🥇సమయ సమకాలీకరణ ఎలా సురక్షితంగా మారింది

మీరు TCP/IP ద్వారా కమ్యూనికేట్ చేస్తున్న ఒక మిలియన్ పెద్ద మరియు చిన్న పరికరాలను కలిగి ఉన్నట్లయితే, సమయానికి సరిపోదని ఎలా నిర్ధారించుకోవాలి? అన్నింటికంటే, వాటిలో ప్రతి ఒక్కటి గడియారాన్ని కలిగి ఉంటుంది మరియు వారందరికీ సమయం సరిగ్గా ఉండాలి. ntp లేకుండా ఈ సమస్యను అధిగమించలేము.

పారిశ్రామిక IT అవస్థాపన యొక్క ఒక విభాగంలో కాలక్రమేణా సేవలను సమకాలీకరించడంలో ఇబ్బందులు ఉన్నాయని ఒక నిమిషం ఊహించుకుందాం. వెంటనే ఎంటర్‌ప్రైజ్ సాఫ్ట్‌వేర్ యొక్క క్లస్టర్ స్టాక్ విఫలం కావడం, డొమైన్‌లు విచ్ఛిన్నం కావడం, మాస్టర్‌లు మరియు స్టాండ్‌బై నోడ్‌లు యథాతథ స్థితిని పునరుద్ధరించడానికి విఫలమయ్యాయి.

దాడి చేసే వ్యక్తి ఉద్దేశపూర్వకంగా MiTM లేదా DDOS దాడి ద్వారా సమయానికి అంతరాయం కలిగించడానికి ప్రయత్నించే అవకాశం కూడా ఉంది. అటువంటి పరిస్థితిలో, ఏదైనా జరగవచ్చు:

వినియోగదారు ఖాతా పాస్‌వర్డ్‌ల గడువు ముగుస్తుంది;
X.509 ప్రమాణపత్రాల గడువు ముగుస్తుంది;
TOTP రెండు-కారకాల ప్రమాణీకరణ పని చేయడం ఆగిపోతుంది;
బ్యాకప్‌లు పాతవి అవుతాయి మరియు సిస్టమ్ వాటిని తొలగిస్తుంది;
DNSSec విచ్ఛిన్నమవుతుంది.

ప్రతి ఐటి డిపార్ట్‌మెంట్ టైమ్ సింక్రొనైజేషన్ సేవల యొక్క నమ్మకమైన ఆపరేషన్‌పై ఆసక్తి చూపుతుందని స్పష్టంగా తెలుస్తుంది మరియు అవి పారిశ్రామిక కార్యకలాపాలలో విశ్వసనీయంగా మరియు సురక్షితంగా ఉంటే మంచిది.

25 నిమిషాల్లో NTPని బ్రేక్ చేయండి

నెట్‌వర్క్ ప్రోటోకాల్‌లు - మిలీనియల్స్‌కు ఒక ప్రత్యేకత ఉంది, అవి ఉన్నాయి కాలం చెల్లిన మరియు ఇకపై దేనికీ మంచిది కాదు, కానీ ఔత్సాహికులు మరియు నిధులు సమకూరినప్పుడు కూడా వాటిని భర్తీ చేయడం అంత సులభం కాదు.

క్లాసిక్ NTP గురించిన ప్రధాన ఫిర్యాదు చొరబాటుదారుల దాడుల నుండి రక్షించడానికి నమ్మదగిన యంత్రాంగాలు లేకపోవడం. ఈ సమస్యను పరిష్కరించడానికి వివిధ ప్రయత్నాలు జరిగాయి. దీన్ని సాధించడానికి, మేము మొదట సిమెట్రిక్ కీలను మార్పిడి చేయడానికి ప్రీ-షేర్డ్ కీ (PSK) విధానాన్ని అమలు చేసాము.

దురదృష్టవశాత్తు, ఈ పద్ధతి ఒక సాధారణ కారణం కోసం చెల్లించలేదు - ఇది బాగా స్కేల్ చేయదు. సర్వర్‌పై ఆధారపడి క్లయింట్ వైపు మాన్యువల్ కాన్ఫిగరేషన్ అవసరం. దీని అర్థం మీరు మరొక క్లయింట్‌ని జోడించలేరు. NTP సర్వర్‌లో ఏదైనా మార్పు జరిగితే, అన్ని క్లయింట్లు తప్పనిసరిగా రీకాన్ఫిగర్ చేయబడాలి.

అప్పుడు వారు ఆటోకీతో ముందుకు వచ్చారు, కానీ వారు వెంటనే అల్గోరిథం రూపకల్పనలో అనేక తీవ్రమైన దుర్బలత్వాలను కనుగొన్నారు మరియు వారు దానిని వదిలివేయవలసి వచ్చింది. విషయం ఏమిటంటే, విత్తనం 32-బిట్‌లను మాత్రమే కలిగి ఉంటుంది, ఇది చాలా చిన్నది మరియు ఫ్రంటల్ అటాక్‌కు తగినంత గణన సంక్లిష్టతను కలిగి ఉండదు.

కీ ID - సిమెట్రిక్ 32-బిట్ కీ;
MAC (సందేశ ప్రమాణీకరణ కోడ్) - NTP ప్యాకెట్ చెక్‌సమ్;

ఆటోకీ క్రింది విధంగా లెక్కించబడుతుంది.

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

ఇక్కడ H() అనేది క్రిప్టోగ్రాఫిక్ హాష్ ఫంక్షన్.

ప్యాకెట్ల చెక్‌సమ్‌ను లెక్కించడానికి అదే ఫంక్షన్ ఉపయోగించబడుతుంది.

MAC=H(Autokey||NTP packet)

ప్యాకేజీ తనిఖీల యొక్క మొత్తం సమగ్రత కుక్కీల ప్రామాణికతపై ఆధారపడి ఉంటుందని ఇది మారుతుంది. మీరు వాటిని కలిగి ఉన్న తర్వాత, మీరు ఆటోకీని పునరుద్ధరించవచ్చు, ఆపై MACని స్పూఫ్ చేయవచ్చు. అయినప్పటికీ, వాటిని ఉత్పత్తి చేసేటప్పుడు NTP సర్వర్ ఒక సీడ్‌ను ఉపయోగిస్తుంది. ఇక్కడే క్యాచ్ ఉంది.

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

MSB_32 ఫంక్షన్ md5 హాష్ గణన ఫలితం నుండి 32 అత్యంత ముఖ్యమైన బిట్‌లను కట్ చేస్తుంది. సర్వర్ పారామితులు మారకుండా ఉన్నంత వరకు క్లయింట్ కుక్కీ మారదు. అప్పుడు దాడి చేసేవారు ప్రారంభ సంఖ్యను మాత్రమే పునరుద్ధరించగలరు మరియు స్వతంత్రంగా కుక్కీలను రూపొందించగలరు.

ముందుగా, మీరు NTP సర్వర్‌కి క్లయింట్‌గా కనెక్ట్ అవ్వాలి మరియు కుక్కీలను స్వీకరించాలి. దీని తరువాత, బ్రూట్ ఫోర్స్ పద్ధతిని ఉపయోగించి, దాడి చేసే వ్యక్తి సాధారణ అల్గారిథమ్‌ను అనుసరించి ప్రారంభ సంఖ్యను పునరుద్ధరిస్తాడు.

బ్రూట్-ఫోర్స్ పద్ధతిని ఉపయోగించి ప్రారంభ సంఖ్య యొక్క గణనపై దాడి చేయడానికి అల్గోరిథం.

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

IP చిరునామాలు తెలిసినవి, కాబట్టి సృష్టించిన కుక్కీ NTP సర్వర్ నుండి స్వీకరించిన దానితో సరిపోలే వరకు 2^32 హ్యాష్‌లను సృష్టించడం మాత్రమే మిగిలి ఉంది. Intel Core i5తో సాధారణ హోమ్ స్టేషన్‌లో, దీనికి 25 నిమిషాలు పడుతుంది.

NTS - కొత్త ఆటోకీ

ఆటోకీలో ఇటువంటి భద్రతా రంధ్రాలను ఉంచడం అసాధ్యం, మరియు 2012 లో ఇది కనిపించింది కొత్త వెర్సియ ప్రోటోకాల్. పేరును రాజీ చేయడానికి, వారు రీబ్రాండ్ చేయాలని నిర్ణయించుకున్నారు, కాబట్టి ఆటోకీ v.2 నెట్‌వర్క్ టైమ్ సెక్యూరిటీగా పిలువబడింది.

NTS ప్రోటోకాల్ అనేది NTP భద్రత యొక్క పొడిగింపు మరియు ప్రస్తుతం యూనికాస్ట్ మోడ్‌కు మాత్రమే మద్దతు ఇస్తుంది. ఇది ప్యాకెట్ మానిప్యులేషన్‌కు వ్యతిరేకంగా బలమైన క్రిప్టోగ్రాఫిక్ రక్షణను అందిస్తుంది, స్నూపింగ్‌ను నిరోధిస్తుంది, బాగా స్కేల్ చేస్తుంది, నెట్‌వర్క్ ప్యాకెట్ నష్టానికి స్థితిస్థాపకంగా ఉంటుంది మరియు కనెక్షన్ భద్రత సమయంలో సంభవించే అతి తక్కువ ఖచ్చితత్వ నష్టానికి దారితీస్తుంది.

NTS కనెక్షన్ లోయర్ లేయర్ ప్రోటోకాల్‌లను ఉపయోగించే రెండు దశలను కలిగి ఉంటుంది. పై మొదటిది ఈ దశలో, క్లయింట్ మరియు సర్వర్ వివిధ కనెక్షన్ పారామితులపై అంగీకరిస్తారు మరియు అన్ని డేటా సెట్‌తో కీలను కలిగి ఉన్న కుక్కీలను మార్పిడి చేస్తారు. పై రెండవ ఈ దశలో, అసలు రక్షిత NTS సెషన్ క్లయింట్ మరియు NTP సర్వర్ మధ్య జరుగుతుంది.

NTS రెండు దిగువ-పొర ప్రోటోకాల్‌లను కలిగి ఉంటుంది: నెట్‌వర్క్ టైమ్ సెక్యూరిటీ కీ ఎక్స్ఛేంజ్ (NTS-KE), ఇది TLS ద్వారా సురక్షిత కనెక్షన్‌ను ప్రారంభిస్తుంది మరియు NTP ప్రోటోకాల్ యొక్క తాజా అవతారం అయిన NTPv4. దీని గురించి కొంచెం దిగువన.

మొదటి దశ - NTS KE

ఈ దశలో, NTP క్లయింట్ TLS 1.2/1.3 సెషన్‌ను NTS KE సర్వర్‌తో ప్రత్యేక TCP కనెక్షన్ ద్వారా ప్రారంభిస్తుంది. ఈ సెషన్‌లో ఈ క్రిందివి జరుగుతాయి.

పార్టీలు పారామితులను నిర్ణయిస్తాయి AEAD రెండవ దశ కోసం అల్గోరిథం.
పార్టీలు రెండవ దిగువ-పొర ప్రోటోకాల్‌ను నిర్వచించాయి, అయితే ప్రస్తుతానికి NTPv4కి మాత్రమే మద్దతు ఉంది.
పార్టీలు NTP సర్వర్ యొక్క IP చిరునామా మరియు పోర్ట్‌ను నిర్ణయిస్తాయి.
NTS KE సర్వర్ NTPv4 క్రింద కుక్కీలను జారీ చేస్తుంది.
పార్టీలు కుకీ మెటీరియల్ నుండి ఒక జత సిమెట్రిక్ కీలను (C2S మరియు S2C) సంగ్రహిస్తాయి.

కనెక్షన్ పారామితులకు సంబంధించిన రహస్య సమాచారాన్ని ప్రసారం చేసే మొత్తం భారం నిరూపితమైన మరియు విశ్వసనీయమైన TLS ప్రోటోకాల్‌పై పడుతుందని ఈ విధానం గొప్ప ప్రయోజనాన్ని కలిగి ఉంది. ఇది సురక్షితమైన NTP హ్యాండ్‌షేక్ కోసం మీ స్వంత చక్రాన్ని తిరిగి ఆవిష్కరించాల్సిన అవసరాన్ని తొలగిస్తుంది.

రెండవ దశ - NTS రక్షణలో NTP

రెండవ దశలో, క్లయింట్ సురక్షితంగా NTP సర్వర్‌తో సమయాన్ని సమకాలీకరిస్తుంది. ఈ ప్రయోజనం కోసం, ఇది NTPv4 ప్యాకెట్ నిర్మాణంలో నాలుగు ప్రత్యేక పొడిగింపులను (ఎక్స్‌టెన్షన్ ఫీల్డ్‌లు) ప్రసారం చేస్తుంది.

రీప్లే దాడులను నిరోధించడానికి యూనిక్ ఐడెంటిఫైయర్ ఎక్స్‌టెన్షన్ యాదృచ్ఛికంగా లేనిది కలిగి ఉంది.
NTS కుకీ పొడిగింపు క్లయింట్‌కు అందుబాటులో ఉన్న NTP కుక్కీలలో ఒకదాన్ని కలిగి ఉంది. క్లయింట్ మాత్రమే సిమెట్రిక్ AAED C2S మరియు S2C కీలను కలిగి ఉన్నందున, NTP సర్వర్ వాటిని కుక్కీ మెటీరియల్ నుండి తప్పనిసరిగా సంగ్రహిస్తుంది.
NTS కుకీ ప్లేస్‌హోల్డర్ పొడిగింపు అనేది క్లయింట్‌కు సర్వర్ నుండి అదనపు కుక్కీలను అభ్యర్థించడానికి ఒక మార్గం. NTP సర్వర్ ప్రతిస్పందన అభ్యర్థన కంటే ఎక్కువ పొడవుగా లేదని నిర్ధారించడానికి ఈ పొడిగింపు అవసరం. ఇది యాంప్లిఫికేషన్ దాడులను నిరోధించడంలో సహాయపడుతుంది.
NTS అథెంటికేటర్ మరియు ఎన్‌క్రిప్టెడ్ ఎక్స్‌టెన్షన్ ఫీల్డ్స్ ఎక్స్‌టెన్షన్‌లో AAED సాంకేతికలిపి C2S కీ, NTP హెడర్, టైమ్‌స్టాంప్‌లు మరియు పై EFతో పాటు డేటాగా ఉంటుంది. ఈ పొడిగింపు లేకుండా టైమ్‌స్టాంప్‌లను స్పూఫ్ చేయడం సాధ్యపడుతుంది.

క్లయింట్ నుండి అభ్యర్థనను స్వీకరించిన తర్వాత, సర్వర్ NTP ప్యాకెట్ యొక్క ప్రామాణికతను ధృవీకరిస్తుంది. దీన్ని చేయడానికి, అతను కుకీలను డీక్రిప్ట్ చేయాలి, AAED అల్గోరిథం మరియు కీలను సంగ్రహించాలి. చెల్లుబాటు కోసం NTP ప్యాకెట్‌ను విజయవంతంగా తనిఖీ చేసిన తర్వాత, సర్వర్ క్లయింట్‌కు క్రింది ఆకృతిలో ప్రతిస్పందిస్తుంది.

యూనిక్ ఐడెంటిఫైయర్ ఎక్స్‌టెన్షన్ అనేది క్లయింట్ అభ్యర్థన యొక్క అద్దం కాపీ, ఇది రీప్లే దాడులకు వ్యతిరేకంగా కొలత.
NTS కుక్కీ సెషన్‌ను కొనసాగించడానికి మరిన్ని కుక్కీలను పొడిగించండి.
NTS అథెంటికేటర్ మరియు ఎన్‌క్రిప్టెడ్ ఎక్స్‌టెన్షన్ ఫీల్డ్స్ ఎక్స్‌టెన్షన్ S2C కీతో కూడిన AEAD సాంకేతికలిపిని కలిగి ఉంది.

ప్రతి అభ్యర్థన మరియు ప్రతిస్పందన క్లయింట్‌కు అదనపు కుక్కీలను అందజేస్తుంది కాబట్టి, మొదటి దశను దాటవేస్తూ రెండవ హ్యాండ్‌షేక్ అనేకసార్లు పునరావృతమవుతుంది. కంప్యూటింగ్ మరియు ప్రసార PKI డేటా యొక్క సాపేక్షంగా రిసోర్స్-ఇంటెన్సివ్ TLS కార్యకలాపాలు పునరావృతమయ్యే అభ్యర్థనల సంఖ్యతో విభజించబడటం దీని ప్రయోజనం. ప్రత్యేక FPGA టైమ్‌కీపర్‌లకు ఇది ప్రత్యేకంగా సౌకర్యవంతంగా ఉంటుంది, అన్ని ప్రధాన కార్యాచరణలను సిమెట్రిక్ క్రిప్టోగ్రఫీ ఫీల్డ్ నుండి అనేక ఫంక్షన్‌లలో ప్యాక్ చేయగలిగినప్పుడు, మొత్తం TLS స్టాక్‌ను మరొక పరికరానికి బదిలీ చేస్తుంది.

NTPSec

NTP ప్రత్యేకత ఏమిటి? ప్రాజెక్ట్ యొక్క రచయిత, డేవ్ మిల్స్, తన కోడ్‌ను సాధ్యమైనంత ఉత్తమంగా డాక్యుమెంట్ చేయడానికి ప్రయత్నించినప్పటికీ, ఇది 35 సంవత్సరాల వయస్సులో ఉన్న టైమ్ సింక్రొనైజేషన్ అల్గోరిథంల చిక్కులను అర్థం చేసుకోగల అరుదైన ప్రోగ్రామర్. కొన్ని కోడ్‌లు POSIX యుగానికి ముందు వ్రాయబడ్డాయి మరియు యునిక్స్ API ఈనాడు ఉపయోగించే దానికంటే చాలా భిన్నంగా ఉంది. అదనంగా, ధ్వనించే లైన్లలో జోక్యం నుండి సిగ్నల్ను క్లియర్ చేయడానికి గణాంకాల జ్ఞానం అవసరం.

NTPని సరిచేయడానికి NTS మొదటి ప్రయత్నం కాదు. దాడి చేసేవారు DDoS దాడులను విస్తరించేందుకు NTP దుర్బలత్వాలను ఉపయోగించుకోవడం నేర్చుకున్న తర్వాత, సమూల మార్పులు అవసరమని స్పష్టమైంది. మరియు NTS చిత్తుప్రతులు తయారు చేయబడుతున్నాయి మరియు ఖరారు చేయబడుతున్నాయి, US నేషనల్ సైన్స్ ఫౌండేషన్ 2014 చివరిలో NTP యొక్క ఆధునికీకరణ కోసం అత్యవసరంగా మంజూరు చేసింది.

కార్యవర్గానికి నాయకత్వం వహించేది ఎవరో కాదు ఎరిక్ స్టీవెన్ రేమండ్ - ఓపెన్ సోర్స్ సంఘం వ్యవస్థాపకులు మరియు స్తంభాలలో ఒకరు మరియు పుస్తక రచయిత కేథడ్రల్ మరియు బజార్. ఎరిక్ మరియు అతని స్నేహితులు చేయడానికి ప్రయత్నించిన మొదటి విషయం ఏమిటంటే, NTP కోడ్‌ను BitKeeper ప్లాట్‌ఫారమ్ నుండి gitకి తరలించడం, కానీ అది ఆ విధంగా పని చేయలేదు. ప్రాజెక్ట్ లీడర్ హర్లాన్ స్టెన్ ఈ నిర్ణయానికి వ్యతిరేకంగా ఉన్నారు మరియు చర్చలు నిలిచిపోయాయి. అప్పుడు ప్రాజెక్ట్ కోడ్‌ను ఫోర్క్ చేయాలని నిర్ణయించారు మరియు NTPSec పుట్టింది.

GPSDపై పని చేయడం, గణిత నేపథ్యం మరియు పురాతన కోడ్‌ను చదవడంలో మాంత్రిక నైపుణ్యంతో సహా ఘన అనుభవం - ఎరిక్ రేమండ్ ఖచ్చితంగా అటువంటి ప్రాజెక్ట్‌ను తీసివేయగల హ్యాకర్. బృందం కోడ్ మైగ్రేషన్ స్పెషలిస్ట్‌ను కనుగొంది మరియు కేవలం 10 వారాలలో NTP పరిష్కారం ఐనదిGitLabలో. పనులు ఊపందుకున్నాయి.

ఎరిక్ రేమండ్ బృందం అగస్టే రోడిన్ రాయితో చేసిన విధంగానే పనిని చేపట్టింది. పాత కోడ్ యొక్క 175 KLOCని తీసివేయడం ద్వారా, వారు అనేక భద్రతా రంధ్రాలను మూసివేయడం ద్వారా దాడి ఉపరితలాన్ని గణనీయంగా తగ్గించగలిగారు.

పంపిణీలో చేర్చబడిన వాటి యొక్క అసంపూర్ణ జాబితా ఇక్కడ ఉంది:

పత్రాలు లేని, కాలం చెల్లిన, పాత లేదా విరిగిన రిఫ్లాక్.
ఉపయోగించని ICS లైబ్రరీ.
లిబోప్ట్స్/ఆటోజెన్.
Windows కోసం పాత కోడ్.
ntpdc.
ఆటోకీ.
ntpq C కోడ్ పైథాన్‌లో తిరిగి వ్రాయబడింది.
Sntp/ntpdig C కోడ్ పైథాన్‌లో తిరిగి వ్రాయబడింది.

కోడ్‌ను శుభ్రపరచడంతో పాటు, ప్రాజెక్ట్‌కి ఇతర పనులు ఉన్నాయి. విజయాల పాక్షిక జాబితా ఇక్కడ ఉంది:

బఫర్ ఓవర్‌ఫ్లో వ్యతిరేకంగా కోడ్ రక్షణ గణనీయంగా మెరుగుపరచబడింది. బఫర్ ఓవర్‌ఫ్లోలను నిరోధించడానికి, అన్ని అసురక్షిత స్ట్రింగ్ ఫంక్షన్‌లు (strcpy/strcat/strtok/sprintf/vsprintf/gets) బఫర్ పరిమాణ పరిమితులను అమలు చేసే సురక్షిత సంస్కరణలతో భర్తీ చేయబడ్డాయి.
NTS మద్దతు జోడించబడింది.
భౌతిక హార్డ్‌వేర్‌ను లింక్ చేయడం ద్వారా మెరుగైన సమయ దశల ఖచ్చితత్వం పదిరెట్లు. ఆధునిక కంప్యూటర్ గడియారాలు NTP పుట్టినప్పటి కంటే చాలా ఖచ్చితమైనవి కావడమే దీనికి కారణం. దీని యొక్క అతిపెద్ద లబ్ధిదారులు GPSDO మరియు అంకితమైన సమయ రేడియోలు.
ప్రోగ్రామింగ్ భాషల సంఖ్య రెండుకు తగ్గించబడింది. పెర్ల్, awk మరియు S స్క్రిప్ట్‌లకు బదులుగా, ఇప్పుడు అదంతా పైథాన్. దీని కారణంగా, కోడ్ పునర్వినియోగానికి మరిన్ని అవకాశాలు ఉన్నాయి.
ఆటోటూల్స్ స్క్రిప్ట్‌ల నూడుల్స్‌కు బదులుగా, ప్రాజెక్ట్ సాఫ్ట్‌వేర్ బిల్డ్ సిస్టమ్‌ను ఉపయోగించడం ప్రారంభించింది వాఫ్.
ప్రాజెక్ట్ డాక్యుమెంటేషన్ నవీకరించబడింది మరియు పునర్వ్యవస్థీకరించబడింది. విరుద్ధమైన మరియు కొన్నిసార్లు పురాతన పత్రాల సేకరణ నుండి, వారు చాలా ఆమోదయోగ్యమైన డాక్యుమెంటేషన్‌ను సృష్టించారు. ప్రతి కమాండ్ లైన్ స్విచ్ మరియు ప్రతి కాన్ఫిగరేషన్ ఎంటిటీ ఇప్పుడు సత్యం యొక్క ఒకే సంస్కరణను కలిగి ఉంది. అదనంగా, మ్యాన్ పేజీలు మరియు వెబ్ డాక్యుమెంటేషన్ ఇప్పుడు అదే కోర్ ఫైల్‌ల నుండి సృష్టించబడ్డాయి.

NTPSec అనేక Linux పంపిణీల కోసం అందుబాటులో ఉంది. ప్రస్తుతానికి, తాజా స్థిరమైన వెర్షన్ 1.1.8, Gentoo Linux కోసం ఇది చివరిది.

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

క్రోనీ

పాత NTPని మరింత సురక్షితమైన ప్రత్యామ్నాయంతో భర్తీ చేయడానికి మరొక ప్రయత్నం జరిగింది. Chrony, NTPSec వలె కాకుండా, భూమి నుండి వ్రాయబడింది మరియు అస్థిర నెట్‌వర్క్ కనెక్షన్‌లు, పాక్షిక నెట్‌వర్క్ లభ్యత లేదా రద్దీ మరియు ఉష్ణోగ్రత మార్పులతో సహా అనేక రకాల పరిస్థితులలో విశ్వసనీయంగా పనిచేసేలా రూపొందించబడింది. అదనంగా, క్రోనీకి ఇతర ప్రయోజనాలు ఉన్నాయి:

chrony ఎక్కువ ఖచ్చితత్వంతో సిస్టమ్ గడియారాన్ని వేగంగా సమకాలీకరించగలదు;
chrony చిన్నది, తక్కువ మెమరీని వినియోగిస్తుంది మరియు అవసరమైనప్పుడు మాత్రమే CPUని యాక్సెస్ చేస్తుంది. వనరులు మరియు శక్తిని ఆదా చేయడానికి ఇది పెద్ద ప్లస్;
chrony Linuxలో హార్డ్‌వేర్ టైమ్‌స్టాంప్‌లకు మద్దతు ఇస్తుంది, స్థానిక నెట్‌వర్క్‌లలో చాలా ఖచ్చితమైన సమకాలీకరణను అనుమతిస్తుంది.

అయినప్పటికీ, క్రోనీలో ప్రసారం మరియు మల్టీకాస్ట్ క్లయింట్/సర్వర్ వంటి పాత NTP యొక్క కొన్ని లక్షణాలు లేవు. అదనంగా, క్లాసిక్ NTP పెద్ద సంఖ్యలో ఆపరేటింగ్ సిస్టమ్‌లు మరియు ప్లాట్‌ఫారమ్‌లకు మద్దతు ఇస్తుంది.

chronyd ప్రక్రియకు సర్వర్ మరియు NTP అభ్యర్థనల కార్యాచరణను నిలిపివేయడానికి, chrony.conf ఫైల్‌లో పోర్ట్ 0ని వ్రాయండి. NTP క్లయింట్లు లేదా పీర్‌ల కోసం సమయాన్ని నిర్వహించాల్సిన అవసరం లేని సందర్భాల్లో ఇది జరుగుతుంది. వెర్షన్ 2.0 నుండి, అనుమతి డైరెక్టివ్ లేదా తగిన ఆదేశం ద్వారా యాక్సెస్ అనుమతించబడినప్పుడు లేదా NTP పీర్ కాన్ఫిగర్ చేయబడినప్పుడు లేదా ప్రసార ఆదేశం ఉపయోగించబడినప్పుడు మాత్రమే NTP సర్వర్ పోర్ట్ తెరవబడుతుంది.

ప్రోగ్రామ్ రెండు మాడ్యూళ్ళను కలిగి ఉంటుంది.

chronyd అనేది నేపథ్యంలో అమలు అయ్యే సేవ. ఇది సిస్టమ్ గడియారం మరియు బాహ్య సమయ సర్వర్ మధ్య వ్యత్యాసం గురించి సమాచారాన్ని అందుకుంటుంది మరియు స్థానిక సమయాన్ని సర్దుబాటు చేస్తుంది. ఇది NTP ప్రోటోకాల్‌ను కూడా అమలు చేస్తుంది మరియు క్లయింట్ లేదా సర్వర్‌గా పని చేస్తుంది.
chronyc అనేది ప్రోగ్రామ్ పర్యవేక్షణ మరియు నియంత్రణ కోసం కమాండ్ లైన్ యుటిలిటీ. వివిధ సేవా పారామితులను ఫైన్-ట్యూన్ చేయడానికి ఉపయోగించబడుతుంది, ఉదాహరణకు chronyd రన్ అవుతూనే ఉన్నప్పుడు NTP సర్వర్‌లను జోడించడానికి లేదా తీసివేయడానికి మిమ్మల్ని అనుమతిస్తుంది.

RedHat Linux వెర్షన్ 7 నుండి ఉపయోగాలు సమయ సమకాలీకరణ సేవగా chrony. ప్యాకేజీ ఇతర Linux పంపిణీలకు కూడా అందుబాటులో ఉంది. తాజా స్థిరమైన వెర్షన్ 3.5, v4.0 విడుదలకు సిద్ధమవుతోంది.

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

ఆఫీస్ నెట్‌వర్క్‌లో సమయాన్ని సమకాలీకరించడానికి ఇంటర్నెట్‌లో మీ స్వంత రిమోట్ క్రోనీ సర్వర్‌ను ఎలా సెటప్ చేయాలి. క్రింద VPSని సెటప్ చేయడానికి ఒక ఉదాహరణ.

VPSలో RHEL / CentOSలో Chronyని సెటప్ చేయడానికి ఉదాహరణ

ఇప్పుడు కొంచెం ప్రాక్టీస్ చేద్దాం మరియు VPSలో మా స్వంత NTP సర్వర్‌ని సెటప్ చేద్దాం. ఇది చాలా సులభం, RuVDS వెబ్‌సైట్‌లో తగిన టారిఫ్‌ను ఎంచుకోండి, రెడీమేడ్ సర్వర్‌ని పొందండి మరియు డజను సాధారణ ఆదేశాలను టైప్ చేయండి. మా ప్రయోజనాల కోసం, ఈ ఎంపిక చాలా అనుకూలంగా ఉంటుంది.

సేవను సెటప్ చేసి, ముందుగా క్రోనీ ప్యాకేజీని ఇన్‌స్టాల్ చేద్దాం.

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8 వేరే ప్యాకేజీ మేనేజర్‌ని ఉపయోగిస్తుంది.

[root@server ~]$ dnf install chrony

క్రోనీని ఇన్‌స్టాల్ చేసిన తర్వాత, మీరు సేవను ప్రారంభించి, సక్రియం చేయాలి.

[root@server ~]$ systemctl enable chrony --now

కావాలనుకుంటే, మీరు /etc/chrony.confకు మార్పులు చేయవచ్చు, ప్రతిస్పందన సమయాన్ని తగ్గించడానికి NPT సర్వర్‌లను సమీప స్థానిక వాటితో భర్తీ చేయవచ్చు.

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

తరువాత, మేము పేర్కొన్న పూల్ నుండి నోడ్‌లతో NTP సర్వర్ యొక్క సమకాలీకరణను సెటప్ చేస్తాము.

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

NTP పోర్ట్‌ను బయటికి తెరవడం కూడా అవసరం, లేకపోతే ఫైర్‌వాల్ క్లయింట్ నోడ్‌ల నుండి ఇన్‌కమింగ్ కనెక్షన్‌లను బ్లాక్ చేస్తుంది.

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

క్లయింట్ వైపు, టైమ్ జోన్‌ను సరిగ్గా సెట్ చేస్తే సరిపోతుంది.

[root@client ~]$ timedatectl set-timezone Europe/Moscow

/etc/chrony.conf ఫైల్ NTP సర్వర్ క్రోనీని అమలు చేస్తున్న మా VPS సర్వర్ యొక్క IP లేదా హోస్ట్ పేరును నిర్దేశిస్తుంది.

server my.vps.server

చివరకు, క్లయింట్‌లో సమయ సమకాలీకరణను ప్రారంభించడం.

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

ఇంటర్నెట్ లేకుండా సమయాన్ని సమకాలీకరించడానికి ఏ ఎంపికలు ఉన్నాయో తదుపరిసారి నేను మీకు చెప్తాను.

మూలం: www.habr.com

సమయ సమకాలీకరణ ఎలా సురక్షితంగా మారింది