Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

16.9. Comprendre le fichier de configuration ntpd

Le démon ntpd lit le fichier de configuration au démarrage système ou lorsque le service est redémarré. L'emplacement par défaut du fichier est /etc/ntp.conf et le fichier peut être affiché en saisissant la commande suivante :
~]$ less /etc/ntp.conf
Les commandes de configuration sont brièvement expliquées plus loin dans ce chapitre, veuillez consulter la Section 16.17, « Configurer NTP », et la page man de ntp.conf(5) pour davantage de détails.
Ci-dessous figure une brève explication du contenu du fichier de configuration par défaut :
L'entrée driftfile
Un chemin vers le fichier de dérive (« drift file ») est spécifié, l'entrée par défaut de Red Hat Enterprise Linux est :
driftfile /var/lib/ntp/drift
Si vous changez ceci, assurez-vous que le répertoire soit accessible en écriture par ntpd. Le fichier contient une valeur utilisée pour ajuster la fréquence de l'horloge système après chaque démarrage du système ou du service. Veuillez consulter Comprendre le fichier de dérive pour obtenir davantage d'informations.
Entrées de contrôle d'accès
La ligne suivante définit les restrictions de contrôle d'accès par défaut :
restrict default nomodify notrap nopeer noquery
  • Les options nomodify empêchent tout changement de configuration.
  • L'option notrap empêche les interruptions de protocole de messages de contrôle ntpdc.
  • L'option nopeer empêche la formation d'association de pairs.
  • L'option noquery empêche de répondre aux requêtes ntpq et ntpdc, mais n'empêche pas de répondre aux requêtes de temps.

Important

Les requêtes ntpq et ntpdc peuvent être utilisées dans les attaques d'amplification, veuillez donc ne pas supprimer l'option noquery de la commande restrict default sur des systèmes accessibles publiquement.
Veuillez consulter CVE-2013-5211 pour obtenir davantage de détails.
Les adresses situées dans la plage 127.0.0.0/8 sont parfois requises par divers processus ou applications. Comme la ligne « restrict default » (restreindre par défaut) ci-dessus prévient l'accès à tout ce qui n'est pas explicitement autorisé, l'accès à l'adresse de bouclage IPv4 et IPv6 est autorisé au moyen des lignes suivantes :
# the administrative functions.
restrict 127.0.0.1
restrict ::1
Les adresses peuvent être ajoutées ci-dessous si elles sont spécifiquement requises par une autre application.
Les hôtes sur le réseau local ne sont pas autorisés à cause de la ligne ci-dessus « restrict default » (restreindre par défaut). Pour changer cela, par exemple pour autoriser les hôtes du réseau 192.0.2.0/24 à demander l'heure et les statistiques et rien de plus, une ligne au format suivant est requise :
restrict 192.0.2.0 mask 255.255.255.0 nomodify notrap nopeer
Pour autoriser un accès non limité à partir d'un hôte spécifique, par exemple à partir de 192.0.2.250/32, une ligne au format suivant est requise :
restrict 192.0.2.250
Un masque de 255.255.255.255 est appliqué si aucun masque n'est spécifié.
Les commandes de restriction sont expliquées dans la page man de ntp_acc(5).
Entrées de serveurs publics
Par défaut, le fichier ntp.conf contient quatre entrées de serveurs publics :
server 0.rhel.pool.ntp.org iburst
server 1.rhel.pool.ntp.org iburst
server 2.rhel.pool.ntp.org iburst
server 3.rhel.pool.ntp.org iburst
Entrées de serveurs de diffusion et de multidiffusion
Par défaut, le fichier ntp.conf contient quelques exemples mis en commentaire. Ces exemples sont principalement explicites. Veuillez consulter la Section 16.17, « Configurer NTP » pour une explication des commandes spécifiques. Si requis, ajoutez vos commandes sous les exemples.

Note

Lorsque le programme client de DHCP, dhclient reçoit une liste de serveurs NTP du serveur DHCP, il les ajoute à ntp.conf et redémarre le service. Pour désactiver cette fonctionnalité, veuillez ajouter PEERNTP=no à /etc/sysconfig/network.