ProHoster > بلاگ > انتظامیہ > وقت کی مطابقت پذیری کیسے محفوظ ہو گئی۔

وقت کی مطابقت پذیری کیسے محفوظ ہو گئی۔

وقت کی مطابقت پذیری کیسے محفوظ ہو گئی۔
اگر آپ کے پاس TCP/IP کے ذریعے بات چیت کرنے والے دس لاکھ بڑے اور چھوٹے آلات ہیں تو اس بات کو کیسے یقینی بنایا جائے کہ وقت جھوٹ نہیں بولتا؟ سب کے بعد، ان میں سے ہر ایک گھڑی ہے، اور وقت ان سب کے لئے صحیح ہونا ضروری ہے. این ٹی پی کے بغیر اس مسئلے کو حل نہیں کیا جا سکتا۔

آئیے ایک منٹ کے لیے تصور کریں کہ صنعتی IT انفراسٹرکچر کے ایک حصے میں وقت کے ساتھ ساتھ خدمات کو ہم آہنگ کرنے میں مشکلات ہیں۔ فوری طور پر انٹرپرائز سافٹ ویئر کا کلسٹر اسٹیک ناکام ہونا شروع ہو جاتا ہے، ڈومین ٹوٹ جاتے ہیں، ماسٹرز اور اسٹینڈ بائی نوڈس کی حالت کو بحال کرنے کی ناکام کوشش کرتے ہیں۔

یہ بھی ممکن ہے کہ حملہ آور جان بوجھ کر MiTM یا DDOS اٹیک کے ذریعے وقت میں خلل ڈالنے کی کوشش کرے۔ ایسی صورت حال میں، کچھ بھی ہو سکتا ہے:

  • صارف کے اکاؤنٹ کے پاس ورڈ کی میعاد ختم ہو جائے گی۔
  • X.509 سرٹیفکیٹس کی میعاد ختم ہو جائے گی۔
  • TOTP دو عنصر کی توثیق کام کرنا بند کر دے گی۔
  • بیک اپ پرانے ہو جائیں گے اور سسٹم انہیں حذف کر دے گا۔
  • DNSSEc ٹوٹ جائے گا۔

یہ واضح ہے کہ ہر آئی ٹی ڈیپارٹمنٹ ٹائم سنکرونائزیشن سروسز کے قابل اعتماد آپریشن میں دلچسپی رکھتا ہے، اور یہ اچھا ہوگا اگر وہ صنعتی آپریشن میں قابل اعتماد اور محفوظ ہوں۔

NTP کو 25 منٹ میں توڑ دیں۔

نیٹ ورک پروٹوکول - ہزاروں سالوں کی ایک خاصیت ہے، وہ رہے ہیں۔ پرانی اور اب کسی بھی چیز کے لیے اچھے نہیں ہیں، لیکن ان کو تبدیل کرنا اتنا آسان نہیں ہے یہاں تک کہ جب پرجوش افراد اور فنڈنگ ​​کا ایک بڑا مجموعہ جمع ہو جائے۔

کلاسک NTP کے بارے میں بنیادی شکایت دراندازوں کے حملوں سے حفاظت کے لیے قابل اعتماد میکانزم کی کمی ہے۔ اس مسئلے کو حل کرنے کے لیے مختلف کوششیں کی گئی ہیں۔ اس کو حاصل کرنے کے لیے، ہم نے سب سے پہلے ہم آہنگ کلیدوں کے تبادلے کے لیے پہلے سے مشترکہ کلید (PSK) کا طریقہ کار نافذ کیا۔

بدقسمتی سے، اس طریقہ کار نے ایک سادہ وجہ سے ادائیگی نہیں کی - یہ اچھی طرح سے پیمانہ نہیں ہے۔ سرور کے لحاظ سے کلائنٹ کی طرف دستی ترتیب کی ضرورت ہے۔ اس کا مطلب یہ ہے کہ آپ صرف اس طرح کسی دوسرے کلائنٹ کو شامل نہیں کرسکتے ہیں۔ اگر NTP سرور پر کچھ تبدیل ہوتا ہے تو، تمام کلائنٹس کو دوبارہ ترتیب دینا ضروری ہے۔

پھر وہ AutoKey لے کر آئے، لیکن انہوں نے فوری طور پر خود الگورتھم کے ڈیزائن میں کئی سنگین کمزوریاں دریافت کیں اور انہیں اسے ترک کرنا پڑا۔ بات یہ ہے کہ بیج صرف 32 بٹس پر مشتمل ہے، یہ بہت چھوٹا ہے اور سامنے والے حملے کے لیے کافی کمپیوٹیشنل پیچیدگی نہیں رکھتا ہے۔

  • کلیدی ID - ہم آہنگ 32 بٹ کلید؛
  • MAC (پیغام کی توثیق کوڈ) - NTP پیکٹ چیکسم؛

آٹوکی کا حساب درج ذیل ہے۔

Autokey=H(Sender-IP||Receiver-IP||KeyID||Cookie)

جہاں H() ایک کرپٹوگرافک ہیش فنکشن ہے۔

اسی فنکشن کو پیکٹوں کے چیکسم کا حساب لگانے کے لیے استعمال کیا جاتا ہے۔

MAC=H(Autokey||NTP packet)

یہ پتہ چلتا ہے کہ پیکیج کی جانچ پڑتال کی پوری سالمیت کوکیز کی صداقت پر منحصر ہے. ایک بار آپ کے پاس ہو جانے کے بعد، آپ آٹوکی کو بحال کر سکتے ہیں اور پھر میک کو دھوکہ دے سکتے ہیں۔ تاہم، NTP سرور انہیں پیدا کرتے وقت ایک بیج کا استعمال کرتا ہے۔ یہ وہ جگہ ہے جہاں کیچ ہے۔

Cookie=MSB_32(H(Client IP||Server IP||0||Server Seed))

MSB_32 فنکشن md5 ہیش کیلکولیشن کے نتیجے سے 32 اہم ترین بٹس کو کاٹ دیتا ہے۔ کلائنٹ کوکی تب تک تبدیل نہیں ہوتی جب تک سرور کے پیرامیٹرز میں کوئی تبدیلی نہیں ہوتی۔ تب حملہ آور صرف ابتدائی نمبر کو بحال کر سکتا ہے اور آزادانہ طور پر کوکیز بنانے کے قابل ہو سکتا ہے۔

سب سے پہلے، آپ کو NTP سرور سے بطور کلائنٹ جڑنے اور کوکیز وصول کرنے کی ضرورت ہے۔ اس کے بعد، بروٹ فورس کا طریقہ استعمال کرتے ہوئے، حملہ آور ایک سادہ الگورتھم کے بعد ابتدائی نمبر کو بحال کرتا ہے۔

بروٹ فورس طریقہ استعمال کرتے ہوئے ابتدائی نمبر کے حساب کتاب پر حملہ کرنے کے لیے الگورتھم۔

   for i=0:2^32 − 1 do
        Ci=H(Server-IP||Client-IP||0||i)
        if Ci=Cookie then
            return i
        end if 
    end for

آئی پی ایڈریسز معلوم ہیں، لہٰذا صرف 2^32 ہیشز بنانا باقی ہے جب تک کہ بنائی گئی کوکی NTP سرور سے موصول ہونے والی کوکی سے مماثل نہ ہو جائے۔ Intel Core i5 کے ساتھ ایک باقاعدہ ہوم سٹیشن پر، اس میں 25 منٹ لگیں گے۔

این ٹی ایس - نئی آٹوکی

آٹوکی میں اس طرح کے حفاظتی سوراخوں کو برداشت کرنا ناممکن تھا، اور یہ 2012 میں ظاہر ہوا۔ ایک نیا ورژن پروٹوکول۔ نام سے سمجھوتہ کرنے کے لیے، انہوں نے دوبارہ برانڈ کرنے کا فیصلہ کیا، لہذا Autokey v.2 کو نیٹ ورک ٹائم سیکیورٹی کا نام دیا گیا۔

NTS پروٹوکول NTP سیکیورٹی کی توسیع ہے اور فی الحال صرف یونی کاسٹ موڈ کو سپورٹ کرتا ہے۔ یہ پیکٹ میں ہیرا پھیری کے خلاف مضبوط خفیہ نگاری کا تحفظ فراہم کرتا ہے، اسنوپنگ کو روکتا ہے، اچھی طرح سے پیمانہ بناتا ہے، نیٹ ورک پیکٹ کے نقصان کے لیے لچکدار ہے، اور اس کے نتیجے میں کنکشن سیکیورٹی کے دوران ہونے والے درستگی کے نقصان کی کم سے کم مقدار ہوتی ہے۔

این ٹی ایس کنکشن دو مراحل پر مشتمل ہوتا ہے جو لوئر لیئر پروٹوکول استعمال کرتے ہیں۔ پر سب سے پہلے اس مرحلے پر، کلائنٹ اور سرور کنکشن کے مختلف پیرامیٹرز پر متفق ہوتے ہیں اور کوکیز کا تبادلہ کرتے ہیں جن میں تمام ڈیٹا سیٹ کے ساتھ کیز ہوتی ہیں۔ پر دوسرا اس مرحلے پر، اصل محفوظ شدہ NTS سیشن کلائنٹ اور NTP سرور کے درمیان ہوتا ہے۔

وقت کی مطابقت پذیری کیسے محفوظ ہو گئی۔

NTS دو لوئر لیئر پروٹوکول پر مشتمل ہے: نیٹ ورک ٹائم سیکیورٹی کی ایکسچینج (NTS-KE)، جو TLS پر ایک محفوظ کنکشن شروع کرتا ہے، اور NTPv4، NTP پروٹوکول کا تازہ ترین اوتار۔ ذیل میں اس کے بارے میں تھوڑا سا مزید۔

پہلا مرحلہ - NTS KE

اس مرحلے پر، NTP کلائنٹ NTS KE سرور کے ساتھ ایک علیحدہ TCP کنکشن پر TLS 1.2/1.3 سیشن شروع کرتا ہے۔ اس سیشن کے دوران درج ذیل ہوتا ہے۔

  • فریقین پیرامیٹرز کا تعین کرتے ہیں۔ اے ای اے ڈی دوسرے مرحلے کے لیے الگورتھم۔
  • فریقین دوسرے لوئر لیئر پروٹوکول کی وضاحت کرتے ہیں، لیکن اس وقت صرف NTPv4 کی حمایت کی جاتی ہے۔
  • فریقین NTP سرور کے IP ایڈریس اور پورٹ کا تعین کرتے ہیں۔
  • NTS KE سرور NTPv4 کے تحت کوکیز جاری کرتا ہے۔
  • فریقین کوکی کے مواد سے ہم آہنگ چابیاں (C2S اور S2C) کا ایک جوڑا نکالتے ہیں۔

اس نقطہ نظر کا یہ بڑا فائدہ ہے کہ کنکشن کے پیرامیٹرز کے حوالے سے خفیہ معلومات کی ترسیل کا سارا بوجھ ثابت شدہ اور قابل اعتماد TLS پروٹوکول پر پڑتا ہے۔ یہ ایک محفوظ NTP ہینڈ شیک کے لیے اپنے وہیل کو دوبارہ ایجاد کرنے کی ضرورت کو ختم کر دیتا ہے۔

دوسرا مرحلہ - NTS تحفظ کے تحت NTP

دوسرے مرحلے میں، کلائنٹ محفوظ طریقے سے وقت کو NTP سرور کے ساتھ ہم آہنگ کرتا ہے۔ اس مقصد کے لیے، یہ NTPv4 پیکٹ کے ڈھانچے میں چار خصوصی ایکسٹینشنز (ایکسٹینشن فیلڈز) منتقل کرتا ہے۔

  • منفرد شناخت کنندہ ایکسٹینشن ری پلے حملوں کو روکنے کے لیے بے ترتیب نونس پر مشتمل ہے۔
  • NTS کوکی ایکسٹینشن کلائنٹ کے لیے دستیاب NTP کوکیز میں سے ایک پر مشتمل ہے۔ چونکہ صرف کلائنٹ کے پاس C2S اور S2C ہم آہنگ AAED کلیدیں ہیں، اس لیے NTP سرور کو انہیں کوکی مواد سے نکالنا چاہیے۔
  • این ٹی ایس کوکی پلیس ہولڈر ایکسٹینشن کلائنٹ کے لیے سرور سے اضافی کوکیز کی درخواست کرنے کا ایک طریقہ ہے۔ یہ توسیع اس بات کو یقینی بنانے کے لیے ضروری ہے کہ NTP سرور کا جواب درخواست سے زیادہ طویل نہ ہو۔ یہ پروردن کے حملوں کو روکنے میں مدد کرتا ہے۔
  • NTS Authenticator اور Encrypted Extension Fields Extension میں C2S کلید کے ساتھ AAED سائفر، NTP ہیڈر، ٹائم اسٹیمپ، اور مندرجہ بالا EF بطور ساتھ والے ڈیٹا پر مشتمل ہے۔ اس توسیع کے بغیر ٹائم اسٹیمپ کو دھوکہ دینا ممکن ہے۔

وقت کی مطابقت پذیری کیسے محفوظ ہو گئی۔

کلائنٹ کی جانب سے درخواست موصول ہونے پر، سرور NTP پیکٹ کی صداقت کی تصدیق کرتا ہے۔ ایسا کرنے کے لیے، اسے کوکیز کو ڈکرپٹ کرنا ہوگا، AAED الگورتھم اور چابیاں نکالنی ہوں گی۔ NTP پیکٹ کی درستگی کے لیے کامیابی سے جانچنے کے بعد، سرور کلائنٹ کو درج ذیل فارمیٹ میں جواب دیتا ہے۔

  • منفرد شناخت کنندہ ایکسٹینشن کلائنٹ کی درخواست کی آئینہ کاپی ہے، ری پلے حملوں کے خلاف ایک اقدام۔
  • سیشن جاری رکھنے کے لیے این ٹی ایس کوکی ایکسٹینشن مزید کوکیز۔
  • NTS Authenticator اور Encrypted Extension Fields Extension ایک S2C کلید کے ساتھ AEAD سائفر پر مشتمل ہے۔

دوسرا مصافحہ کئی بار دہرایا جا سکتا ہے، پہلے مرحلے کو نظرانداز کرتے ہوئے، کیونکہ ہر درخواست اور جواب کلائنٹ کو اضافی کوکیز دیتا ہے۔ اس کا فائدہ یہ ہے کہ PKI ڈیٹا کو کمپیوٹنگ اور ٹرانسمٹ کرنے کے نسبتاً وسائل سے بھرپور TLS آپریشنز کو بار بار کی گئی درخواستوں کی تعداد سے تقسیم کیا جاتا ہے۔ یہ خاص طور پر خصوصی FPGA ٹائم کیپرز کے لیے آسان ہے، جب تمام اہم فعالیت کو ہم آہنگی کرپٹوگرافی کے شعبے سے متعدد فنکشنز میں پیک کیا جا سکتا ہے، جس سے پورے TLS اسٹیک کو دوسرے آلے میں منتقل کیا جا سکتا ہے۔

NTPSec

NTP کے بارے میں کیا خاص ہے؟ اس حقیقت کے باوجود کہ پروجیکٹ کے مصنف، ڈیو ملز نے اپنے کوڈ کو ہر ممکن حد تک دستاویزی بنانے کی کوشش کی، یہ ایک نایاب پروگرامر ہے جو 35 سال پرانے وقت کی مطابقت پذیری کے الگورتھم کی پیچیدگیوں کو سمجھنے کے قابل ہو گا۔ کچھ کوڈ POSIX دور سے پہلے لکھا گیا تھا، اور یونکس API اس وقت کے استعمال سے بہت مختلف تھا۔ اس کے علاوہ، شور کی لکیروں پر مداخلت سے سگنل کو صاف کرنے کے لیے اعداد و شمار کے علم کی ضرورت ہوتی ہے۔

NTS NTP کو ٹھیک کرنے کی پہلی کوشش نہیں تھی۔ ایک بار جب حملہ آوروں نے DDoS حملوں کو بڑھانے کے لیے NTP کی کمزوریوں کا فائدہ اٹھانا سیکھ لیا، تو یہ واضح ہو گیا کہ بنیادی تبدیلیوں کی ضرورت ہے۔ اور جب NTS ڈرافٹ تیار اور حتمی شکل دی جا رہی تھی، 2014 کے آخر میں یو ایس نیشنل سائنس فاؤنڈیشن نے NTP کی جدید کاری کے لیے فوری طور پر ایک گرانٹ مختص کی۔

ورکنگ گروپ کی سربراہی صرف کسی کی نہیں بلکہ تھی۔ ایرک سٹیون ریمنڈ - اوپن سورس کمیونٹی کے بانیوں اور ستونوں میں سے ایک اور کتاب کا مصنف کیتھیڈرل اور بازار. ایرک اور اس کے دوستوں نے پہلی چیز جو کرنے کی کوشش کی وہ بٹ کیپر پلیٹ فارم سے NTP کوڈ کو git میں منتقل کرنا تھا، لیکن یہ اس طرح کام نہیں کر سکا۔ پراجیکٹ لیڈر ہارلن سٹین اس فیصلے کے خلاف تھے اور مذاکرات تعطل کا شکار ہو گئے۔ پھر پروجیکٹ کوڈ کو فورک کرنے کا فیصلہ کیا گیا، اور NTPSec پیدا ہوا۔

ٹھوس تجربہ، بشمول GPSD پر کام، ایک ریاضیاتی پس منظر اور قدیم کوڈ کو پڑھنے کی جادوئی مہارت - ایرک ریمنڈ بالکل ہیکر تھا جو اس طرح کے پروجیکٹ کو ختم کر سکتا تھا۔ ٹیم کو ایک کوڈ مائیگریشن ماہر ملا اور صرف 10 ہفتوں میں NTP آباد ہوگئےGitLab پر۔ کام زوروں پر تھا۔

ایرک ریمنڈ کی ٹیم نے اس کام کو اسی طرح سنبھالا جس طرح آگسٹ روڈن نے پتھر کے ایک بلاک سے کیا تھا۔ پرانے کوڈ کے 175 KLOC کو ہٹا کر، وہ بہت سے حفاظتی سوراخوں کو بند کر کے حملے کی سطح کو نمایاں طور پر کم کرنے میں کامیاب رہے۔

یہاں تقسیم میں شامل افراد کی ایک نامکمل فہرست ہے:

  • غیر دستاویزی، پرانی، پرانی یا ٹوٹی ہوئی ریفکلاک۔
  • غیر استعمال شدہ ICS لائبریری۔
  • libopts/autogen.
  • ونڈوز کے لیے پرانا کوڈ۔
  • این ٹی پی ڈی سی
  • آٹوکی
  • ntpq C کوڈ کو ازگر میں دوبارہ لکھا گیا ہے۔
  • sntp/ntpdig C کوڈ کو ازگر میں دوبارہ لکھا گیا ہے۔

کوڈ کو صاف کرنے کے علاوہ، پروجیکٹ کے دوسرے کام بھی تھے۔ یہاں کامیابیوں کی ایک جزوی فہرست ہے:

  • بفر اوور فلو کے خلاف کوڈ کے تحفظ کو نمایاں طور پر بہتر کیا گیا ہے۔ بفر اوور فلو کو روکنے کے لیے، تمام غیر محفوظ سٹرنگ فنکشنز (strcpy/strcat/strtok/sprintf/vsprintf/gets) کو محفوظ ورژن سے تبدیل کر دیا گیا ہے جو بفر سائز کی حدود کو نافذ کرتے ہیں۔
  • NTS سپورٹ شامل کر دی گئی۔
  • فزیکل ہارڈویئر کو جوڑ کر ٹائم سٹیپ کی درستگی کو دس گنا بہتر کیا گیا۔ یہ اس حقیقت کی وجہ سے ہے کہ جدید کمپیوٹر گھڑیاں ان سے کہیں زیادہ درست ہو گئی ہیں جب NTP کی پیدائش ہوئی تھی۔ اس سے سب سے زیادہ فائدہ اٹھانے والے جی پی ایس ڈی او اور وقف وقت والے ریڈیو تھے۔
  • پروگرامنگ زبانوں کی تعداد دو کر دی گئی ہے۔ پرل، اوک اور یہاں تک کہ ایس اسکرپٹ کے بجائے، اب یہ سب ازگر ہے۔ اس کی وجہ سے، کوڈ کو دوبارہ استعمال کرنے کے زیادہ مواقع ہیں۔
  • آٹوٹولز اسکرپٹس کے نوڈلز کے بجائے، پروجیکٹ نے سافٹ ویئر کی تعمیر کا نظام استعمال کرنا شروع کیا۔ واف.
  • پروجیکٹ دستاویزات کو اپ ڈیٹ اور دوبارہ منظم کیا گیا۔ دستاویزات کے متضاد اور بعض اوقات قدیم مجموعہ سے، انہوں نے کافی قابل گزر دستاویزات تخلیق کیں۔ ہر کمانڈ لائن سوئچ اور ہر کنفیگریشن ہستی میں اب سچائی کا ایک ہی ورژن ہے۔ مزید برآں، مین پیجز اور ویب دستاویزات اب ایک ہی بنیادی فائلوں سے بنائے گئے ہیں۔

NTPSec لینکس کی متعدد تقسیم کے لیے دستیاب ہے۔ اس وقت، تازہ ترین مستحکم ورژن 1.1.8 ہے، جینٹو لینکس کے لیے یہ حتمی ورژن ہے۔

(1:696)$ sudo emerge -av ntpsec
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild   R    ] net-misc/ntpsec-1.1.7-r1::gentoo  USE="samba seccomp -debug -doc -early -gdb -heat -libbsd -nist -ntpviz -rclock_arbiter -rclock_generic -rclock_gpsd -rclock_hpgps -rclock_jjy -rclock_local -rclock_modem -rclock_neoclock -rclock_nmea -rclock_oncore -rclock_pps -rclock_shm -rclock_spectracom -rclock_trimble -rclock_truetime -rclock_zyfer -smear -tests" PYTHON_TARGETS="python3_6" 0 KiB
Total: 1 package (1 reinstall), Size of downloads: 0 KiB
Would you like to merge these packages? [Yes/No]

کرونی

پرانے NTP کو زیادہ محفوظ متبادل کے ساتھ تبدیل کرنے کی ایک اور کوشش تھی۔ Chrony، NTPSec کے برعکس، زمین سے لکھا گیا ہے اور اسے وسیع پیمانے پر حالات کے تحت قابل اعتماد طریقے سے کام کرنے کے لیے ڈیزائن کیا گیا ہے، بشمول غیر مستحکم نیٹ ورک کنکشن، نیٹ ورک کی جزوی دستیابی یا بھیڑ، اور درجہ حرارت کی تبدیلیاں۔ اس کے علاوہ، کرونی کے دیگر فوائد ہیں:

  • chrony زیادہ درستگی کے ساتھ سسٹم کلاک کو تیزی سے سنکرونائز کر سکتا ہے۔
  • chrony چھوٹا ہے، کم میموری استعمال کرتا ہے، اور ضرورت پڑنے پر ہی CPU تک رسائی حاصل کرتا ہے۔ یہ وسائل اور توانائی کی بچت کے لیے ایک بڑا پلس ہے۔
  • chrony لینکس پر ہارڈویئر ٹائم اسٹیمپ کی حمایت کرتا ہے، مقامی نیٹ ورکس پر انتہائی درست ہم آہنگی کی اجازت دیتا ہے۔

تاہم، chrony میں پرانے NTP کی کچھ خصوصیات کا فقدان ہے، جیسے براڈکاسٹ اور ملٹی کاسٹ کلائنٹ/سرور۔ اس کے علاوہ، کلاسک NTP آپریٹنگ سسٹمز اور پلیٹ فارمز کی ایک بڑی تعداد کو سپورٹ کرتا ہے۔

chronyd عمل میں سرور اور NTP کی درخواستوں کی فعالیت کو غیر فعال کرنے کے لیے، صرف chrony.conf فائل میں پورٹ 0 لکھیں۔ یہ ان صورتوں میں کیا جاتا ہے جہاں NTP کلائنٹس یا ساتھیوں کے لیے وقت برقرار رکھنے کی ضرورت نہیں ہوتی ہے۔ ورژن 2.0 کے بعد سے، NTP سرور پورٹ صرف اس صورت میں کھلا ہے جب رسائی کی اجازت کسی اجازت نامے یا مناسب کمانڈ کے ذریعے دی جاتی ہے، یا NTP پیر کو کنفیگر کیا جاتا ہے، یا براڈکاسٹ ڈائریکٹیو استعمال کیا جاتا ہے۔

پروگرام دو ماڈیولز پر مشتمل ہے۔

  • chronyd ایک خدمت ہے جو پس منظر میں چلتی ہے۔ یہ سسٹم کلاک اور ایکسٹرنل ٹائم سرور کے درمیان فرق کے بارے میں معلومات حاصل کرتا ہے اور مقامی وقت کو ایڈجسٹ کرتا ہے۔ یہ NTP پروٹوکول کو بھی لاگو کرتا ہے اور کلائنٹ یا سرور کے طور پر کام کر سکتا ہے۔
  • chronyc پروگرام کی نگرانی اور کنٹرول کے لیے ایک کمانڈ لائن افادیت ہے۔ مختلف سروس پیرامیٹرز کو ٹھیک کرنے کے لیے استعمال کیا جاتا ہے، مثال کے طور پر آپ کو NTP سرورز کو شامل کرنے یا ہٹانے کی اجازت دیتا ہے جب کہ chronyd چلتا رہتا ہے۔

RedHat Linux کے ورژن 7 کے بعد سے استعمال کرتا ہے chrony بطور ٹائم سنکرونائزیشن سروس۔ یہ پیکیج لینکس کی دیگر تقسیم کے لیے بھی دستیاب ہے۔ تازہ ترین مستحکم ورژن 3.5 ہے، v4.0 کی ریلیز کی تیاری کر رہا ہے۔

(1:712)$ sudo emerge -av chrony
These are the packages that would be merged, in order:
Calculating dependencies... done!
[binary  N     ] net-misc/chrony-3.5-r2::gentoo  USE="adns caps cmdmon ipv6 ntp phc readline refclock rtc seccomp (-html) -libedit -pps (-selinux)" 246 KiB
Total: 1 package (1 new, 1 binary), Size of downloads: 246 KiB
Would you like to merge these packages? [Yes/No]

آفس نیٹ ورک پر وقت کو ہم آہنگ کرنے کے لیے انٹرنیٹ پر اپنا ریموٹ کرونی سرور کیسے ترتیب دیں۔ ذیل میں VPS ترتیب دینے کی ایک مثال ہے۔

VPS پر RHEL / CentOS پر Chrony ترتیب دینے کی مثال

آئیے اب تھوڑی مشق کریں اور VPS پر اپنا NTP سرور سیٹ کریں۔ یہ بہت آسان ہے، صرف RuVDS ویب سائٹ پر مناسب ٹیرف کا انتخاب کریں، ایک ریڈی میڈ سرور حاصل کریں اور درجن بھر آسان کمانڈز ٹائپ کریں۔ ہمارے مقاصد کے لئے، یہ اختیار کافی مناسب ہے.

وقت کی مطابقت پذیری کیسے محفوظ ہو گئی۔

آئیے سروس کو ترتیب دینے کی طرف بڑھتے ہیں اور پہلے chrony پیکیج کو انسٹال کرتے ہیں۔

[root@server ~]$ yum install chrony

RHEL 8 / CentOS 8 ایک مختلف پیکیج مینیجر استعمال کرتا ہے۔

[root@server ~]$ dnf install chrony

chrony انسٹال کرنے کے بعد، آپ کو سروس شروع کرنے اور فعال کرنے کی ضرورت ہے۔

[root@server ~]$ systemctl enable chrony --now

اگر آپ چاہیں تو، آپ /etc/chrony.conf میں تبدیلیاں کر سکتے ہیں، جوابی وقت کو کم کرنے کے لیے NPT سرور کو قریبی مقامی سرورز سے بدل سکتے ہیں۔

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.ru.pool.ntp.org iburst
server 1.ru.pool.ntp.org iburst
server 2.ru.pool.ntp.org iburst
server 3.ru.pool.ntp.org iburst

اگلا، ہم مخصوص پول سے نوڈس کے ساتھ NTP سرور کی ہم آہنگی قائم کرتے ہیں۔

[root@server ~]$ timedatectl set-ntp true
[root@server ~]$ systemctl restart chronyd.service

این ٹی پی پورٹ کو باہر کی طرف کھولنا بھی ضروری ہے، بصورت دیگر فائر وال کلائنٹ نوڈس سے آنے والے رابطوں کو روک دے گا۔

[root@server ~]$ firewall-cmd --add-service=ntp --permanent 
[root@server ~]$ firewall-cmd --reload

کلائنٹ کی طرف، ٹائم زون کو صحیح طریقے سے سیٹ کرنا کافی ہے۔

[root@client ~]$ timedatectl set-timezone Europe/Moscow

/etc/chrony.conf فائل NTP سرور chrony چلانے والے ہمارے VPS سرور کا IP یا میزبان نام بتاتی ہے۔

server my.vps.server

اور آخر میں، کلائنٹ پر وقت کی مطابقت پذیری شروع کرنا۔

[root@client ~]$ systemctl enable --now chronyd
[root@client ~]$ timedatectl set-ntp true

اگلی بار میں آپ کو بتاؤں گا کہ انٹرنیٹ کے بغیر وقت کو سنکرونائز کرنے کے لیے کیا آپشنز ہیں۔

وقت کی مطابقت پذیری کیسے محفوظ ہو گئی۔

وقت کی مطابقت پذیری کیسے محفوظ ہو گئی۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں