როგორ გახდა დროის სინქრონიზაცია უსაფრთხო

როგორ დავრწმუნდეთ, რომ დრო თავისთავად არ ცრუობს, თუ თქვენ გაქვთ მილიონი დიდი და პატარა მოწყობილობა, რომელიც კომუნიკაციას უწევს TCP/IP-ის საშუალებით? ყოველივე ამის შემდეგ, თითოეულ მათგანს აქვს საათი და დრო ყველასთვის სწორი უნდა იყოს. ამ პრობლემის გვერდის ავლა შეუძლებელია ntp-ის გარეშე.

ერთი წუთით წარმოვიდგინოთ, რომ ინდუსტრიული IT ინფრასტრუქტურის ერთ სეგმენტში დროთა განმავლობაში სერვისების სინქრონიზაციასთან დაკავშირებული სირთულეებია. მაშინვე Enterprise პროგრამული უზრუნველყოფის კლასტერული სტეკი იწყებს მარცხს, დომენები იშლება, მასტერები და Standby კვანძები წარუმატებლად ცდილობენ სტატუს კვოს აღდგენას.

ასევე შესაძლებელია, რომ თავდამსხმელი განზრახ ცდილობდეს დროის ჩაშლას MiTM ან DDOS შეტევის საშუალებით. ასეთ სიტუაციაში ყველაფერი შეიძლება მოხდეს:

• მომხმარებლის ანგარიშის პაროლები იწურება;
• X.509 სერთიფიკატებს ვადა გაუვა;
• TOTP ორფაქტორიანი ავთენტიფიკაცია შეწყვეტს მუშაობას;
• სარეზერვო ასლები მოძველდება და სისტემა წაშლის მათ;
• DNSSec გაფუჭდება.

გასაგებია, რომ ყველა IT დეპარტამენტი დაინტერესებულია დროის სინქრონიზაციის სერვისების საიმედო ფუნქციონირებით და კარგი იქნება, რომ ისინი საიმედო და უსაფრთხო იყოს სამრეწველო ექსპლუატაციაში.

გატეხეთ NTP 25 წუთში

ქსელური პროტოკოლები - მილენიალებს ერთი თავისებურება აქვთ, ეს იყო მოძველებული და არაფრისთვის აღარ არის კარგი, მაგრამ მათი ჩანაცვლება არც ისე ადვილია მაშინაც კი, როცა ენთუზიასტთა კრიტიკული მასა და დაფინანსებაა დაგროვილი.

მთავარი საჩივარი კლასიკური NTP-ის შესახებ არის საიმედო მექანიზმების ნაკლებობა თავდასხმებისგან თავდასხმებისგან. ამ პრობლემის გადასაჭრელად სხვადასხვა მცდელობა გაკეთდა. ამის მისაღწევად, ჩვენ პირველად დავაყენეთ წინასწარ გაზიარებული გასაღები (PSK) მექანიზმი სიმეტრიული გასაღებების გაცვლისთვის.

სამწუხაროდ, ამ მეთოდმა შედეგი არ გამოიღო მარტივი მიზეზის გამო - ის კარგად არ მასშტაბებს. მექანიკური კონფიგურაცია საჭიროა კლიენტის მხრიდან სერვერის მიხედვით. ეს ნიშნავს, რომ თქვენ უბრალოდ არ შეგიძლიათ დაამატოთ სხვა კლიენტი. თუ რამე შეიცვალა NTP სერვერზე, ყველა კლიენტი ხელახლა უნდა იყოს კონფიგურირებული.

შემდეგ მათ გამოიგონეს AutoKey, მაგრამ მათ მაშინვე აღმოაჩინეს მთელი რიგი სერიოზული დაუცველობა თავად ალგორითმის დიზაინში და მათ უნდა დაეტოვებინათ იგი. საქმე ის არის, რომ თესლი შეიცავს მხოლოდ 32 ბიტს, ის ძალიან მცირეა და არ შეიცავს საკმარის გამოთვლით სირთულეს ფრონტალური შეტევისთვის.

• გასაღები ID - სიმეტრიული 32-ბიტიანი გასაღები;
• MAC (შეტყობინებების ავთენტიფიკაციის კოდი) - NTP პაკეტის საკონტროლო ჯამი;

Autokey გამოითვლება შემდეგნაირად.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

სადაც H() არის კრიპტოგრაფიული ჰეშის ფუნქცია.

იგივე ფუნქცია გამოიყენება პაკეტების საკონტროლო ჯამის გამოსათვლელად.

MAC=H(Autokey||NTP packet)

გამოდის, რომ პაკეტის შემოწმების მთელი მთლიანობა ეყრდნობა ქუქიების ავთენტურობას. როდესაც თქვენ გაქვთ ისინი, შეგიძლიათ აღადგინოთ ავტომატური გასაღები და შემდეგ გააფუჭოთ MAC. თუმცა, NTP სერვერი იყენებს თესლს მათი გენერირებისას. ეს არის სადაც დაჭერა დევს.

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

MSB_32 ფუნქცია წყვეტს 5 ყველაზე მნიშვნელოვან ბიტს md32 ჰეშის გამოთვლის შედეგიდან. კლიენტის ქუქი ფაილი არ იცვლება, სანამ სერვერის პარამეტრები უცვლელი რჩება. მაშინ თავდამსხმელს შეუძლია მხოლოდ საწყისი ნომრის აღდგენა და ქუქიების დამოუკიდებლად გენერირება.

პირველ რიგში, თქვენ უნდა დაუკავშირდეთ NTP სერვერს, როგორც კლიენტს და მიიღოთ ქუქიები. ამის შემდეგ, უხეში ძალის მეთოდის გამოყენებით, თავდამსხმელი აღადგენს საწყის რიცხვს მარტივი ალგორითმის მიხედვით.

უხეში ძალის მეთოდის გამოყენებით საწყისი რიცხვის გამოთვლაზე თავდასხმის ალგორითმი.

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

IP მისამართები ცნობილია, ამიტომ რჩება მხოლოდ 2^32 ჰეშის შექმნა, სანამ შექმნილი ქუქი არ დაემთხვევა NTP სერვერიდან მიღებულს. ჩვეულებრივ საშინაო სადგურზე Intel Core i5-ით, ამას 25 წუთი დასჭირდება.

NTS - ახალი ავტომატური გასაღები

Autokey-ში უსაფრთხოების ასეთი ხვრელების შეგუება შეუძლებელი იყო და ის 2012 წელს გამოჩნდა ახალი ვერსია ოქმი. სახელის კომპრომისის მიზნით, მათ გადაწყვიტეს რებრენდინგი, ამიტომ Autokey v.2-ს ეწოდა Network Time Security.

NTS პროტოკოლი არის NTP უსაფრთხოების გაფართოება და ამჟამად მხარს უჭერს მხოლოდ unicast რეჟიმში. ის უზრუნველყოფს ძლიერ კრიპტოგრაფიულ დაცვას პაკეტის მანიპულაციისგან, ხელს უშლის თვალის დახუჭვას, კარგად მასშტაბებს, მდგრადია ქსელის პაკეტის დაკარგვის მიმართ და იწვევს კავშირის უსაფრთხოების დროს წარმოქმნილ სიზუსტის ნაკლებ დანაკარგს.

NTS კავშირი შედგება ორი ეტაპისგან, რომლებიც იყენებენ ქვედა ფენის პროტოკოლებს. ჩართულია პირველი ამ ეტაპზე კლიენტი და სერვერი თანხმდებიან კავშირის სხვადასხვა პარამეტრებზე და ცვლიან ქუქი-ფაილებს, რომლებიც შეიცავს გასაღებს ყველა თანმხლებ მონაცემთა ნაკრებთან. ჩართულია მეორე ამ ეტაპზე, ფაქტობრივი დაცული NTS სესია ხდება კლიენტსა და NTP სერვერს შორის.

NTS შედგება ორი ქვედა ფენის პროტოკოლისგან: Network Time Security Key Exchange (NTS-KE), რომელიც იწყებს უსაფრთხო კავშირს TLS-ზე და NTPv4, NTP პროტოკოლის უახლესი ინკარნაცია. ცოტა მეტი ამის შესახებ ქვემოთ.

პირველი ეტაპი - NTS KE

ამ ეტაპზე NTP კლიენტი იწყებს TLS 1.2/1.3 სესიას ცალკე TCP კავშირის საშუალებით NTS KE სერვერთან. ამ სესიის დროს ხდება შემდეგი.

• მხარეები განსაზღვრავენ პარამეტრებს AEAD ალგორითმი მეორე ეტაპისთვის.
• მხარეები განსაზღვრავენ მეორე ქვედა ფენის პროტოკოლს, მაგრამ ამ დროისთვის მხარდაჭერილია მხოლოდ NTPv4.
• მხარეები განსაზღვრავენ NTP სერვერის IP მისამართს და პორტს.
• NTS KE სერვერი გასცემს ქუქი-ფაილებს NTPv4-ის ქვეშ.
• მხარეები ამოიღებენ წყვილი სიმეტრიული გასაღებები (C2S და S2C) ქუქი-ფაილი მასალისგან.

ამ მიდგომას აქვს დიდი უპირატესობა, რომ კავშირის პარამეტრებთან დაკავშირებით საიდუმლო ინფორმაციის გადაცემის მთელი ტვირთი ეკისრება დადასტურებულ და საიმედო TLS პროტოკოლს. ეს გამორიცხავს თქვენი ბორბლის ხელახლა გამოგონების აუცილებლობას უსაფრთხო NTP ხელის ჩამორთმევისთვის.

მეორე ეტაპი - NTP NTS დაცვის ქვეშ

მეორე ეტაპზე, კლიენტი უსაფრთხოდ ახდენს დროის სინქრონიზაციას NTP სერვერთან. ამ მიზნით, ის გადასცემს ოთხ სპეციალურ გაფართოებას (გაფართოების ველებს) NTPv4 პაკეტის სტრუქტურაში.

• უნიკალური იდენტიფიკატორის გაფართოება შეიცავს შემთხვევით ნონსს, რათა თავიდან აიცილოს განმეორებითი შეტევები.
• NTS Cookie Extension შეიცავს ერთ-ერთ NTP ქუქი-ფაილებს, რომლებიც ხელმისაწვდომია კლიენტისთვის. ვინაიდან მხოლოდ კლიენტს აქვს სიმეტრიული AAED C2S და S2C გასაღებები, NTP სერვერმა უნდა ამოიღოს ისინი ქუქიების მასალისგან.
• NTS Cookie Placeholder Extension არის საშუალება კლიენტისთვის, მოითხოვოს დამატებითი ქუქიები სერვერისგან. ეს გაფართოება აუცილებელია იმის უზრუნველსაყოფად, რომ NTP სერვერის პასუხი მოთხოვნაზე ბევრად გრძელი არ იყოს. ეს ხელს უწყობს ამპლიფიკაციის შეტევების თავიდან აცილებას.
• NTS Authenticator და დაშიფრული გაფართოების ველების გაფართოება შეიცავს AAED შიფრს C2S გასაღებით, NTP სათაურით, დროის ნიშნულებით და ზემოთ EF-ით, როგორც თანმხლები მონაცემები. ამ გაფართოების გარეშე შესაძლებელია დროის ანაბეჭდების გაყალბება.

კლიენტისგან მოთხოვნის მიღების შემდეგ, სერვერი ამოწმებს NTP პაკეტის ავთენტურობას. ამისათვის მან უნდა გაშიფროს ქუქიები, ამოიღოს AAED ალგორითმი და გასაღებები. NTP პაკეტის მოქმედების წარმატებით შემოწმების შემდეგ, სერვერი პასუხობს კლიენტს შემდეგი ფორმატით.

• უნიკალური იდენტიფიკატორის გაფართოება არის კლიენტის მოთხოვნის სარკისებური ასლი, ზომა განმეორებითი შეტევების წინააღმდეგ.
• NTS Cookie Extension-ის მეტი ქუქი-ფაილები სესიის გასაგრძელებლად.
• NTS Authenticator და დაშიფრული გაფართოების ველების გაფართოება შეიცავს AEAD შიფრს S2C გასაღებით.

მეორე ხელის ჩამორთმევა შეიძლება ბევრჯერ განმეორდეს, პირველი ნაბიჯის გვერდის ავლით, რადგან თითოეული მოთხოვნა და პასუხი აძლევს კლიენტს დამატებით ქუქი-ფაილებს. ამას აქვს უპირატესობა, რომ შედარებით რესურსზე ინტენსიური TLS ოპერაციები PKI მონაცემების გამოთვლასა და გადაცემაში იყოფა განმეორებითი მოთხოვნის რაოდენობაზე. ეს განსაკუთრებით მოსახერხებელია სპეციალიზებული FPGA ქრონომეტრებისთვის, როდესაც ყველა ძირითადი ფუნქცია შეიძლება შეფუთული იყოს რამდენიმე ფუნქციად სიმეტრიული კრიპტოგრაფიის სფეროდან, გადაიტანოს მთელი TLS დასტა სხვა მოწყობილობაზე.

NTPSec

რა არის განსაკუთრებული NTP-ის შესახებ? იმისდა მიუხედავად, რომ პროექტის ავტორი დეივ მილსი ცდილობდა თავისი კოდის მაქსიმალურად კარგად დოკუმენტირებას, ეს არის იშვიათი პროგრამისტი, რომელიც შეძლებს გაიგოს დროის სინქრონიზაციის ალგორითმების სირთულეები, რომლებიც 35 წლისაა. ზოგიერთი კოდი დაიწერა POSIX ეპოქამდე, ხოლო Unix API მაშინ ძალიან განსხვავდებოდა იმისგან, რაც დღეს გამოიყენება. გარდა ამისა, სტატისტიკის ცოდნა საჭიროა სიგნალის გასასუფთავებლად ხმაურიან ხაზებზე ჩარევისგან.

NTS არ იყო NTP-ის გამოსწორების პირველი მცდელობა. მას შემდეგ, რაც თავდამსხმელებმა ისწავლეს NTP დაუცველობის გამოყენება DDoS შეტევების გასაძლიერებლად, ცხადი გახდა, რომ საჭირო იყო რადიკალური ცვლილებები. და სანამ NTS-ის პროექტები მზადდებოდა და სრულდებოდა, აშშ-ს ეროვნულმა სამეცნიერო ფონდმა 2014 წლის ბოლოს სასწრაფოდ გამოყო გრანტი NTP-ის მოდერნიზაციისთვის.

სამუშაო ჯგუფს ხელმძღვანელობდა არა ვინმე, არამედ ერიკ სტივენ რაიმონდი - ღია კოდის საზოგადოების ერთ-ერთი დამფუძნებელი და საყრდენი და წიგნის ავტორი საკათედრო ტაძარი და ბაზარი. პირველი, რაც ერიკმა და მისმა მეგობრებმა სცადეს, იყო NTP კოდის BitKeeper პლატფორმიდან git-ზე გადატანა, მაგრამ ეს ასე არ გამოვიდა. პროექტის ლიდერი ჰარლან სტენი ამ გადაწყვეტილების წინააღმდეგი იყო და მოლაპარაკებები შეჩერდა. შემდეგ გადაწყდა პროექტის კოდის ჩანგალი და NTPSec დაიბადა.

მყარი გამოცდილება, მათ შორის GPSD-ზე მუშაობა, მათემატიკური ფონი და უძველესი კოდის წაკითხვის ჯადოსნური უნარი - ერიკ რეიმონდი სწორედ ჰაკერი იყო, რომელსაც შეეძლო ასეთი პროექტის განხორციელება. გუნდმა იპოვა კოდის მიგრაციის სპეციალისტი და სულ რაღაც 10 კვირაში NTP დასახლდაGitLab-ზე. მუშაობა გაჩაღდა.

ერიკ რაიმონდის გუნდმა დავალება ისე შეასრულა, როგორც ოგიუსტ როდენმა ქვის ბლოკით. 175 KLOC ძველი კოდის ამოღებით, მათ შეძლეს მნიშვნელოვნად შეამცირონ თავდასხმის ზედაპირი უსაფრთხოების მრავალი ხვრელის დახურვით.

აქ არის არასრული სია, ვინც შედის განაწილებაში:

• დაუსაბუთებელი, მოძველებული, მოძველებული ან გატეხილი refclock.
• გამოუყენებელი ICS ბიბლიოთეკა.
• ლიბოპტები/ავტოგენი.
• ძველი კოდი Windows-ისთვის.
• ntpdc.
• ავტომატური გასაღები.
• ntpq C კოდი გადაწერილია Python-ში.
• sntp/ntpdig C კოდი გადაწერილია Python-ში.

კოდის გასუფთავების გარდა, პროექტს სხვა ამოცანებიც ჰქონდა. აქ არის მიღწევების ნაწილობრივი სია:

• საგრძნობლად გაუმჯობესდა კოდის დაცვა ბუფერის გადადინებისგან. ბუფერის გადადინების თავიდან ასაცილებლად, ყველა სახიფათო სტრიქონის ფუნქცია (strcpy/strcat/strtok/sprintf/vsprintf/gets) შეიცვალა უსაფრთხო ვერსიებით, რომლებიც ახორციელებენ ბუფერის ზომის შეზღუდვებს.
• დამატებულია NTS მხარდაჭერა.
• გაუმჯობესდა დროის ნაბიჯის სიზუსტე ათჯერ ფიზიკური ტექნიკის დაკავშირებით. ეს იმის გამო ხდება, რომ თანამედროვე კომპიუტერული საათები ბევრად უფრო ზუსტი გახდა, ვიდრე NTP-ის დაბადებისას. ამის ყველაზე დიდი ბენეფიციარი იყო GPSDO და გამოყოფილი დროის რადიოები.
• პროგრამირების ენების რაოდენობა ორამდე შემცირდა. Perl-ის, awk-ის და თუნდაც S სკრიპტების ნაცვლად, ახლა სულ პითონია. ამის გამო, მეტი შესაძლებლობაა კოდის ხელახალი გამოყენებისთვის.
• ავტოინსტრუმენტების სკრიპტების ნუდლების ნაცვლად, პროექტმა დაიწყო პროგრამული უზრუნველყოფის აგების სისტემის გამოყენება ვაფშე.
• განახლებული და რეორგანიზაციული საპროექტო დოკუმენტაცია. დოკუმენტების ურთიერთგამომრიცხავი და ზოგჯერ არქაული კოლექციიდან მათ შექმნეს საკმაოდ გამტარი დოკუმენტაცია. ყველა ბრძანების ხაზის გადამრთველს და ყველა კონფიგურაციის ერთეულს ახლა აქვს სიმართლის ერთი ვერსია. გარდა ამისა, man pages და ვებ დოკუმენტაცია ახლა იქმნება იგივე ძირითადი ფაილებიდან.

NTPSec ხელმისაწვდომია Linux-ის მრავალი დისტრიბუციისთვის. ამ დროისთვის, უახლესი სტაბილური ვერსიაა 1.1.8, Gentoo Linux-ისთვის ის ბოლოა.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

ქრონიკა

იყო კიდევ ერთი მცდელობა, შეეცვალათ ძველი NTP უფრო უსაფრთხო ალტერნატივით. Chrony, NTPSec-ისგან განსხვავებით, იწერება ზემოდან და შექმნილია იმისთვის, რომ საიმედოდ იმუშაოს ფართო სპექტრის პირობებში, მათ შორის არასტაბილური ქსელის კავშირები, ნაწილობრივი ქსელის ხელმისაწვდომობა ან გადატვირთულობა და ტემპერატურის ცვლილებები. გარდა ამისა, ქრონიკს სხვა უპირატესობები აქვს:

• chrony-ს შეუძლია სისტემის საათის უფრო სწრაფად სინქრონიზაცია დიდი სიზუსტით;
• chrony უფრო პატარაა, მოიხმარს ნაკლებ მეხსიერებას და წვდება CPU-ს მხოლოდ საჭიროების შემთხვევაში. ეს არის დიდი პლიუსი რესურსებისა და ენერგიის დაზოგვისთვის;
• chrony მხარს უჭერს ტექნიკის დროის შტამპებს Linux-ზე, რაც საშუალებას იძლევა უკიდურესად ზუსტი სინქრონიზაცია ადგილობრივ ქსელებში.

თუმცა, chrony-ს აკლია ძველი NTP-ის ზოგიერთი მახასიათებელი, როგორიცაა მაუწყებლობა და მულტიკასტის კლიენტი/სერვერი. გარდა ამისა, კლასიკური NTP მხარს უჭერს ოპერაციული სისტემების და პლატფორმების დიდ რაოდენობას.

სერვერის ფუნქციონირების გამორთვა და NTP მოთხოვნები chronyd პროცესზე, უბრალოდ ჩაწერეთ პორტი 0 chrony.conf ფაილში. ეს კეთდება იმ შემთხვევებში, როდესაც არ არის საჭირო დროის შენარჩუნება NTP კლიენტებისთვის ან თანატოლებისთვის. 2.0 ვერსიიდან, NTP სერვერის პორტი ღიაა მხოლოდ მაშინ, როდესაც წვდომა ნებადართულია დაშვების დირექტივით ან შესაბამისი ბრძანებით, ან კონფიგურირებულია NTP თანატოლი, ან გამოიყენება სამაუწყებლო დირექტივა.

პროგრამა შედგება ორი მოდულისგან.

• chronyd არის სერვისი, რომელიც მუშაობს ფონზე. ის იღებს ინფორმაციას სისტემის საათსა და გარე დროის სერვერს შორის სხვაობის შესახებ და არეგულირებს ადგილობრივ დროს. ის ასევე ახორციელებს NTP პროტოკოლს და შეუძლია იმოქმედოს როგორც კლიენტი ან სერვერი.
• chronyc არის ბრძანების ხაზი პროგრამის მონიტორინგისა და კონტროლისთვის. გამოიყენება სხვადასხვა სერვისის პარამეტრების დასაზუსტებლად, მაგალითად, საშუალებას გაძლევთ დაამატოთ ან წაშალოთ NTP სერვერები, სანამ chronyd აგრძელებს მუშაობას.

RedHat Linux-ის მე-7 ვერსიიდან იყენებს chrony როგორც დროის სინქრონიზაციის სერვისი. პაკეტი ასევე ხელმისაწვდომია სხვა Linux დისტრიბუციებისთვის. უახლესი სტაბილური ვერსია არის 3.5, ემზადება v4.0-ის გამოშვებისთვის.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

როგორ დააყენოთ თქვენი საკუთარი დისტანციური ქრონიკის სერვერი ინტერნეტში ოფისის ქსელში დროის სინქრონიზაციისთვის. ქვემოთ მოცემულია VPS-ის დაყენების მაგალითი.

Chrony-ის დაყენების მაგალითი RHEL / CentOS-ზე VPS-ზე

მოდით ახლა ცოტა ვივარჯიშოთ და დავაყენოთ ჩვენი NTP სერვერი VPS-ზე. ეს ძალიან მარტივია, უბრალოდ აირჩიეთ შესაბამისი ტარიფი RuVDS ვებსაიტზე, მიიღეთ მზა სერვერი და ჩაწერეთ ათეული მარტივი ბრძანება. ჩვენი მიზნებისთვის, ეს ვარიანტი საკმაოდ შესაფერისია.

მოდით გადავიდეთ სერვისის დაყენებაზე და ჯერ დააინსტალიროთ chrony პაკეტი.

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8 იყენებს სხვა პაკეტის მენეჯერს.

[root@server ~]$ dnf install chrony

chrony-ის დაყენების შემდეგ, თქვენ უნდა დაიწყოთ და გაააქტიუროთ სერვისი.

[root@server ~]$ systemctl enable chrony --now

თუ სასურველია, შეგიძლიათ შეიტანოთ ცვლილებები /etc/chrony.conf-ში, შეცვალოთ NPT სერვერები უახლოესი ლოკალურით, რათა შეამციროთ რეაგირების დრო.

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

შემდეგი, ჩვენ დავაყენეთ NTP სერვერის სინქრონიზაცია მითითებული აუზიდან კვანძებით.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

ასევე აუცილებელია NTP პორტის გარედან გახსნა, წინააღმდეგ შემთხვევაში firewall დაბლოკავს შემომავალ კავშირებს კლიენტის კვანძებიდან.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

კლიენტის მხრიდან საკმარისია დროის სარტყელის სწორად დაყენება.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

ფაილი /etc/chrony.conf განსაზღვრავს ჩვენი VPS სერვერის IP-ს ან ჰოსტის სახელს, რომელიც მუშაობს NTP სერვერის ქრონიკაზე.

server my.vps.server

და ბოლოს, კლიენტზე დროის სინქრონიზაციის დაწყება.

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

შემდეგ ჯერზე გეტყვით რა ვარიანტებია დროის სინქრონიზაციისთვის ინტერნეტის გარეშე.

წყარო: www.habr.com