Différences

Ci-dessous, les différences entre deux révisions de la page.

--- sysadmin:linux:serveur-ntp [2018/07/18 12:25] – yoann
+++ sysadmin:linux:serveur-ntp [2022/01/08 18:48] (Version actuelle) – yoann
@@ Ligne 19: / Ligne 19: @@
 Le protocole NTP communique en **UDP** sur le **port 123** pour se synchroniser avec les serveurs distants.
-La configuration du serveur se fait via **/etc/ntp.conf**
+La configuration du serveur se fait via **/etc/ntp.conf**. Ici on définit les serveurs de référence:
+<file>
+server 0.fr.pool.ntp.org
+server 1.fr.pool.ntp.org
+server 2.fr.pool.ntp.org
+server 3.fr.pool.ntp.org
+#server 4.ntp.exemple iburst
+</file>
+<note>
+Chaque entrée server ou pool peut avoir une option **iburst** qui autorise le service à rattraper rapidement le temps de référence.
+</note>
 Une machine peut être à la fois serveur de temps et cliente de son propre service, dans ce cas **ntpd** assure le service et **ntpdate** le rôle de client.
@@ Ligne 34: / Ligne 46: @@
 </code>
-Pour vérifier l'état du serveur NTP, la commande **ntpq** (**NTPQ**uery) permet d'afficher la liste des serveurs distants
+Pour vérifier l'état du serveur NTP:
+<code bash>
+ss -nlpu
+</code>
+La commande **ntpq** (**NTPQ**uery) permet d'afficher la liste des serveurs distants
 <code bash>
 $ ntpq -p
@@ Ligne 52: / Ligne 69: @@
 </file>
-===== ntpdate =====
+===== Le client ntpdate =====
-Le daemon ntpd resynchronise progressivement le temps du système local par rapport au temps de référence. Si un gros écart est constaté, on peu utiliser l'utilitaire **ntpdate** qui se chargera de resynchroniser directement le temps du système local.
+Le daemon ntpd resynchronise progressivement le temps du système local par rapport au temps de référence. Si un gros écart est constaté, on peut utiliser l'utilitaire **ntpdate** qui se chargera de resynchroniser directement le temps du système local.
 <note>
@@ Ligne 80: / Ligne 97: @@
 Démarrage de ntpd :                                        [  OK  ]
 </code>
+===== Le client sntp =====
+Pour tester la communication avec le serveur depuis le bash, on peut installer le client **sntp**:
+<code bash>
+# installation du client
+sudo apt-install sntp
+# test de connexion au serveur
+sntp server.fqdn
+</code>
+Toute requête vers le serveur retourne le message:
+<file>
+sntp 4.2.8p12@1.3728-o (1)
+Can't open KOD db file /var/lib/sntp/kod for writing: Permission denied
+sock_cb: 192.168.33.254 not in sync, skipping this server
+</file>
+Le client n'utilise pas le serveur car celui-ci n'est pas correctement synchronisé. Revoir les paramétrages du serveur.
+<file>
+sntp ntp.phobos.lan
+sntp 4.2.8p12@1.3728-o (1)
+Can't open KOD db file /var/lib/sntp/kod for writing: Permission denied
+-01-06 19:35:32.058110 (-0100) +0.906487 +/- 0.678315 ntp.phobos.lan 192.168.33.254 s4 no-leap
+</file>
+===== Le client sntp de systemd =====
+systemd intègre un client sntp, voir le wiki [[sysadmin:linux:systemd:synchronisation-du-temps| synchronisation du temps par systemd]].
+===== Paramétrage du pare-feu =====
+Si l'on souhaite contrôler précisément le trafic NTP au travers d'un pare-feu restrictif, il est possible de créer des règles exploitant les ensembles (ipsets).
+création d'un ensemble ipset
+<code bash>
+# création de l'ensemble
+ipset create set_ntp_servers hash:ip maxelem 64
+# peuplement de l'ensemble avec les adresses des serveurs
+dig +short 0.fr.pool.ntp.org | xargs --max-args=1 ipset add set_ntp_servers
+dig +short 1.fr.pool.ntp.org | xargs --max-args=1 ipset add set_ntp_servers
+dig +short 2.fr.pool.ntp.org | xargs --max-args=1 ipset add set_ntp_servers
+dig +short 3.fr.pool.ntp.org | xargs --max-args=1 ipset add set_ntp_servers
+</code>
+Création/test des règles netfilter
+<code bash>
+# Journalise le trafic NTP sortant
+iptables -A ufw-after-output -o wan -m set --match-set set_ntp_servers dst -p udp --dport 123 -j ufw-logging-allow
+# Autorise le trafic NTP sortant
+iptables -A ufw-after-output -o wan -m set --match-set set_ntp_servers dst -p udp --dport 123 -j ACCEPT
+</code>
+Si le système utilise **UFW**, on ne peut pas créer directement de règle exploitant les ipset via la commande **ufw**. Néanmoins il est possible d'intégrer des règles iptables au framework UFW en les ajoutant dans le fichier **/etc/ufw/after.rules**. Ce fichier script, s'il est exécutable est utilisé par lors du démarrage/arrêt du pare-feu UFW.
+<code bash>
+# Rendre le script exécutable pour qu'il soit automatiquement appelé par ufw-init
+chmod ug+x /etc/ufw/after.rules
+# Sauvegarder les ensembles existants pour qu'ils puissent être rechargés
+ipset save > /etc/ufw/sets.ipset
+</code>
+Modifier le fichier **/etc/ufw/after.rules**, dans la section start, on reconstruit les ensembles ipset à partir du fichier de sauvegarde puis on crée les règles via les appels **iptable**. Dans la section stop, les ensembles sont détruits.
+<file bash after.rules>
+#
+# Copyright 2013 Canonical Ltd.
+#
+#    This program is free software: you can redistribute it and/or modify
+#    it under the terms of the GNU General Public License version 3,
+#    as published by the Free Software Foundation.
+#
+#    This program is distributed in the hope that it will be useful,
+#    but WITHOUT ANY WARRANTY; without even the implied warranty of
+#    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+#    GNU General Public License for more details.
+#
+#    You should have received a copy of the GNU General Public License
+#    along with this program.  If not, see <http://www.gnu.org/licenses/>.
+#
+set -e
+case "$1" in
+start)
+    # typically required
+    if [ -r /etc/ufw/sets.ipset ]
+    then
+      ipset -f /etc/ufw/sets.ipset restore
+      # Journalise et autorise le trafic NTP a destination des serveurs des pools *.fr.pool.ntp.org
+      iptables -A ufw-after-output -o wan -m set --match-set set_ntp_servers dst -p udp --dport 123 -j ufw-logging-allow -m comment --comment "Autorise trafic NTP vers fr.pool.ntp.org"
+      iptables -A ufw-after-output -o wan -m set --match-set set_ntp_servers dst -p udp --dport 123 -j ACCEPT -m comment --comment "Autorise trafic NTP vers fr.pool.ntp.org"
+    fi
+    ;;
+stop)
+    # typically required
+    ipset destroy
+    ;;
+status)
+    # optional
+    ;;
+flush-all)
+    # optional
+    ;;
+*)
+    echo "'$1' not supported"
+    echo "Usage: after.init {start|stop|flush-all|status}"
+    ;;
+esac
+</file>
+===== Troubleshooting =====
+Même après redémarrage du service, le serveur ne semble pas prendre en compte les modifications apportées dans le fichier de configuration **/etc/ntp.conf**
+En consultant les traces dans les journaux système, dans ce cas, la ligne de commande indique que le fichier de configuration effectivement utilisé est celui généré par le client DHCP:
+<file>
+janv. 06 21:47:56 nucleus systemd[1]: Starting Network Time Service...
+janv. 06 21:47:56 nucleus ntpd[14576]: ntpd 4.2.8p15@1.3728-o Wed Sep 23 11:46:38 UTC 2020 (1): Starting
+janv. 06 21:47:56 nucleus ntpd[14576]: Command line: /usr/sbin/ntpd -p /var/run/ntpd.pid -g -c /run/ntp.conf.dhcp -u 116:122
+. . .
+</file>
+systemd exécute le script ''/usr/lib/ntp/ntp-systemd-wrapper''. Dans ce script, si un fichier ''/run/ntp.conf.dhcp'' existe, il est utilisé comme fichier de configuration.
+Si on stoppe le service, qu'on supprime le fichier et qu'on relance le service, le serveur se comporte comme souhaité et charge le fichier de configuration ''/etc/ntp.conf''.
+<code bash>
+# Arret du serveur NTP
+systemctl stop ntp.service
+# suppression du fichier de configuration ntp généré par le client DHCP
+rm /run/ntp.conf.dhcp
+# Redémarra du serveur NTP
+systemctl start ntp.service
+</code>
+Ci dessous les traces au redémarrage:
+<file>
+janv. 06 22:39:52 nucleus systemd[1]: Starting Network Time Service...
+janv. 06 22:39:52 nucleus ntpd[20816]: ntpd 4.2.8p15@1.3728-o Wed Sep 23 11:46:38 UTC 2020 (1): Starting
+janv. 06 22:39:52 nucleus ntpd[20816]: Command line: /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 116:122
+. . .
+</file>
+via la commande **ntpq** on s'assure que les pools définis dans la configuration sont à présent utilisés:
+<file>
+ntpq -p -n
+     remote           refid      st t when poll reach   delay   offset  jitter
+==============================================================================
+.fr.pool.ntp.o .POOL.          16 p    -   64    0    0.000   +0.000   0.000
+.fr.pool.ntp.o .POOL.          16 p    -   64    0    0.000   +0.000   0.000
+.fr.pool.ntp.o .POOL.          16 p    -   64    0    0.000   +0.000   0.000
+.fr.pool.ntp.o .POOL.          16 p    -   64    0    0.000   +0.000   0.000
+.159.200.1   10.19.12.255     3 u   31   64    1   13.507  -396.96   0.000
+.187.5.167    131.188.3.222    2 u   31   64    1   17.812  -397.75   0.000
+.80.211.8    212.83.158.83    3 u   32   64    1   16.706  -396.85   0.000
+</file>
+Les pools définis dans le fichier de configuration /etc/ntp.conf sont bien utilisés après suppression du fichier /run/ntp.conf.dhcp cependant la modification n'est que temporaire car il sera recréé et reutilisé au prochain démarrage.
+  * redéfinir le comportement du client DHCP pour empêcher qu'il modifie le serveur NTP
+  * redéfinir le service via systemd
 ===== Références =====
   * https://doc.ubuntu-fr.org/ntp
+  * https://www.pool.ntp.org/zone/fr
+  * https://docs.ntpsec.org/latest/ntp_conf.html

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page