Цагийн синхрончлол хэрхэн аюулгүй болсон

Хэрэв танд TCP/IP-ээр холбогдож буй сая том жижиг төхөөрөмж байгаа бол цаг хугацаа худлаа биш гэдгийг хэрхэн баталгаажуулах вэ? Эцсийн эцэст, тус бүр нь цагтай бөгөөд цаг нь бүгдэд нь тохирсон байх ёстой. Энэ асуудлыг ntpгүйгээр тойрч гарах боломжгүй.

Аж үйлдвэрийн мэдээллийн технологийн дэд бүтцийн нэг сегментэд цаг хугацааны явцад үйлчилгээг синхрончлоход бэрхшээлтэй байдаг гэж нэг минут төсөөлөөд үз дээ. Тэр даруй Enterprise програм хангамжийн кластер стек бүтэлгүйтэж, домайнууд задарч, мастерууд болон зогсолтын зангилаанууд статус квог сэргээх оролдлого амжилтгүй болно.

Түүнчлэн халдагчид MiTM эсвэл DDOS халдлагаар дамжуулан цагийг зориудаар тасалдуулахыг оролдсон байх магадлалтай. Ийм нөхцөлд юу ч тохиолдож болно:

• Хэрэглэгчийн дансны нууц үг дуусна;
• X.509 гэрчилгээний хугацаа дуусна;
• TOTP хоёр хүчин зүйлийн баталгаажуулалт цаашид ажиллахгүй;
• нөөцлөлтүүд хуучирч, систем тэдгээрийг устгах болно;
• DNSSec эвдэрнэ.

Мэдээллийн технологийн хэлтэс бүр цаг синхрончлолын үйлчилгээг найдвартай ажиллуулах сонирхолтой байдаг нь тодорхой бөгөөд тэдгээр нь үйлдвэрлэлийн үйл ажиллагаанд найдвартай, аюулгүй байвал сайн байх болно.

25 минутын дотор NTP-ийг таслана

Сүлжээний протоколууд - millennials нь нэг онцлог шинж чанартай байдаг хуучирсан Тэд юунд ч ашиггүй болсон ч сонирхогчид болон санхүүжилтийн эгзэгтэй масс хуримтлагдсан ч тэдгээрийг солих нь тийм ч хялбар биш юм.

Сонгодог NTP-ийн гол гомдол бол халдагчдын халдлагаас хамгаалах найдвартай механизм дутмаг байдаг. Энэ асуудлыг шийдэхийн тулд янз бүрийн оролдлого хийсэн. Үүнд хүрэхийн тулд бид эхлээд тэгш хэмтэй түлхүүрүүдийг солилцох урьдчилан хуваалцсан түлхүүр (PSK) механизмыг хэрэгжүүлсэн.

Харамсалтай нь, энэ арга нь энгийн шалтгаанаар үр өгөөжөө өгсөнгүй - энэ нь тийм ч сайн биш юм. Серверээс хамаарч клиент тал дээр гарын авлагын тохиргоо шаардлагатай. Энэ нь та өөр үйлчлүүлэгч нэмэх боломжгүй гэсэн үг юм. Хэрэв NTP сервер дээр ямар нэг зүйл өөрчлөгдвөл бүх үйлчлүүлэгчдийг дахин тохируулах шаардлагатай.

Дараа нь тэд AutoKey-ийг гаргаж ирсэн боловч алгоритмын дизайны хэд хэдэн ноцтой сул талыг тэр даруй олж мэдсэн бөгөөд тэд үүнийг орхих шаардлагатай болсон. Гол зүйл бол үр нь зөвхөн 32 бит агуулдаг бөгөөд энэ нь хэтэрхий жижиг бөгөөд урд талын довтолгоонд хангалттай тооцоолох нарийн төвөгтэй байдлыг агуулдаггүй.

• Түлхүүр ID - тэгш хэмтэй 32 битийн түлхүүр;
• MAC (мессежийн баталгаажуулалтын код) - NTP пакет шалгах нийлбэр;

Автомат түлхүүрийг дараах байдлаар тооцоолно.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

Энд H() нь криптограф хэш функц юм.

Пакетуудын хяналтын нийлбэрийг тооцоолоход ижил функцийг ашигладаг.

MAC=H(Autokey||NTP packet)

Багцын шалгалтын бүрэн бүтэн байдал нь жигнэмэгийн жинхэнэ эсэхээс хамаардаг болох нь харагдаж байна. Тэдгээрийг авсны дараа та автомат түлхүүрийг сэргээж, дараа нь MAC-ыг хуурч болно. Гэсэн хэдий ч NTP сервер нь тэдгээрийг үүсгэхдээ үрийг ашигладаг. Энд л баригдаж байна.

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

MSB_32 функц нь md5 хэш тооцооны үр дүнгээс хамгийн чухал 32 битийг таслана. Серверийн параметрүүд өөрчлөгдөөгүй хэвээр байвал үйлчлүүлэгчийн күүки өөрчлөгдөхгүй. Дараа нь халдагч зөвхөн анхны дугаарыг сэргээж, бие даан күүки үүсгэх боломжтой болно.

Эхлээд та NTP серверт клиентээр холбогдож күүки хүлээн авах хэрэгтэй. Үүний дараа харгис хүчний аргыг ашиглан халдагчид энгийн алгоритмын дагуу анхны тоог сэргээдэг.

Харгис хүчний аргыг ашиглан анхны тооны тооцоололд халдах алгоритм.

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

IP хаягууд нь мэдэгдэж байгаа тул үүсгэсэн күүки нь NTP серверээс хүлээн авсантай таарах хүртэл 2^32 хэш үүсгэх л үлдлээ. Intel Core i5-тай ердийн гэрийн станц дээр энэ нь 25 минут болно.

NTS - шинэ автомат түлхүүр

Autokey-д ийм хамгаалалтын цоорхойг тэвчих боломжгүй байсан бөгөөд 2012 онд гарч ирсэн шинэ хувилбар протокол. Нэрийг нь эвдэхийн тулд тэд брэндээ өөрчлөхөөр шийдсэн тул Autokey v.2-ыг Сүлжээний цагийн аюулгүй байдал гэж нэрлэсэн.

NTS протокол нь NTP аюулгүй байдлын өргөтгөл бөгөөд одоогоор зөвхөн unicast горимыг дэмждэг. Энэ нь пакетийн заль мэхийн эсрэг хүчтэй криптограф хамгаалалтаар хангадаг, тагнуулаас сэргийлж, сайн масштабтай, сүлжээний пакет алдагдахад тэсвэртэй, холболтын аюулгүй байдлын үед хамгийн бага нарийвчлалыг алдагдуулдаг.

NTS холболт нь доод түвшний протоколуудыг ашигладаг хоёр үе шатаас бүрдэнэ. Асаалттай Эхнийх нь Энэ үе шатанд үйлчлүүлэгч болон сервер нь янз бүрийн холболтын параметрүүдийг тохиролцож, дагалдах бүх өгөгдлийн багц бүхий түлхүүрүүдийг агуулсан күүкийг солилцдог. Асаалттай хоёр дахь Энэ үе шатанд жинхэнэ хамгаалагдсан NTS сесс клиент болон NTP серверийн хооронд явагдана.

NTS нь доод түвшний хоёр протоколоос бүрдэнэ: Сүлжээний цагийн аюулгүй байдлын түлхүүр солилцоо (NTS-KE) нь TLS-ээр аюулгүй холболтыг эхлүүлдэг ба NTP протоколын хамгийн сүүлийн хувилбар болох NTPv4. Доор энэ талаар бага зэрэг дэлгэрэнгүй.

Эхний шат - NTS KE

Энэ үе шатанд NTP клиент нь NTS KE сервертэй тусдаа TCP холболтоор TLS 1.2/1.3 сессийг эхлүүлдэг. Энэ хуралдааны үеэр дараахь зүйл тохиолддог.

• Талууд параметрүүдийг тодорхойлдог НЭГЭН Хоёр дахь шатны алгоритм.
• Талууд хоёр дахь доод түвшний протоколыг тодорхойлдог боловч одоогоор зөвхөн NTPv4-ийг дэмждэг.
• Талууд NTP серверийн IP хаяг болон портыг тодорхойлдог.
• NTS KE сервер нь NTPv4 дагуу күүки гаргадаг.
• Талууд жигнэмэгийн материалаас хос тэгш хэмтэй түлхүүрүүдийг (C2S ба S2C) гаргаж авдаг.

Энэ аргын давуу тал нь холболтын параметрүүдийн талаарх нууц мэдээллийг дамжуулах бүх ачаа нь батлагдсан, найдвартай TLS протокол дээр ногддог. Энэ нь аюулгүй NTP гар барихын тулд дугуйгаа дахин зохион бүтээх шаардлагагүй болно.

Хоёр дахь шат - NTS хамгаалалт дор NTP

Хоёр дахь шатанд үйлчлүүлэгч цагийг NTP сервертэй аюулгүйгээр синхрончилдог. Энэ зорилгоор NTPv4 пакетийн бүтцэд дөрвөн тусгай өргөтгөл (өргөтгөлийн талбар) дамжуулдаг.

• Өвөрмөц танигч өргөтгөл нь давтагдах халдлагаас урьдчилан сэргийлэх санамсаргүй бусыг агуулдаг.
• NTS күүки өргөтгөл нь үйлчлүүлэгчид ашиглах боломжтой NTP күүкиүүдийн нэгийг агуулдаг. Зөвхөн үйлчлүүлэгчид C2S ба S2C тэгш хэмтэй AAED түлхүүрүүд байдаг тул NTP сервер тэдгээрийг күүки материалаас гаргаж авах ёстой.
• NTS Cookie Placeholder Extension нь үйлчлүүлэгч серверээс нэмэлт күүки хүсэх арга юм. Энэ өргөтгөл нь NTP серверийн хариу хүсэлтээс нэг их урт биш байхын тулд шаардлагатай. Энэ нь олшруулах халдлагаас урьдчилан сэргийлэхэд тусалдаг.
• NTS Authenticator болон Шифрлэгдсэн өргөтгөлийн талбаруудын өргөтгөл нь C2S түлхүүр, NTP толгой хэсэг, цагийн тэмдэг, дээрх EF бүхий AAED шифрийг дагалдах өгөгдөл болгон агуулна. Энэ өргөтгөлгүйгээр цагийн тэмдгийг хуурамчаар үйлдэх боломжтой.

Үйлчлүүлэгчийн хүсэлтийг хүлээн авмагц сервер NTP пакетийн жинхэнэ эсэхийг шалгана. Үүнийг хийхийн тулд тэрээр күүкиг тайлж, AAED алгоритм болон түлхүүрүүдийг задлах ёстой. NTP багцын хүчинтэй эсэхийг амжилттай шалгасны дараа сервер дараах форматаар үйлчлүүлэгчид хариу өгнө.

• Өвөрмөц танигч өргөтгөл нь үйлчлүүлэгчийн хүсэлтийн толин тусгал хуулбар бөгөөд дахин тоглуулах халдлагын эсрэг арга хэмжээ юм.
• NTS күүки өргөтгөл нь сессийг үргэлжлүүлэхийн тулд илүү олон күүки.
• NTS Authenticator болон Encrypted Extension Fields Өргөтгөл нь S2C түлхүүр бүхий AEAD шифрийг агуулдаг.

Хүсэлт, хариулт бүр нь үйлчлүүлэгчид нэмэлт күүки өгдөг тул хоёр дахь гар барихыг эхний алхамыг алгасаж олон удаа давтаж болно. Энэ нь PKI өгөгдлийг тооцоолох, дамжуулахад харьцангуй их нөөц шаарддаг TLS үйлдлүүд нь давтагдсан хүсэлтийн тоонд хуваагддаг давуу талтай. Энэ нь бүх үндсэн функцийг тэгш хэмт криптографийн талбараас хэд хэдэн функц болгон багцалж, TLS стекийг бүхэлд нь өөр төхөөрөмж рүү шилжүүлэх боломжтой үед энэ нь тусгай FPGA цаг хэмжигчдэд тохиромжтой.

NTPSec

NTP ямар онцлогтой вэ? Төслийн зохиогч Дэйв Миллс өөрийн кодыг аль болох сайн баримтжуулахыг хичээсэн ч 35 жилийн настай цаг синхрончлолын алгоритмын нарийн ширийнийг ойлгох чадвартай ховор програмист юм. Зарим кодын POSIX эринээс өмнө бичигдсэн байсан бөгөөд тэр үед Unix API нь одоогийн хэрэглэж байгаа зүйлээс тэс өөр байсан. Үүнээс гадна дуу чимээтэй шугам дээрх хөндлөнгийн оролцооноос дохиог арилгахын тулд статистикийн мэдлэг шаардлагатай.

NTS нь NTP засах анхны оролдлого биш байсан. Халдагчид DDoS халдлагыг нэмэгдүүлэхийн тулд NTP-ийн эмзэг байдлыг ашиглаж сурсны дараа эрс өөрчлөлт хийх шаардлагатай болсон нь тодорхой болсон. NTS-ийн төслийг боловсруулж, эцэслэн боловсруулж байх үед АНУ-ын Үндэсний Шинжлэх Ухааны Сан 2014 оны сүүлээр ГССҮТ-ийг шинэчлэхэд яаралтай буцалтгүй тусламж олгосон.

Ажлын хэсгийг хэн ч биш, ахалсан Эрик Стивен Рэймонд - Нээлттэй эх сурвалжийн нийгэмлэгийг үүсгэн байгуулагч, тулгуур багана, номын зохиогч Сүм хийд ба зах. Эрик болон түүний найзуудын хийх гэж оролдсон хамгийн эхний зүйл бол NTP кодыг BitKeeper платформоос git рүү шилжүүлэх байсан ч бүтсэнгүй. Төслийн удирдагч Харлан Стенн энэ шийдвэрийг эсэргүүцэж, хэлэлцээр зогссон. Дараа нь төслийн кодыг салгах шийдвэр гарч, NTPSec бий болсон.

GPSD дээр ажиллах, математикийн суурь мэдлэг, эртний кодыг унших ид шидийн ур чадвар зэрэг сайн туршлага - Эрик Рэймонд яг ийм төслийг хэрэгжүүлж чадах хакер байсан. Баг нь код шилжих мэргэжилтэн олж, ердөө 10 долоо хоногийн дотор NTP суурьшсанGitLab дээр. Ажил ид өрнөж байлаа.

Эрик Рэймондын баг Агюст Родин блок чулуугаар даалгаврыг гүйцэтгэсэнтэй адил үүрэг хүлээсэн. Хуучин кодын 175 KLOC-г устгаснаар тэд хамгаалалтын олон цоорхойг хааснаар халдлагын гадаргууг мэдэгдэхүйц бууруулж чадсан.

Хуваарилалтад орсон хүмүүсийн бүрэн бус жагсаалт энд байна:

• Баримт бичиггүй, хуучирсан, хоцрогдсон эсвэл эвдэрсэн refclock.
• Ашиглагдаагүй ICS номын сан.
• либопт/автоген.
• Windows-д зориулсан хуучин код.
• ntpdc.
• Автомат түлхүүр.
• ntpq C кодыг Python дээр дахин бичсэн.
• sntp/ntpdig C кодыг Python дээр дахин бичсэн.

Төсөл кодыг цэвэрлэхээс гадна өөр үүрэг даалгавартай байсан. Амжилтуудын хэсэгчилсэн жагсаалт энд байна:

• Буфер хэт ихсэхээс хамгаалах кодын хамгаалалт мэдэгдэхүйц сайжирсан. Буфер хэт ихсэхээс сэргийлэхийн тулд бүх аюултай мөрийн функцуудыг (strcpy/strcat/strtok/sprintf/vsprintf/gets) буферийн хэмжээ хязгаарыг хэрэгжүүлдэг аюулгүй хувилбаруудаар сольсон.
• NTS дэмжлэг нэмсэн.
• Физик техник хангамжийг холбосноор цагийн алхамын нарийвчлалыг арав дахин нэмэгдүүлсэн. Энэ нь орчин үеийн компьютерийн цагууд нь NTP анх үүссэн үеийнхээс хамаагүй илүү нарийвчлалтай болсонтой холбоотой юм. Үүнээс хамгийн их ашиг хүртэгчид нь GPSDO болон тусгай цагны радио байв.
• Програмчлалын хэлний тоог хоёр болгон бууруулсан. Perl, awk, тэр ч байтугай S скриптүүдийн оронд одоо бүгд Python болсон. Үүнээс шалтгаалан кодыг дахин ашиглах боломжууд нэмэгддэг.
• Төсөлд autotools скриптүүдийн гоймонгийн оронд програм хангамж бүтээх системийг ашиглаж эхэлсэн ваф.
• Төслийн баримт бичгийг шинэчилж, шинэчилсэн. Зөрчилдөөнтэй, заримдаа хуучны баримт бичгийн цуглуулгаас тэд хангалттай баримт бичгийг бүтээжээ. Тушаалын мөрийн шилжүүлэгч болон тохиргооны нэгж бүр үнэний ганц хувилбартай болсон. Нэмж дурдахад, хүн хуудас болон вэб баримт бичгийг ижил үндсэн файлуудаас үүсгэсэн.

NTPSec нь хэд хэдэн Линуксийн түгээлтэд ашиглах боломжтой. Одоогийн байдлаар хамгийн сүүлийн үеийн тогтвортой хувилбар нь 1.1.8, Gentoo Linux-ийн хувьд энэ нь эцсийн өмнөх хувилбар юм.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

Chrony

Хуучин ГССҮТ-ийг илүү найдвартай хувилбараар солих дахин оролдлого гарсан. Chrony нь NTPSec-ээс ялгаатай нь эхнээс нь бичигдсэн бөгөөд тогтворгүй сүлжээний холболт, сүлжээний хэсэгчилсэн хүртээмж, түгжрэл, температурын өөрчлөлт зэрэг өргөн хүрээний нөхцөлд найдвартай ажиллахаар бүтээгдсэн. Үүнээс гадна chrony нь бусад давуу талуудтай:

• chrony нь системийн цагийг илүү нарийвчлалтайгаар хурдан синхрончлох боломжтой;
• chrony нь жижиг, санах ой бага зарцуулдаг, зөвхөн шаардлагатай үед л CPU-д ханддаг. Энэ нь нөөц, эрчим хүчийг хэмнэх том давуу тал юм;
• chrony нь Линукс дээрх техник хангамжийн цагийн тэмдгийг дэмждэг бөгөөд энэ нь дотоод сүлжээнд маш нарийн синхрончлол хийх боломжийг олгодог.

Гэсэн хэдий ч chrony нь хуучин NTP-ийн өргөн нэвтрүүлэг, олон дамжуулалтын клиент/сервер зэрэг зарим онцлог шинж чанаргүй байдаг. Үүнээс гадна сонгодог NTP нь илүү олон тооны үйлдлийн систем, платформуудыг дэмждэг.

Сервер болон chronyd процессын NTP хүсэлтийн функцийг идэвхгүй болгохын тулд chrony.conf файлд 0 портыг бичихэд л хангалттай. Энэ нь NTP үйлчлүүлэгчид эсвэл үе тэнгийнхний цагийг хадгалах шаардлагагүй тохиолдолд хийгддэг. 2.0 хувилбараас хойш NTP серверийн порт нь зөвхөн зөвшөөрлийн заавар эсвэл тохирох тушаалаар нэвтрэхийг зөвшөөрсөн, эсвэл NTP үе тэнгийн тохиргоо хийгдсэн эсвэл өргөн нэвтрүүлгийн удирдамж ашигласан тохиолдолд л нээлттэй байна.

Хөтөлбөр нь хоёр модулиас бүрдэнэ.

• chronyd бол ард ажилладаг үйлчилгээ юм. Энэ нь системийн цаг болон гадаад цагийн серверийн ялгааны талаарх мэдээллийг хүлээн авч, орон нутгийн цагийг тохируулдаг. Энэ нь мөн NTP протоколыг хэрэгжүүлдэг бөгөөд үйлчлүүлэгч эсвэл серверийн үүрэг гүйцэтгэдэг.
• chronyc нь програмыг хянах, хянах командын мөрийн хэрэгсэл юм. Төрөл бүрийн үйлчилгээний параметрүүдийг нарийн тааруулах, жишээлбэл, chronyd-г үргэлжлүүлэн ажиллуулж байх үед NTP серверүүдийг нэмэх эсвэл устгах боломжтой.

RedHat Linux-ийн 7 хувилбараас хойш ашигладаг chrony нь цаг хугацааны синхрончлолын үйлчилгээ юм. Уг багцыг бусад Линукс түгээлтэд ашиглах боломжтой. Хамгийн сүүлийн тогтвортой хувилбар нь 3.5 бөгөөд v4.0 хувилбарыг гаргахаар бэлтгэж байна.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

Оффисын сүлжээнд цагийг синхрончлохын тулд интернетэд өөрийн алсын хрон серверийг хэрхэн тохируулах вэ. VPS тохируулах жишээг доор харуулав.

VPS дээр RHEL / CentOS дээр Chrony-г тохируулах жишээ

Одоо жаахан дасгал хийж, VPS дээр өөрийн NTP серверийг тохируулцгаая. Энэ нь маш энгийн, зүгээр л RuVDS вэбсайтаас тохирох тарифыг сонгоод, бэлэн сервер аваад хэдэн арван энгийн командыг бичнэ үү. Бидний зорилгын хувьд энэ сонголт маш тохиромжтой.

Үйлчилгээний тохиргоо руу шилжиж эхлээд chrony багцыг суулгацгаая.

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8 нь өөр багц менежер ашигладаг.

[root@server ~]$ dnf install chrony

Chrony-г суулгасны дараа та үйлчилгээг эхлүүлж, идэвхжүүлэх хэрэгтэй.

[root@server ~]$ systemctl enable chrony --now

Хэрэв хүсвэл /etc/chrony.conf-д өөрчлөлт оруулж, хариу өгөх хугацааг багасгахын тулд NPT серверүүдийг хамгийн ойрын локал серверүүдээр сольж болно.

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

Дараа нь бид NTP серверийг заасан цөөрмийн зангилаатай синхрончлолыг тохируулсан.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

Мөн NTP портыг гаднаас нь нээх шаардлагатай, эс тэгвээс галт хана нь үйлчлүүлэгчийн зангилаанаас ирж буй холболтыг хаах болно.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

Үйлчлүүлэгчийн хувьд цагийн бүсийг зөв тохируулахад хангалттай.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

/etc/chrony.conf файл нь NTP сервер chrony ажиллаж байгаа манай VPS серверийн IP эсвэл хостын нэрийг зааж өгдөг.

server my.vps.server

Эцэст нь үйлчлүүлэгч дээр цагийн синхрончлолыг эхлүүлнэ.

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

Дараагийн удаа би интернетгүйгээр цагийг синхрончлох ямар сонголт байгааг танд хэлэх болно.

Эх сурвалж: www.habr.com