ntpsec

Debian GNU/Linux

Sziasztok,

 

még nem teljesen értem. De! O.K. hogy a régi ntpd nem volt jó mert nem volt secure meg gonoszkodtak vele és most van ez a modern ntpsec. De! Van olyan régi cuccom ami régi ntpd-t használ és az új szerverrel nem tud syncelni. Gondolom kapja a KOD üzeneteket.

Tehát ha jókl értem, tartom a tempót, követem a trendet, frissítek, secure vagyok de a régi cuccom már nem tud hozzám syncelni? Fenn kell tartanom a régi cuccomnak egy régi ntpd-t vagy kiengedni a netre? APROPOS! A netes NTP serverek, hogy vannak beállítva, hogy felülről kompatibilisek maradnak?

 

-------cut here----------

# Default: elutasít mindenkit (KOD is)
restrict default kod nomodify notrap nopeer noquery

# Localhost always ok
restrict 127.0.0.1

# LAN networks allowed
restrict 172.16.0.0 mask 255.255.0.0 nomodify notrap

--------cut here--------

 

mondjuk. kb. ilyen. Valaki tud esetleg egy jobb configot, vagy stratégiát?

thx

  • 156 megtekintés

( bennyh | 2025. 09. 25., cs – 11:25 )

Szerkesztve: 2025. 09. 25., cs – 11:26

Én amúgy se szeretem, hogy egy IoT eszközöm kifelé nézegessen (majd én nézegetem őket VPN-en), legfeljebb frissítésekért, de azt is inkább csak kézzel indítva. Egy helyi NTP szerver meg csak egy plusz szolgáltatás egy értelmesebb routeren, annyira nem fáj se fenntartani se eltéríteni felé az NTP forgalmat.

Színes vászon, színes vászon, fúj!

Kérem a Fiátot..

nálam is ez az alap, ~mindent a ruter biztosít befelé:

NTP,  DNS, DHCP, de igény esetén HTTP Proxyt is.

így a belső kliensek - főként az IoT vackok - egyátalán nem akarnak (és nem is tudnak) direktbe netet elérni.

 

A saját belső hálózatomon meg nem érzem szükségét a DNS, NTP forgalom tikosításának, és az áltlam használt OpenWRT, pfSense sem erőlteti  - egyelőre..

zrubi.hu

( ricsip v | 2025. 09. 25., cs – 12:07 )

Good to know! Mikortól lesz kötelező?

öööö. tulajdonképp én most szembesültem vele, ez egy aktuális Debian

---------- cut here--------

# apt-cache search ntpd
collectd-core - statistics collection and monitoring daemon (core system)
cyrus-nntpd - Cyrus mail system - NNTP support
hobbit-plugins - plugins for the Xymon network monitor
htpdate - HTTP based time synchronization tool
jamnntpd - NNTP Server allowing newsreaders to access a JAM messagebase
ntpdate - Network Time Protocol client (transitional package)
ntpsec-doc - Network Time Protocol documentation
ntpsec-ntpdate - client for setting system time from NTP servers
ntpsec-ntpdig - ntpdig SNTP client
sntp - Network Time Protocol client (transitional package)
ntpstat - show network time protocol (ntp) status
openntpd - OpenBSD NTP daemon
root@clserv:/etc/ntpsec# dpkg -l | grep ntpd
ii  ntpdate                           1:4.2.8p15+dfsg-2~1.2.2+dfsg1-1+deb12u1      all          Network Time Protocol client (transitional package)
ii  ntpsec-ntpdate                    1.2.2+dfsg1-1+deb12u1                        amd64        client for setting system time from NTP servers
ii  ntpsec-ntpdig                     1.2.2+dfsg1-1+deb12u1                        amd64        ntpdig SNTP client

-------- cut here ----------

Ezt a kört megfutottam fél éve. Legalább 3 félre irányt kipróbáltam.

A feltételeim azok voltak, hogy tudjon DHCP-ből NTP szerver címet fogadni. Könnyen lehessen felülbírálni statikusan, custom fájllal etethető a config, amit sosem ír felül. Ne legyen extra függősége.

Végül ez vált be, ha már úgy is fent van az alapja:

systemd-timesyncd                  247.3-7+deb11u7                                                 amd64        minimalistic service to synchronize local time with NTP servers

Ilyen okosságok vannak benne:

https://wiki.archlinux.org/title/Systemd-timesyncd

Ahh nekem ez nem jó. én azt akarom, hogy a hálózatomban legyen egy általam kijelölt Time Server a vezérürü és a többi csak őt kérdezgeti, netre nem jut ki.

 

"

  • systemd-timesyncd alapból NEM NTP szerver, csak time client.

  • Tehát más gépek nem tudnak róla szinkronizálni, csak ő szinkronizál más NTP szerverek felé.

"