ProHoster > Блог > நிர்வாகம் > நேர ஒத்திசைவு எவ்வாறு பாதுகாப்பானது

நேர ஒத்திசைவு எவ்வாறு பாதுகாப்பானது

நேர ஒத்திசைவு எவ்வாறு பாதுகாப்பானது
TCP/IP மூலம் தொடர்பு கொள்ளும் ஒரு மில்லியன் பெரிய மற்றும் சிறிய சாதனங்கள் உங்களிடம் இருந்தால், நேரம் பொய்யாகாது என்பதை எப்படி உறுதி செய்வது? எல்லாவற்றிற்கும் மேலாக, அவர்கள் ஒவ்வொருவருக்கும் ஒரு கடிகாரம் உள்ளது, மேலும் அவர்கள் அனைவருக்கும் நேரம் சரியாக இருக்க வேண்டும். என்டிபி இல்லாமல் இந்தப் பிரச்சனையைத் தவிர்க்க முடியாது.

தொழில்துறை தகவல் தொழில்நுட்ப உள்கட்டமைப்பின் ஒரு பிரிவில் காலப்போக்கில் சேவைகளை ஒத்திசைப்பதில் சிக்கல்கள் இருப்பதை ஒரு நிமிடம் கற்பனை செய்து பாருங்கள். உடனடியாக எண்டர்பிரைஸ் மென்பொருளின் க்ளஸ்டர் ஸ்டேக் தோல்வியடையத் தொடங்குகிறது, டொமைன்கள் சிதைந்துவிடும், மாஸ்டர்கள் மற்றும் காத்திருப்பு முனைகள் தோல்வியுற்ற நிலையை மீட்டெடுக்க முயற்சிக்கின்றன.

தாக்குபவர் வேண்டுமென்றே MiTM அல்லது DDOS தாக்குதல் மூலம் நேரத்தை சீர்குலைக்க முயற்சிப்பதும் சாத்தியமாகும். அத்தகைய சூழ்நிலையில், எதுவும் நடக்கலாம்:

  • பயனர் கணக்கு கடவுச்சொற்கள் காலாவதியாகிவிடும்;
  • X.509 சான்றிதழ்கள் காலாவதியாகிவிடும்;
  • TOTP இரண்டு காரணி அங்கீகாரம் வேலை செய்வதை நிறுத்தும்;
  • காப்புப்பிரதிகள் காலாவதியாகிவிடும் மற்றும் கணினி அவற்றை நீக்கும்;
  • DNSSec உடைந்து விடும்.

ஒவ்வொரு தகவல் தொழில்நுட்பத் துறையும் நேர ஒத்திசைவு சேவைகளின் நம்பகமான செயல்பாட்டில் ஆர்வமாக உள்ளது என்பது தெளிவாகிறது, மேலும் அவை தொழில்துறை செயல்பாட்டில் நம்பகமானதாகவும் பாதுகாப்பாகவும் இருந்தால் நன்றாக இருக்கும்.

25 நிமிடங்களில் என்டிபியை உடைக்கவும்

நெட்வொர்க் நெறிமுறைகள் - மில்லினியல்களுக்கு ஒரு தனித்தன்மை உள்ளது, அவை இருந்திருக்கின்றன காலாவதியானது மற்றும் இனி எதற்கும் நல்லதல்ல, ஆனால் ஆர்வலர்கள் மற்றும் நிதியுதவியின் முக்கியமான கூட்டம் குவிந்தாலும் அவற்றை மாற்றுவது அவ்வளவு எளிதானது அல்ல.

கிளாசிக் NTP பற்றிய முக்கிய புகார், ஊடுருவும் நபர்களின் தாக்குதல்களில் இருந்து பாதுகாப்பதற்கான நம்பகமான வழிமுறைகள் இல்லாதது ஆகும். இப்பிரச்னைக்கு தீர்வு காண பல்வேறு முயற்சிகள் மேற்கொள்ளப்பட்டன. இதை அடைய, சமச்சீர் விசைகளை பரிமாறிக்கொள்வதற்கான முன்-பகிர்வு விசை (PSK) பொறிமுறையை முதலில் செயல்படுத்தினோம்.

துரதிர்ஷ்டவசமாக, இந்த முறை ஒரு எளிய காரணத்திற்காக செலுத்தவில்லை - அது நன்றாக அளவிடவில்லை. சேவையகத்தைப் பொறுத்து கிளையன்ட் பக்கத்தில் கையேடு உள்ளமைவு தேவைப்படுகிறது. இதன் பொருள் நீங்கள் மற்றொரு வாடிக்கையாளரைச் சேர்க்க முடியாது. NTP சேவையகத்தில் ஏதேனும் மாற்றம் ஏற்பட்டால், அனைத்து கிளையண்டுகளும் மறுகட்டமைக்கப்பட வேண்டும்.

பின்னர் அவர்கள் ஆட்டோகேயைக் கொண்டு வந்தனர், ஆனால் அல்காரிதத்தின் வடிவமைப்பிலேயே பல கடுமையான பாதிப்புகளை அவர்கள் உடனடியாகக் கண்டுபிடித்தனர், மேலும் அவர்கள் அதைக் கைவிட வேண்டியிருந்தது. விஷயம் என்னவென்றால், விதையில் 32 பிட்கள் மட்டுமே உள்ளன, இது மிகவும் சிறியது மற்றும் முன்பக்க தாக்குதலுக்கு போதுமான கணக்கீட்டு சிக்கலானது இல்லை.

  • முக்கிய ஐடி - சமச்சீர் 32-பிட் விசை;
  • MAC (செய்தி அங்கீகாரக் குறியீடு) - NTP பாக்கெட் செக்சம்;

ஆட்டோகீ பின்வருமாறு கணக்கிடப்படுகிறது.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

H() என்பது கிரிப்டோகிராஃபிக் ஹாஷ் செயல்பாடாகும்.

பாக்கெட்டுகளின் செக்சம் கணக்கிட அதே செயல்பாடு பயன்படுத்தப்படுகிறது.

MAC=H(Autokey||NTP packet)

தொகுப்பு காசோலைகளின் முழு ஒருமைப்பாடும் குக்கீகளின் நம்பகத்தன்மையில் தங்கியுள்ளது என்று மாறிவிடும். நீங்கள் அவற்றைப் பெற்றவுடன், நீங்கள் ஆட்டோகியை மீட்டெடுக்கலாம், பின்னர் MAC ஐ ஏமாற்றலாம். இருப்பினும், NTP சேவையகம் அவற்றை உருவாக்கும் போது ஒரு விதையைப் பயன்படுத்துகிறது. இங்குதான் பிடிப்பு உள்ளது.

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

MSB_32 செயல்பாடு md5 ஹாஷ் கணக்கீடு முடிவிலிருந்து 32 மிக முக்கியமான பிட்களை துண்டிக்கிறது. சேவையக அளவுருக்கள் மாறாமல் இருக்கும் வரை கிளையன்ட் குக்கீ மாறாது. பின்னர் தாக்குபவர் ஆரம்ப எண்ணை மட்டுமே மீட்டெடுக்க முடியும் மற்றும் சுயாதீனமாக குக்கீகளை உருவாக்க முடியும்.

முதலில், நீங்கள் NTP சேவையகத்துடன் கிளையண்ட்டாக இணைத்து குக்கீகளைப் பெற வேண்டும். இதற்குப் பிறகு, ஒரு முரட்டுத்தனமான முறையைப் பயன்படுத்தி, தாக்குபவர் ஒரு எளிய வழிமுறையைப் பின்பற்றி ஆரம்ப எண்ணை மீட்டெடுக்கிறார்.

ப்ரூட்-ஃபோர்ஸ் முறையைப் பயன்படுத்தி ஆரம்ப எண்ணின் கணக்கீட்டைத் தாக்குவதற்கான அல்காரிதம்.

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

IP முகவரிகள் அறியப்படுகின்றன, எனவே உருவாக்கப்பட்ட குக்கீயானது NTP சேவையகத்திலிருந்து பெறப்பட்ட குக்கீயுடன் பொருந்தும் வரை 2^32 ஹாஷ்களை உருவாக்க வேண்டும். Intel Core i5 உடன் வழக்கமான ஹோம் ஸ்டேஷனில், இதற்கு 25 நிமிடங்கள் ஆகும்.

என்டிஎஸ் - புதிய ஆட்டோகி

ஆட்டோகியில் இதுபோன்ற பாதுகாப்பு துளைகளை வைப்பது சாத்தியமில்லை, 2012 இல் அது தோன்றியது ஒரு புதிய பதிப்பு நெறிமுறை. பெயரை சமரசம் செய்வதற்காக, அவர்கள் மறுபெயரிட முடிவு செய்தனர், எனவே ஆட்டோகி v.2 நெட்வொர்க் நேர பாதுகாப்பு என்று அழைக்கப்பட்டது.

என்டிஎஸ் நெறிமுறை என்பது என்டிபி பாதுகாப்பின் நீட்டிப்பாகும், தற்போது யூனிகாஸ்ட் பயன்முறையை மட்டுமே ஆதரிக்கிறது. இது பாக்கெட் கையாளுதலுக்கு எதிராக வலுவான கிரிப்டோகிராஃபிக் பாதுகாப்பை வழங்குகிறது, ஸ்னூப்பிங்கைத் தடுக்கிறது, நன்றாக அளவிடுகிறது, நெட்வொர்க் பாக்கெட் இழப்பிற்கு மீள்தன்மை கொண்டது, மேலும் இணைப்பு பாதுகாப்பின் போது ஏற்படும் துல்லியமான இழப்பின் மிகக் குறைந்த அளவு விளைகிறது.

ஒரு NTS இணைப்பு கீழ் அடுக்கு நெறிமுறைகளைப் பயன்படுத்தும் இரண்டு நிலைகளைக் கொண்டுள்ளது. அன்று முதல் இந்த கட்டத்தில், கிளையன்ட் மற்றும் சர்வர் பல்வேறு இணைப்பு அளவுருக்கள் மற்றும் பரிமாற்ற குக்கீகளை அனைத்து அதனுடன் உள்ள தரவுத் தொகுப்புடன் விசைகள் உள்ளன. அன்று இரண்டாவது இந்த கட்டத்தில், உண்மையான பாதுகாக்கப்பட்ட NTS அமர்வு கிளையன்ட் மற்றும் NTP சேவையகத்திற்கு இடையே நடைபெறுகிறது.

நேர ஒத்திசைவு எவ்வாறு பாதுகாப்பானது

என்டிஎஸ் இரண்டு கீழ்-அடுக்கு நெறிமுறைகளைக் கொண்டுள்ளது: நெட்வொர்க் டைம் செக்யூரிட்டி கீ எக்ஸ்சேஞ்ச் (NTS-KE), இது TLS வழியாக பாதுகாப்பான இணைப்பைத் தொடங்குகிறது மற்றும் NTP நெறிமுறையின் சமீபத்திய அவதாரமான NTPv4. இதைப் பற்றி இன்னும் கொஞ்சம் கீழே.

முதல் நிலை - NTS KE

இந்த கட்டத்தில், NTP கிளையன்ட் TLS 1.2/1.3 அமர்வை NTS KE சேவையகத்துடன் ஒரு தனி TCP இணைப்பில் தொடங்குகிறது. இந்த அமர்வின் போது பின்வருபவை நடக்கும்.

  • கட்சிகள் அளவுருக்களை தீர்மானிக்கின்றன AEAD இரண்டாவது கட்டத்திற்கான வழிமுறை.
  • கட்சிகள் இரண்டாவது கீழ்-அடுக்கு நெறிமுறையை வரையறுக்கின்றன, ஆனால் தற்போது NTPv4 மட்டுமே ஆதரிக்கப்படுகிறது.
  • NTP சேவையகத்தின் IP முகவரி மற்றும் போர்ட்டை கட்சிகள் தீர்மானிக்கின்றன.
  • NTS KE சேவையகம் NTPv4 இன் கீழ் குக்கீகளை வெளியிடுகிறது.
  • குக்கீ மெட்டீரியலில் இருந்து ஒரு ஜோடி சமச்சீர் விசைகளை (C2S மற்றும் S2C) கட்சிகள் பிரித்தெடுக்கின்றன.

இந்த அணுகுமுறையானது இணைப்பு அளவுருக்கள் தொடர்பான இரகசிய தகவலை அனுப்பும் முழு சுமையும் நிரூபிக்கப்பட்ட மற்றும் நம்பகமான TLS நெறிமுறையின் மீது விழும் பெரும் நன்மையைக் கொண்டுள்ளது. பாதுகாப்பான NTP ஹேண்ட்ஷேக்கிற்காக உங்கள் சொந்த சக்கரத்தை மீண்டும் கண்டுபிடிக்க வேண்டிய தேவையை இது நீக்குகிறது.

இரண்டாவது நிலை - NTS பாதுகாப்பின் கீழ் NTP

இரண்டாவது கட்டத்தில், கிளையன்ட் NTP சேவையகத்துடன் நேரத்தை பாதுகாப்பாக ஒத்திசைக்கிறது. இந்த நோக்கத்திற்காக, இது NTPv4 பாக்கெட் அமைப்பில் நான்கு சிறப்பு நீட்டிப்புகளை (நீட்டிப்பு புலங்கள்) அனுப்புகிறது.

  • தனித்துவ அடையாளங்காட்டி நீட்டிப்பு, ரீப்ளே தாக்குதல்களைத் தடுக்க ஒரு சீரற்ற நோன்ஸ் கொண்டுள்ளது.
  • NTS குக்கீ நீட்டிப்பு கிளையண்டிற்கு கிடைக்கும் NTP குக்கீகளில் ஒன்றைக் கொண்டுள்ளது. கிளையண்டிடம் மட்டுமே C2S மற்றும் S2C சமச்சீர் AAED விசைகள் இருப்பதால், NTP சேவையகம் அவற்றை குக்கீ மெட்டீரியலில் இருந்து பிரித்தெடுக்க வேண்டும்.
  • என்டிஎஸ் குக்கீ பிளேஸ்ஹோல்டர் நீட்டிப்பு என்பது கிளையன்ட் சேவையகத்திலிருந்து கூடுதல் குக்கீகளைக் கோருவதற்கான ஒரு வழியாகும். என்டிபி சர்வர் பதில் கோரிக்கையை விட நீண்டதாக இல்லை என்பதை உறுதிப்படுத்த இந்த நீட்டிப்பு அவசியம். இது பெருக்க தாக்குதல்களைத் தடுக்க உதவுகிறது.
  • NTS அங்கீகரிப்பு மற்றும் மறைகுறியாக்கப்பட்ட நீட்டிப்பு புலங்கள் நீட்டிப்பு ஆனது C2S விசை, NTP தலைப்பு, நேர முத்திரைகள் மற்றும் மேலே உள்ள EF உடன் தரவுகளுடன் AAED மறைக்குறியீட்டைக் கொண்டுள்ளது. இந்த நீட்டிப்பு இல்லாமல் நேர முத்திரைகளை ஏமாற்ற முடியும்.

நேர ஒத்திசைவு எவ்வாறு பாதுகாப்பானது

கிளையண்டிடமிருந்து ஒரு கோரிக்கையைப் பெற்றவுடன், சேவையகம் NTP பாக்கெட்டின் நம்பகத்தன்மையை சரிபார்க்கிறது. இதைச் செய்ய, அவர் குக்கீகளை மறைகுறியாக்க வேண்டும், AAED அல்காரிதம் மற்றும் விசைகளைப் பிரித்தெடுக்க வேண்டும். NTP பாக்கெட்டை செல்லுபடியாக்க வெற்றிகரமாகச் சரிபார்த்த பிறகு, சேவையகம் பின்வரும் வடிவத்தில் கிளையண்டிற்கு பதிலளிக்கிறது.

  • தனித்துவ அடையாளங்காட்டி நீட்டிப்பு என்பது கிளையன்ட் கோரிக்கையின் பிரதிபலிப்பாகும், இது ரீப்ளே தாக்குதல்களுக்கு எதிரான நடவடிக்கையாகும்.
  • NTS குக்கீ அமர்வைத் தொடர கூடுதல் குக்கீகளை நீட்டிக்கவும்.
  • NTS அங்கீகரிப்பு மற்றும் மறைகுறியாக்கப்பட்ட நீட்டிப்பு புலங்கள் நீட்டிப்பு S2C விசையுடன் AEAD மறைக்குறியீட்டைக் கொண்டுள்ளது.

ஒவ்வொரு கோரிக்கையும் பதிலும் வாடிக்கையாளருக்கு கூடுதல் குக்கீகளை வழங்குவதால், முதல் படியைத் தவிர்த்து, இரண்டாவது கைகுலுக்கலை மீண்டும் மீண்டும் செய்யலாம். PKI தரவைக் கம்ப்யூட்டிங் செய்வதற்கும் கடத்துவதற்கும் ஒப்பீட்டளவில் வள-தீவிர TLS செயல்பாடுகள் மீண்டும் மீண்டும் கோரிக்கைகளின் எண்ணிக்கையால் வகுக்கப்படுவது இதன் நன்மையைக் கொண்டுள்ளது. சிறப்பு FPGA நேரக் கண்காணிப்பாளர்களுக்கு இது மிகவும் வசதியானது, அனைத்து முக்கிய செயல்பாடுகளும் சமச்சீர் குறியாக்கத் துறையில் இருந்து பல செயல்பாடுகளில் தொகுக்கப்படலாம், முழு TLS அடுக்கையும் மற்றொரு சாதனத்திற்கு மாற்றும்.

NTPSec

என்டிபியின் சிறப்பு என்ன? திட்டத்தின் ஆசிரியர், டேவ் மில்ஸ், தனது குறியீட்டை முடிந்தவரை சிறப்பாக ஆவணப்படுத்த முயற்சித்த போதிலும், 35 வயதுடைய நேர ஒத்திசைவு வழிமுறைகளின் நுணுக்கங்களை புரிந்து கொள்ளக்கூடிய ஒரு அரிய புரோகிராமர் இது. சில குறியீடுகள் POSIX சகாப்தத்திற்கு முன்பே எழுதப்பட்டன, மேலும் Unix API இன்று பயன்படுத்தப்படுவதில் இருந்து மிகவும் வித்தியாசமாக இருந்தது. கூடுதலாக, சத்தமில்லாத கோடுகளில் குறுக்கீட்டிலிருந்து சமிக்ஞையை அழிக்க புள்ளிவிவரங்களின் அறிவு தேவை.

NTP ஐ சரிசெய்வதற்கான முதல் முயற்சி NTS அல்ல. DDoS தாக்குதல்களைப் பெருக்க NTP பாதிப்புகளைப் பயன்படுத்த தாக்குபவர்கள் கற்றுக்கொண்டவுடன், தீவிரமான மாற்றங்கள் தேவை என்பது தெளிவாகியது. NTS வரைவுகள் தயாரிக்கப்பட்டு இறுதி செய்யப்பட்ட நிலையில், 2014 ஆம் ஆண்டின் இறுதியில் அமெரிக்க தேசிய அறிவியல் அறக்கட்டளை NTP இன் நவீனமயமாக்கலுக்கான மானியத்தை அவசரமாக ஒதுக்கியது.

பணிக்குழு யாராலும் வழிநடத்தப்படவில்லை, ஆனால் எரிக் ஸ்டீவன் ரேமண்ட் - திறந்த மூல சமூகத்தின் நிறுவனர்கள் மற்றும் தூண்களில் ஒருவர் மற்றும் புத்தகத்தின் ஆசிரியர் கதீட்ரல் மற்றும் பஜார். எரிக் மற்றும் அவரது நண்பர்கள் செய்ய முயற்சித்த முதல் விஷயம், NTP குறியீட்டை BitKeeper இயங்குதளத்தில் இருந்து git க்கு நகர்த்துவதுதான், ஆனால் அது அப்படிச் செயல்படவில்லை. திட்டத் தலைவர் ஹார்லன் ஸ்டென் இந்த முடிவுக்கு எதிராக இருந்தார் மற்றும் பேச்சுவார்த்தைகள் ஸ்தம்பித்தன. பின்னர் திட்டக் குறியீட்டை பிரிக்க முடிவு செய்யப்பட்டது, மேலும் NTPSec பிறந்தது.

ஜிபிஎஸ்டியில் பணிபுரிதல், கணிதப் பின்னணி மற்றும் பண்டைய குறியீட்டைப் படிக்கும் மாயாஜாலத் திறன் உட்பட திடமான அனுபவம் - எரிக் ரேமண்ட் சரியாக அத்தகைய திட்டத்தை இழுக்கக்கூடிய ஹேக்கர் ஆவார். குழு ஒரு குறியீடு இடம்பெயர்தல் நிபுணரைக் கண்டறிந்தது மற்றும் 10 வாரங்களில் NTP ஐக் கண்டறிந்தது குடியேறினார்GitLab இல். வேலை மும்முரமாக நடந்து வந்தது.

எரிக் ரேமண்டின் குழுவினர் அகஸ்டே ரோடின் ஒரு கல்லைக் கொண்டு செய்ததைப் போலவே பணியை மேற்கொண்டனர். 175 KLOC பழைய குறியீட்டை அகற்றுவதன் மூலம், பல பாதுகாப்பு துளைகளை மூடுவதன் மூலம் தாக்குதல் மேற்பரப்பைக் கணிசமாகக் குறைக்க முடிந்தது.

விநியோகத்தில் சேர்க்கப்பட்டுள்ளவர்களின் முழுமையற்ற பட்டியல் இங்கே:

  • ஆவணப்படுத்தப்படாத, காலாவதியான, காலாவதியான அல்லது உடைந்த மறுகடிகாரம்.
  • பயன்படுத்தப்படாத ICS நூலகம்.
  • லிபோப்ட்ஸ்/ஆட்டோஜென்.
  • விண்டோஸிற்கான பழைய குறியீடு.
  • என்டிபிடிசி.
  • ஆட்டோகீ.
  • ntpq C குறியீடு பைத்தானில் மீண்டும் எழுதப்பட்டது.
  • sntp/ntpdig C குறியீடு பைத்தானில் மீண்டும் எழுதப்பட்டது.

குறியீட்டை சுத்தம் செய்வதோடு கூடுதலாக, திட்டத்திற்கு மற்ற பணிகள் இருந்தன. சாதனைகளின் பகுதி பட்டியல் இங்கே:

  • பஃபர் ஓவர்ஃப்ளோவுக்கு எதிரான குறியீடு பாதுகாப்பு கணிசமாக மேம்படுத்தப்பட்டுள்ளது. இடையக நிரம்பி வழிவதைத் தடுக்க, அனைத்து பாதுகாப்பற்ற சரச் செயல்பாடுகளும் (strcpy/strcat/strtok/sprintf/vsprintf/gets) பாதுகாப்பான பதிப்புகளால் மாற்றப்பட்டு, அவை இடையக அளவு வரம்புகளைச் செயல்படுத்துகின்றன.
  • NTS ஆதரவு சேர்க்கப்பட்டது.
  • இயற்பியல் வன்பொருளை இணைப்பதன் மூலம் மேம்படுத்தப்பட்ட நேர படி துல்லியம் பத்து மடங்கு. நவீன கணினி கடிகாரங்கள் என்டிபி பிறந்தபோது இருந்ததை விட மிகவும் துல்லியமாக மாறியதே இதற்குக் காரணம். இதன் மிகப்பெரிய பயனாளிகள் GPSDO மற்றும் அர்ப்பணிக்கப்பட்ட நேர ரேடியோக்கள்.
  • நிரலாக்க மொழிகளின் எண்ணிக்கை இரண்டாகக் குறைக்கப்பட்டுள்ளது. Perl, awk மற்றும் S ஸ்கிரிப்ட்களுக்குப் பதிலாக, இப்போது அனைத்தும் பைதான். இதன் காரணமாக, குறியீட்டை மீண்டும் பயன்படுத்த அதிக வாய்ப்புகள் உள்ளன.
  • ஆட்டோடூல்ஸ் ஸ்கிரிப்ட்களின் நூடுல்ஸுக்குப் பதிலாக, திட்டம் மென்பொருள் உருவாக்க அமைப்பைப் பயன்படுத்தத் தொடங்கியது வடை.
  • புதுப்பிக்கப்பட்ட மற்றும் மறுசீரமைக்கப்பட்ட திட்ட ஆவணங்கள். முரண்பாடான மற்றும் சில சமயங்களில் தொன்மையான ஆவணங்களின் தொகுப்பிலிருந்து, அவர்கள் மிகவும் கடந்து செல்லக்கூடிய ஆவணங்களை உருவாக்கினர். ஒவ்வொரு கட்டளை வரி சுவிட்ச் மற்றும் ஒவ்வொரு உள்ளமைவு நிறுவனமும் இப்போது உண்மையின் ஒற்றை பதிப்பைக் கொண்டுள்ளது. கூடுதலாக, மேன் பக்கங்கள் மற்றும் இணைய ஆவணங்கள் இப்போது அதே முக்கிய கோப்புகளிலிருந்து உருவாக்கப்படுகின்றன.

NTPSec பல லினக்ஸ் விநியோகங்களுக்கு கிடைக்கிறது. இந்த நேரத்தில், சமீபத்திய நிலையான பதிப்பு 1.1.8 ஆகும், ஜென்டூ லினக்ஸுக்கு இது இறுதியான ஒன்றாகும்.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

குரோனி

பழைய என்டிபியை மிகவும் பாதுகாப்பான மாற்றாக மாற்ற மற்றொரு முயற்சி இருந்தது. க்ரோனி, NTPSec போலல்லாமல், அடிப்படையிலிருந்து எழுதப்பட்டது மற்றும் நிலையற்ற நெட்வொர்க் இணைப்புகள், பகுதி நெட்வொர்க் கிடைக்கும் அல்லது நெரிசல் மற்றும் வெப்பநிலை மாற்றங்கள் உள்ளிட்ட பலவிதமான நிலைமைகளின் கீழ் நம்பகத்தன்மையுடன் செயல்பட வடிவமைக்கப்பட்டுள்ளது. கூடுதலாக, க்ரோனிக்கு மற்ற நன்மைகள் உள்ளன:

  • chrony கணினி கடிகாரத்தை அதிக துல்லியத்துடன் வேகமாக ஒத்திசைக்க முடியும்;
  • chrony சிறியது, குறைந்த நினைவகத்தை பயன்படுத்துகிறது மற்றும் தேவைப்படும் போது மட்டுமே CPU ஐ அணுகும். வளங்கள் மற்றும் ஆற்றலைச் சேமிப்பதற்கு இது ஒரு பெரிய பிளஸ்;
  • chrony லினக்ஸில் வன்பொருள் நேர முத்திரைகளை ஆதரிக்கிறது, உள்ளூர் நெட்வொர்க்குகளில் மிகவும் துல்லியமான ஒத்திசைவை அனுமதிக்கிறது.

இருப்பினும், பிராட்காஸ்ட் மற்றும் மல்டிகாஸ்ட் கிளையன்ட்/சர்வர் போன்ற பழைய என்டிபியின் சில அம்சங்கள் chrony இல் இல்லை. கூடுதலாக, கிளாசிக் என்டிபி அதிக எண்ணிக்கையிலான இயக்க முறைமைகள் மற்றும் இயங்குதளங்களை ஆதரிக்கிறது.

க்ரோனிட் செயல்முறைக்கான சர்வர் மற்றும் என்டிபி கோரிக்கைகளின் செயல்பாட்டை முடக்க, chrony.conf கோப்பில் போர்ட் 0 என எழுதவும். NTP கிளையண்டுகள் அல்லது சகாக்களுக்கு நேரத்தை பராமரிக்க வேண்டிய அவசியம் இல்லாத சந்தர்ப்பங்களில் இது செய்யப்படுகிறது. பதிப்பு 2.0 முதல், அனுமதி உத்தரவு அல்லது பொருத்தமான கட்டளையால் அணுகல் அனுமதிக்கப்படும் போது அல்லது NTP பியர் உள்ளமைக்கப்பட்டால் அல்லது ஒளிபரப்பு உத்தரவு பயன்படுத்தப்படும் போது மட்டுமே NTP சேவையக போர்ட் திறக்கப்படும்.

நிரல் இரண்டு தொகுதிகளைக் கொண்டுள்ளது.

  • chronyd என்பது பின்னணியில் இயங்கும் ஒரு சேவையாகும். இது கணினி கடிகாரத்திற்கும் வெளிப்புற நேர சேவையகத்திற்கும் உள்ள வேறுபாடு பற்றிய தகவலைப் பெறுகிறது மற்றும் உள்ளூர் நேரத்தை சரிசெய்கிறது. இது NTP நெறிமுறையையும் செயல்படுத்துகிறது மற்றும் கிளையன்ட் அல்லது சர்வராக செயல்பட முடியும்.
  • chronyc என்பது நிரல் கண்காணிப்பு மற்றும் கட்டுப்பாட்டிற்கான கட்டளை வரி பயன்பாடாகும். பல்வேறு சேவை அளவுருக்களை நன்றாக மாற்றியமைக்கப் பயன்படுகிறது, எடுத்துக்காட்டாக, chronyd தொடர்ந்து இயங்கும் போது NTP சேவையகங்களைச் சேர்க்க அல்லது அகற்ற உங்களை அனுமதிக்கிறது.

RedHat Linux இன் பதிப்பு 7 முதல் பயன்கள் நேர ஒத்திசைவு சேவையாக chrony. மற்ற லினக்ஸ் விநியோகங்களுக்கும் தொகுப்பு கிடைக்கிறது. சமீபத்திய நிலையான பதிப்பு 3.5, v4.0 வெளியீட்டிற்கு தயாராகிறது.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

அலுவலக நெட்வொர்க்கில் நேரத்தை ஒத்திசைக்க இணையத்தில் உங்கள் சொந்த ரிமோட் க்ரோனி சர்வரை எவ்வாறு அமைப்பது. விபிஎஸ் அமைப்பதற்கான எடுத்துக்காட்டு கீழே உள்ளது.

VPS இல் RHEL / CentOS இல் Chrony ஐ அமைப்பதற்கான எடுத்துக்காட்டு

இப்போது கொஞ்சம் பயிற்சி செய்து, VPS இல் எங்கள் சொந்த NTP சேவையகத்தை அமைப்போம். இது மிகவும் எளிமையானது, RuVDS இணையதளத்தில் பொருத்தமான கட்டணத்தைத் தேர்வுசெய்து, ஆயத்த சேவையகத்தைப் பெற்று, ஒரு டஜன் எளிய கட்டளைகளைத் தட்டச்சு செய்யவும். எங்கள் நோக்கங்களுக்காக, இந்த விருப்பம் மிகவும் பொருத்தமானது.

நேர ஒத்திசைவு எவ்வாறு பாதுகாப்பானது

சேவையை அமைப்பதற்குச் சென்று முதலில் க்ரோனி தொகுப்பை நிறுவுவோம்.

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8 வேறுபட்ட தொகுப்பு மேலாளரைப் பயன்படுத்துகிறது.

[root@server ~]$ dnf install chrony

க்ரோனியை நிறுவிய பின், நீங்கள் சேவையைத் தொடங்கி செயல்படுத்த வேண்டும்.

[root@server ~]$ systemctl enable chrony --now

விரும்பினால், நீங்கள் /etc/chrony.conf இல் மாற்றங்களைச் செய்யலாம், மறுமொழி நேரத்தைக் குறைக்க NPT சேவையகங்களை அருகிலுள்ள உள்ளூர் சேவைகளுடன் மாற்றலாம்.

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

அடுத்து, குறிப்பிட்ட குளத்திலிருந்து முனைகளுடன் NTP சேவையகத்தின் ஒத்திசைவை அமைக்கிறோம்.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

NTP போர்ட்டை வெளியில் திறப்பதும் அவசியம், இல்லையெனில் ஃபயர்வால் கிளையன்ட் முனைகளிலிருந்து உள்வரும் இணைப்புகளைத் தடுக்கும்.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

கிளையன்ட் பக்கத்தில், நேர மண்டலத்தை சரியாக அமைத்தால் போதும்.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

/etc/chrony.conf கோப்பு, NTP சர்வர் chrony இயங்கும் எங்கள் VPS சேவையகத்தின் IP அல்லது ஹோஸ்ட் பெயரைக் குறிப்பிடுகிறது.

server my.vps.server

இறுதியாக, கிளையண்டில் நேர ஒத்திசைவைத் தொடங்குகிறது.

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

இணையம் இல்லாமல் நேரத்தை ஒத்திசைக்க என்ன விருப்பங்கள் உள்ளன என்பதை அடுத்த முறை நான் உங்களுக்கு சொல்கிறேன்.

நேர ஒத்திசைவு எவ்வாறு பாதுகாப்பானது

நேர ஒத்திசைவு எவ்வாறு பாதுகாப்பானது

ஆதாரம்: www.habr.com

கருத்தைச் சேர்