ProHoster > بلاگ > انتظاميه > ڪئين وقت جي هم وقت سازي محفوظ ٿي وئي

ڪئين وقت جي هم وقت سازي محفوظ ٿي وئي

ڪئين وقت جي هم وقت سازي محفوظ ٿي وئي
ڪيئن پڪ ڪجي ته وقت غلط نه آهي جيڪڏهن توهان وٽ ٽي سي پي/آئي پي ذريعي ڪميونيڪيشن ڪندڙ هڪ لک وڏا ۽ ننڍا ڊوائيس آهن؟ آخرڪار، انهن مان هر هڪ ڪلاڪ آهي، ۽ وقت انهن سڀني لاء صحيح هجڻ گهرجي. اهو مسئلو اين ٽي پي کان سواءِ حل نٿو ڪري سگهجي.

اچو ته هڪ منٽ لاءِ تصور ڪريون ته صنعتي آئي ٽي انفراسٽرڪچر جي هڪ حصي ۾ وقت سان گڏ خدمتن کي هم وقت سازي ڪرڻ ۾ مشڪلاتون آهن. فوري طور تي انٽرپرائز سافٽ ويئر جو ڪلستر اسٽيڪ ناڪام ٿيڻ شروع ٿئي ٿو، ڊومينز ختم ٿي وڃن ٿا، ماسٽرز ۽ اسٽينڊ بائي نوڊس ناڪامي طور تي اسٽيٽس ڪو کي بحال ڪرڻ جي ڪوشش ڪن ٿا.

اهو پڻ ممڪن آهي ته هڪ حملو ڪندڙ عمدي طور تي MiTM يا DDOS حملي ذريعي وقت کي خراب ڪرڻ جي ڪوشش ڪري ٿو. اهڙي صورتحال ۾، ڪجهه به ٿي سگهي ٿو:

  • يوزر اڪائونٽ پاسورڊ ختم ٿي ويندا؛
  • X.509 سرٽيفڪيٽ ختم ٿي ويندا؛
  • TOTP ٻن عنصر جي تصديق ڪم ڪرڻ بند ڪندو.
  • بيڪ اپ پراڻي ٿي ويندا ۽ سسٽم انهن کي ختم ڪري ڇڏيندو؛
  • DNSSEc ٽوڙيندو.

اهو واضح آهي ته هر آئي ٽي ڊپارٽمينٽ وقت جي هم وقت سازي جي خدمتن جي قابل اعتماد آپريشن ۾ دلچسپي رکي ٿي، ۽ اهو سٺو هوندو جيڪڏهن اهي صنعتي آپريشن ۾ قابل اعتماد ۽ محفوظ هجن.

25 منٽن ۾ NTP ٽوڙيو

نيٽ ورڪ پروٽوڪول - هزارين سالن جي هڪ خاصيت آهي، اهي آهن پراڻو ۽ هاڻي ڪنهن به شيءِ لاءِ سٺا نه آهن، پر انهن کي تبديل ڪرڻ ايترو آسان ناهي جڏهن ته حوصلا افزائي ۽ فنڊنگ جو هڪ نازڪ ڪاميٽي گڏ ڪيو وڃي.

کلاسک NTP بابت بنيادي شڪايت مداخلت ڪندڙن جي حملن کان بچائڻ لاء قابل اعتماد ميڪانيزم جي کوٽ آهي. هن مسئلي کي حل ڪرڻ لاء مختلف ڪوششون ڪيون ويون آهن. ھن کي حاصل ڪرڻ لاءِ، اسان پھريون ڀيرو لاڳو ڪيو ھڪ پري شيئر ڪيل ڪي (PSK) ميکانيزم سميٽرڪ ڪنيز جي تبادلي لاءِ.

بدقسمتي سان، اهو طريقو هڪ سادي سبب لاء ادا نه ڪيو ويو آهي - اهو سٺو نه آهي. دستياب ترتيب جي ضرورت آهي ڪلائنٽ پاسي تي سرور جي لحاظ سان. ان جو مطلب اهو آهي ته توهان صرف انهي وانگر هڪ ٻيو ڪلائنٽ شامل نٿا ڪري سگهو. جيڪڏهن NTP سرور تي ڪجھ تبديل ٿئي ٿي، سڀني مراجعن کي ٻيهر ترتيب ڏيڻ گھرجي.

پوءِ اهي آٽو ڪيئي سان گڏ آيا، پر انهن کي فوري طور تي الورورٿم جي ڊزائن ۾ ڪيتريون ئي سنگين ڪمزوريون دريافت ٿيون ۽ انهن کي ان کي ڇڏڻو پيو. حقيقت اها آهي ته ٻج صرف 32-بٽ تي مشتمل آهي، اهو تمام ننڍڙو آهي ۽ سامهون واري حملي لاء ڪافي ڪمپيوٽيشنل پيچيدگي تي مشتمل ناهي.

  • Key ID - symmetric 32-bit key؛
  • MAC (پيغام جي تصديق ڪوڊ) - NTP پيڪيٽ چيڪسم؛

Autokey حساب هيٺ ڏنل آهي.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

جتي H() هڪ cryptographic hash فنڪشن آهي.

ساڳيو فنڪشن استعمال ڪيو ويندو آهي حساب ڪتاب جي چيڪسم کي حساب ڪرڻ لاءِ.

MAC=H(Autokey||NTP packet)

اهو ظاهر ٿئي ٿو ته پيڪيج جي چڪاس جي مڪمل سالميت ڪوڪيز جي صداقت تي منحصر آهي. هڪ دفعو توهان وٽ آهي، توهان آٽوڪي کي بحال ڪري سگهو ٿا ۽ پوء MAC کي چوري ڪري سگهو ٿا. جڏهن ته، NTP سرور هڪ ٻج استعمال ڪري ٿو جڏهن انهن کي پيدا ڪري ٿي. اهو آهي جتي پڪڙي ڪوڙ آهي.

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

MSB_32 فنڪشن md5 هيش حساب جي نتيجي مان 32 سڀ کان اهم بٽس کي ڪٽي ٿو. ڪلائنٽ ڪوڪي تبديل نه ٿيندي جيستائين سرور جي پيٽرولن ۾ تبديلي نه ٿيندي. پوءِ حملو ڪندڙ صرف شروعاتي نمبر کي بحال ڪري سگهي ٿو ۽ آزاديءَ سان ڪوڪيز ٺاهي سگھندو.

پهرين، توهان کي NTP سرور سان ڪلائنٽ طور ڳنڍڻ ۽ ڪوڪيز وصول ڪرڻ جي ضرورت آهي. ان کان پوء، هڪ وحشي قوت جو طريقو استعمال ڪندي، حملي ڪندڙ هڪ سادي الگورتھم جي پٺيان شروعاتي نمبر بحال ڪري ٿو.

brute-force طريقو استعمال ڪندي ابتدائي نمبر جي حساب سان حملو ڪرڻ لاء الگورتھم.

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

IP پتي سڃاتل آهن، تنهنڪري باقي رهي ٿو 2^32 هيشز ٺاهڻ جيستائين ٺاهيل ڪوڪيز NTP سرور مان حاصل ڪيل هڪ سان ملن. Intel Core i5 سان هڪ باقاعده گهر اسٽيشن تي، هي 25 منٽ وٺندو.

NTS - نئين Autokey

اهو Autokey ۾ اهڙي سيڪيورٽي سوراخ سان رکڻ لاء ناممڪن هو، ۽ 2012 ۾ ظاهر ٿيو هڪ نئون نسخو پروٽوڪول نالي سان سمجھوتو ڪرڻ لاء، انھن کي ريبرانڊ ڪرڻ جو فيصلو ڪيو ويو، تنھنڪري آٽوڪي v.2 ڊب ڪيو ويو نيٽورڪ ٽائيم سيڪيورٽي.

NTS پروٽوڪول NTP سيڪيورٽي جي توسيع آهي ۽ في الحال صرف يونيڪاسٽ موڊ کي سپورٽ ڪري ٿو. اهو پيڪيٽ مينيپوليشن جي خلاف مضبوط ڪرپٽوگرافڪ تحفظ فراهم ڪري ٿو، سنوپنگ کي روڪي ٿو، چڱي طرح ماپ ڪري ٿو، نيٽ ورڪ پيڪٽ جي نقصان لاءِ لچڪدار آهي، ۽ ڪنيڪشن سيڪيورٽي جي دوران گھٽ ۾ گھٽ صحت واري نقصان جي نتيجي ۾.

هڪ NTS ڪنيڪشن ٻن مرحلن تي مشتمل آهي جيڪي هيٺين پرت پروٽوڪول استعمال ڪن ٿا. تي پهرين هن اسٽيج تي، ڪلائنٽ ۽ سرور مختلف ڪنيڪشن پيٽرولر تي متفق آهن ۽ ڪوڪيز جي مٽا سٽا ڪن ٿا جن ۾ ڪنجيون شامل آهن سڀني سان گڏ ڊيٽا سيٽ سان. تي ٻيون هن مرحلي تي، اصل محفوظ ٿيل NTS سيشن ڪلائنٽ ۽ NTP سرور جي وچ ۾ ٿئي ٿو.

ڪئين وقت جي هم وقت سازي محفوظ ٿي وئي

NTS ٻن لوئر-ليئر پروٽوڪول تي مشتمل آھي: نيٽ ورڪ ٽائم سيڪيورٽي ڪيئي ايڪسچينج (NTS-KE)، جيڪو TLS تي محفوظ ڪنيڪشن شروع ڪري ٿو، ۽ NTPv4، NTP پروٽوڪول جو تازو اوتار. هن جي باري ۾ ٿورو وڌيڪ هيٺ.

پهريون مرحلو - NTS KE

هن مرحلي تي، NTP ڪلائنٽ هڪ TLS 1.2/1.3 سيشن شروع ڪري ٿو NTS KE سرور سان هڪ الڳ TCP ڪنيڪشن تي. هن سيشن دوران، هيٺيان ٿئي ٿو.

  • پارٽيون پيٽرول جو تعين ڪن ٿيون اي اي ڊي ٻئي مرحلي لاء الگورتھم.
  • پارٽيون هڪ سيڪنڊ لوئر پرت پروٽوڪول جي وضاحت ڪن ٿيون، پر هن وقت صرف NTPv4 جي حمايت ڪئي وئي آهي.
  • پارٽيون اين ٽي پي سرور جي IP پتي ۽ بندرگاهن کي طئي ڪنديون آهن.
  • NTS KE سرور NTPv4 تحت ڪوڪيز جاري ڪري ٿو.
  • پارٽيون ڪوڪي مواد مان هڪ جوڙو سميٽرڪ ڪيز (C2S ۽ S2C) ڪڍن ٿيون.

هن طريقي جو وڏو فائدو آهي ته ڳجهي معلومات جي منتقلي جو سمورو بار ڪنيڪشن پيٽرولر جي حوالي سان ثابت ۽ قابل اعتماد TLS پروٽوڪول تي پوي ٿو. هي هڪ محفوظ NTP هٿ ملائڻ لاءِ توهان جي پنهنجي ڦيٿي کي ٻيهر ٺاهڻ جي ضرورت کي ختم ڪري ٿو.

ٻيو مرحلو - NTP NTS تحفظ هيٺ

ٻئي قدم ۾، ڪلائنٽ محفوظ طور تي وقت کي NTP سرور سان هم وقت سازي ڪري ٿو. ھن مقصد لاءِ، اھو NTPv4 پيڪٽ ڍانچي ۾ چار خاص توسيعات (اسٽٽينشن فيلڊز) منتقل ڪري ٿو.

  • منفرد سڃاڻپ ڪندڙ توسيع ۾ ريپلي حملن کي روڪڻ لاءِ بي ترتيب نانس شامل آهي.
  • NTS ڪوڪي ايڪسٽينشن تي مشتمل آهي NTP ڪوڪيز مان هڪ ڪلائنٽ وٽ دستياب آهي. جيئن ته صرف ڪلائنٽ وٽ سميٽرڪ AAED C2S ۽ S2C ڪنجيون آهن، NTP سرور کي انهن کي ڪوڪي مواد مان ڪڍڻ گهرجي.
  • NTS ڪوڪي پليس هولڊر ايڪسٽينشن ڪلائنٽ لاءِ سرور کان اضافي ڪوڪيز جي درخواست ڪرڻ جو هڪ طريقو آهي. هي واڌارو ضروري آهي انهي کي يقيني بڻائڻ لاءِ ته NTP سرور جو جواب درخواست کان گهڻو ڊگهو نه آهي. هي amplification حملن کي روڪڻ ۾ مدد ڪري ٿي.
  • NTS Authenticator ۽ Encrypted Extension Fields Extension تي مشتمل آھي AAED cipher سان C2S ڪيئي، NTP ھيڊر، ٽائم اسٽيمپس، ۽ مٿيون EF ڊيٽا سان گڏ. هن توسيع کان سواءِ ٽائم اسٽيمپ کي چوري ڪرڻ ممڪن آهي.

ڪئين وقت جي هم وقت سازي محفوظ ٿي وئي

ڪلائنٽ کان درخواست حاصل ڪرڻ تي، سرور NTP پيڪٽ جي صداقت جي تصديق ڪري ٿو. هن کي ڪرڻ لاء، هن کي لازمي طور تي ڪوڪيز کي ختم ڪرڻ گهرجي، AAED الگورتھم ۽ ڪنجين کي ڪڍڻ گهرجي. ڪاميابيءَ سان تصديق ڪرڻ لاءِ NTP پيڪيٽ چيڪ ڪرڻ کان پوءِ، سرور ڪلائنٽ کي هيٺين شڪل ۾ جواب ڏيندو.

  • منفرد سڃاڻپ ڪندڙ واڌارو ڪلائنٽ جي درخواست جي آئيني ڪاپي آهي، ريپلي حملن جي خلاف هڪ ماپ.
  • سيشن جاري رکڻ لاءِ NTS ڪوڪيز جي واڌ وڌيڪ ڪوڪيز.
  • NTS Authenticator ۽ Encrypted Extension Fields Extension ۾ AEAD cipher شامل آھي S2C ڪيئي سان.

ٻئي هٿ ملائڻ کي ڪيترائي ڀيرا ورجائي سگهجي ٿو، پهرين قدم کي پاس ڪندي، ڇاڪاڻ ته هر درخواست ۽ جواب ڪلائنٽ کي اضافي ڪوڪيز ڏئي ٿو. ھن ۾ اھو فائدو آھي ته PKI ڊيٽا کي ڪمپيوٽنگ ۽ منتقل ڪرڻ جي نسبتا وسيلن جي گھڻائي TLS عملن کي بار بار درخواستن جي تعداد سان ورهايو ويو آھي. اهو خاص طور تي خاص FPGA ٽائم ڪيپرز لاءِ آسان آهي، جڏهن سميٽري ڪرپٽوگرافي جي فيلڊ مان تمام مکيه ڪارڪردگي ڪيترن ئي ڪمن ۾ پيڪيج ڪري سگھجن ٿيون، پوري TLS اسٽيڪ کي ٻئي ڊوائيس ڏانهن منتقل ڪندي.

NTPSec

NTP بابت خاص ڇا آهي؟ ان حقيقت جي باوجود ته منصوبي جي مصنف، ڊيو ملز، ڪوشش ڪئي ته هن جي ڪوڊ کي ممڪن طور تي بهترين طور تي دستاويز ڪرڻ، اهو هڪ نادر پروگرامر آهي جيڪو 35 سالن جي عمر جي وقت جي هم وقت سازي جي الگورتھم جي پيچيدگين کي سمجهڻ جي قابل هوندو. ڪجهه ڪوڊ POSIX دور کان اڳ لکيو ويو هو، ۽ يونڪس API پوءِ ان کان بلڪل مختلف هو جيڪو اڄ استعمال ڪيو وڃي ٿو. ان کان سواء، انگن اکرن جي ڄاڻ جي ضرورت آهي ته سگنل کي شور واري لائين تي مداخلت کان صاف ڪرڻ لاء.

NTS NTP کي درست ڪرڻ جي پهرين ڪوشش نه هئي. هڪ دفعو حملي آورن کي DDoS حملن کي وڌائڻ لاءِ NTP جي ڪمزورين جو استحصال ڪرڻ سکيو، اهو واضح ٿي ويو ته بنيادي تبديلين جي ضرورت هئي. ۽ جڏهن NTS ڊرافٽ تيار ۽ فائنل ٿي رهيا هئا، 2014 جي آخر ۾ يو ايس نيشنل سائنس فائونڊيشن فوري طور تي NTP کي جديد ڪرڻ لاءِ گرانٽ مختص ڪئي.

ڪم ڪندڙ گروپ جي سربراهي نه رڳو ڪنهن جي طرفان هئي، پر ايريڪ اسٽيفن ريمنڊ - اوپن سورس ڪميونٽي جي باني ۽ ستونن مان هڪ ۽ ڪتاب جو ليکڪ گرجا گھر ۽ بازار. پهرين شيء ايريڪ ۽ سندس دوستن کي ڪرڻ جي ڪوشش ڪئي وئي NTP ڪوڊ کي BitKeeper پليٽ فارم تان git ڏانهن منتقل ڪيو ويو، پر اهو انهي طريقي سان ڪم نه ڪيو. پروجيڪٽ ليڊر هارلان اسٽين ان فيصلي جي خلاف هو ۽ ڳالهين کي روڪيو ويو. ان کان پوء اهو فيصلو ڪيو ويو ته منصوبي جي ڪوڊ کي ڇڪايو وڃي، ۽ NTPSec پيدا ٿيو.

سخت تجربو، بشمول GPSD تي ڪم، هڪ رياضياتي پس منظر ۽ قديم ڪوڊ پڙهڻ جي جادوئي مهارت - ايريڪ ريمنڊ بلڪل هيڪر هو جيڪو اهڙي منصوبي کي ختم ڪري سگهي ٿو. ٽيم هڪ ڪوڊ لڏپلاڻ جو ماهر مليو ۽ صرف 10 هفتن ۾ NTP آباد ٿيوGitLab تي. ڪم زورن تي هو.

ايريڪ ريمنڊ جي ٽيم اهو ڪم ان ئي طريقي سان ڪيو جيئن آگسٽو روڊن پٿر جي هڪ بلاڪ سان ڪيو هو. پراڻي ڪوڊ جي 175 KLOC کي هٽائڻ سان، اهي ڪيترائي حفاظتي سوراخ بند ڪري حملي جي سطح کي خاص طور تي گهٽائڻ جي قابل هئا.

هتي انهن جي هڪ نامڪمل فهرست آهي جيڪي تقسيم ۾ شامل آهن:

  • غير دستاويزي، پراڻي، پراڻي يا ٽٽل ريفڪلڪ.
  • غير استعمال ٿيل ICS لائبريري.
  • libopts / autogen.
  • ونڊوز لاء پراڻي ڪوڊ.
  • اين ٽي پي ڊي سي.
  • آٽوڪي.
  • ntpq سي ڪوڊ پٿون ۾ ٻيهر لکيو ويو آهي.
  • sntp/ntpdig سي ڪوڊ پٿون ۾ ٻيهر لکيو ويو آهي.

ڪوڊ کي صاف ڪرڻ کان علاوه، منصوبي ۾ ٻيا ڪم هئا. هتي حاصلات جي هڪ جزوي فهرست آهي:

  • بفر اوور فلو جي خلاف ڪوڊ تحفظ کي خاص طور تي بهتر ڪيو ويو آهي. بفر جي اوور فلوز کي روڪڻ لاءِ، سڀ غير محفوظ اسٽرنگ افعال (strcpy/strcat/strtok/sprintf/vsprintf/gets) کي محفوظ ورزن سان تبديل ڪيو ويو آهي جيڪي بفر جي سائيز جي حدن کي لاڳو ڪن ٿا.
  • شامل ڪيو ويو NTS سپورٽ.
  • جسماني هارڊويئر کي ڳنڍڻ سان ڏهه ڀيرا بهتر وقت جي قدم جي درستگي. اهو حقيقت جي ڪري آهي ته جديد ڪمپيوٽر جي گھڙين جي ڀيٽ ۾ وڌيڪ صحيح ٿي چڪا آهن جڏهن NTP پيدا ٿيو هو. ان مان سڀ کان وڏو فائدو حاصل ڪندڙ GPSDO ۽ وقف وقت ريڊيو هئا.
  • پروگرامنگ ٻولين جو تعداد ٻن تائين گھٽجي ويو آھي. پرل جي بدران، awk ۽ حتي ايس اسڪرپٽ، اهو هاڻي سڀ پٿون آهي. انهي جي ڪري، ڪوڊ ٻيهر استعمال لاء وڌيڪ موقعا آهن.
  • آٽو ٽولز اسڪرپٽ جي نوڊلز جي بدران، پروجيڪٽ هڪ سافٽ ويئر بلڊ سسٽم استعمال ڪرڻ شروع ڪيو waf.
  • پروجيڪٽ دستاويزن کي اپڊيٽ ڪيو ۽ ٻيهر منظم ڪيو. دستاويزن جي هڪ متضاد ۽ ڪڏهن ڪڏهن قديم آثارن مان، اهي ڪافي قابل دستاويز ٺاهيا آهن. هر ڪمانڊ لائن سوئچ ۽ هر ترتيب واري اداري وٽ هاڻي سچ جو هڪ واحد نسخو آهي. اضافي طور تي، انسان صفحا ۽ ويب دستاويز هاڻي ساڳيا بنيادي فائلن مان ٺاهيا ويا آهن.

NTPSec ڪيترن ئي لينڪس جي تقسيم لاء دستياب آهي. هن وقت، جديد مستحڪم نسخو 1.1.8 آهي، جينٽو لينڪس لاءِ اهو سڀ کان وڏو آهي.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

ڪرني

پراڻي اين ٽي پي کي وڌيڪ محفوظ متبادل سان تبديل ڪرڻ جي هڪ ٻي ڪوشش هئي. Chrony، NTPSec جي برعڪس، زمين کان مٿي لکيو ويو آهي ۽ ڪيترن ئي حالتن ۾ قابل اعتماد طريقي سان هلائڻ لاءِ ٺاهيو ويو آهي، جنهن ۾ غير مستحڪم نيٽ ورڪ ڪنيڪشن، جزوي نيٽ ورڪ جي دستيابي يا گنجائش، ۽ گرمي پد جي تبديليون شامل آهن. ان کان سواء، chrony ٻيا فائدا آهن:

  • chrony وڌيڪ درستگي سان سسٽم جي گھڙي کي تيزيء سان هم وقت سازي ڪري سگھي ٿو.
  • chrony ننڍو آهي، گهٽ ميموري استعمال ڪري ٿو، ۽ صرف ضرورت جي صورت ۾ سي پي يو تائين رسائي ڪري ٿو. هي وسيلن ۽ توانائي بچائڻ لاء هڪ وڏو پلس آهي.
  • chrony لينڪس تي هارڊويئر ٽائم اسٽيمپ کي سپورٽ ڪري ٿو، مقامي نيٽ ورڪن تي انتهائي صحيح هم وقت سازي جي اجازت ڏئي ٿي.

بهرحال، ڪروني ۾ پراڻي اين ٽي پي جي ڪجهه خاصيتن جو فقدان آهي، جهڙوڪ براڊڪاسٽ ۽ ملٽي ڪاسٽ ڪلائنٽ/سرور. ان کان علاوه، کلاسک NTP وڏي تعداد ۾ آپريٽنگ سسٽم ۽ پليٽ فارمن کي سپورٽ ڪري ٿو.

chronyd پروسيس کي سرور ۽ NTP درخواستن جي ڪارڪردگي کي غير فعال ڪرڻ لاء، صرف chrony.conf فائل ۾ پورٽ 0 لکو. اهو انهن ڪيسن ۾ ڪيو ويندو آهي جتي اين ٽي پي گراهڪن يا ساٿين لاءِ وقت برقرار رکڻ جي ضرورت ناهي. ورزن 2.0 کان وٺي، NTP سرور پورٽ صرف ان وقت کليل هوندو آهي جڏهن رسائي جي اجازت ڏني وئي هجي يا مناسب ڪمانڊ، يا هڪ اين ٽي پي پير صاحب ترتيب ڏنل هجي، يا براڊڪاسٽ ڊائريڪٽو استعمال ڪيو ويندو هجي.

پروگرام ٻن ماڊلز تي مشتمل آهي.

  • chronyd هڪ خدمت آهي جيڪا پس منظر ۾ هلندي آهي. اهو سسٽم ڪلاڪ ۽ خارجي وقت سرور جي وچ ۾ فرق بابت معلومات حاصل ڪري ٿو ۽ مقامي وقت کي ترتيب ڏئي ٿو. اهو پڻ NTP پروٽوڪول کي لاڳو ڪري ٿو ۽ ڪلائنٽ يا سرور طور ڪم ڪري سگھي ٿو.
  • chronyc پروگرام مانيٽرنگ ۽ ڪنٽرول لاءِ ڪمانڊ لائن افاديت آهي. مختلف خدمت جي پيٽرولن کي ٺيڪ ڪرڻ لاءِ استعمال ڪيو ويندو آهي، مثال طور توهان کي NTP سرور شامل ڪرڻ يا ختم ڪرڻ جي اجازت ڏيڻ جڏهن ته ڪرونيڊ هلندي رهي.

RedHat Linux جو نسخو 7 کان وٺي استعمال ڪري ٿو chrony هڪ وقت جي هم وقت سازي جي خدمت جي طور تي. پيڪيج ٻين لينڪس جي تقسيم لاء پڻ دستياب آهي. جديد مستحڪم نسخو 3.5 آهي، v4.0 جي ڇڏڻ جي تياري.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

آفيس نيٽ ورڪ تي وقت کي هم وقت سازي ڪرڻ لاءِ انٽرنيٽ تي پنهنجو ريموٽ ڪروني سرور ڪيئن سيٽ اپ ڪجي. هيٺ ڏنل هڪ VPS ترتيب ڏيڻ جو هڪ مثال آهي.

VPS تي RHEL / CentOS تي Chrony ترتيب ڏيڻ جو مثال

اچو ته ھاڻي ٿورڙي مشق ڪريون ۽ ھڪ VPS تي پنھنجو NTP سرور سيٽ ڪريو. اهو تمام سادو آهي، صرف RuVDS ويب سائيٽ تي مناسب ٽريف چونڊيو، هڪ تيار ڪيل سرور حاصل ڪريو ۽ درجنين سادي حڪمن کي ٽائپ ڪريو. اسان جي مقصدن لاء، هي اختيار ڪافي مناسب آهي.

ڪئين وقت جي هم وقت سازي محفوظ ٿي وئي

اچو ته خدمت کي سيٽ ڪرڻ لاء اڳتي وڌو ۽ پهرين انسٽال ڪريو ڪروني پيڪيج.

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8 استعمال ڪريو مختلف پيڪيج مينيجر.

[root@server ~]$ dnf install chrony

chrony انسٽال ڪرڻ کان پوء، توهان کي خدمت شروع ڪرڻ ۽ چالو ڪرڻ جي ضرورت آهي.

[root@server ~]$ systemctl enable chrony --now

جيڪڏھن چاھيو، توھان /etc/chrony.conf ۾ تبديليون ڪري سگھو ٿا، NPT سرور کي ويجھي مقامي سرورن سان بدلائي جوابي وقت گھٽائڻ لاءِ.

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

اڳيون، اسان مقرر ڪيل پول مان نوڊس سان NTP سرور جي هم وقت سازي کي ترتيب ڏيو.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

اهو پڻ ضروري آهي ته اين ٽي پي بندرگاهه کي ٻاهران کولڻ لاء، ٻي صورت ۾ فائر وال ڪلائنٽ نوڊس کان ايندڙ ڪنيڪشن کي بلاڪ ڪندو.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

ڪلائنٽ جي پاسي تي، اهو ڪافي آهي صحيح وقت جو علائقو مقرر ڪرڻ لاء.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

/etc/chrony.conf فائل اسان جي VPS سرور جو IP يا ميزبان نالو بيان ڪري ٿو جيڪو NTP سرور chrony هلائي ٿو.

server my.vps.server

۽ آخرڪار، ڪلائنٽ تي وقت جي هم وقت سازي شروع ٿئي ٿي.

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

ايندڙ وقت مان توهان کي ٻڌائيندس ته انٽرنيٽ کان سواءِ وقت کي هم وقت سازي ڪرڻ لاءِ ڪهڙا آپشن آهن.

ڪئين وقت جي هم وقت سازي محفوظ ٿي وئي

ڪئين وقت جي هم وقت سازي محفوظ ٿي وئي

جو ذريعو: www.habr.com

تبصرو شامل ڪريو