પર, તે સમય ઝોનને યોગ્ય રીતે સેટ કરવા માટે પૂરતું છે.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

/etc/chrony.conf ફાઇલ NTP સર્વર ક્રોની ચલાવતા અમારા VPS સર્વરના IP અથવા યજમાન નામનો ઉલ્લેખ કરે છે.

server my.vps.server

અને અંતે, ક્લાયંટ પર સમય સિંક્રનાઇઝેશન શરૂ કરો.

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

આગલી વખતે હું તમને કહીશ કે ઇન્ટરનેટ વિના સમયને સુમેળ કરવા માટે કયા વિકલ્પો છે.

સોર્સ: www.habr.com

કેવી રીતે સમય સિંક્રનાઇઝેશન સુરક્ષિત બન્યું