Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

22.16. NTP の設定

NTP サービスのデフォルト設定を変更するには、root でテキストエディターを使用して /etc/ntp.conf ファイルを編集します。このファイルは ntpd とともにインストールされ、Red Hat プールからのタイムサーバーを使用するデフォルト設定になっています。ntp.conf(5) の man ページでは、アクセスおよびレート制限コマンドとは別に、設定ファイルで使用可能なコマンドオプションが説明されています。アクセスおよびレート制限コマンドは、ntp_acc(5) man ページで説明されています。

22.16.1. NTP サービスへのアクセス制御の設定

システムで実行している NTP サービスへのアクセスを制限または制御するには、ntp.conf ファイルの restrict コマンドを利用します。コメントアウトされた例は以下のとおりです。
# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
restrict コマンドは以下の形式になります。
restrict address mask option
ここでの addressmask は、制限を適用する IP アドレスを指定します。オプション は以下のいずれかになります。
  • ignore: ntpq および ntpdc クエリーを含むすべてのパケットは無視されます。
  • Ko D: Kiss-o'-death パケットが送信され、不要なクエリーが少なくなります。
  • limited: パケットがレート制限のデフォルト値または discard コマンドで指定された値に違反する場合、タイムサービス要求に応答しません。ntpq および ntpdc クエリーは影響を受けません。discard コマンドおよびデフォルト値に関する詳細情報は、「NTP サービスへのレート制限アクセスの設定」 を参照してください。
  • lowpriotrap: 一致するホストがトラップを低い優先度に設定します。
  • nomodify: 設定に変更を加えられないようにします。
  • noquery: ntpq および ntpdc クエリーに応答しないようにしますが、タイムクエリーは除外されます。
  • nopeer: ピア関連付けが形成されないようにします。
  • noserve: ntpq および ntpdc クエリー以外のパケットをすべて拒否します。
  • notrap: ntpdc 制御メッセージプロトコルトラップを防ぎます。
  • notrust: 暗号法で認証されないパケットを拒否します。
  • ntpport: 発信元ポートが標準の NTP UDP ポート 123 の場合、一致アルゴリズムが制限のみを適用するように修正します。
  • version: 現在の NTP バージョンに一致しないパケットを拒否します。
レート制限アクセスがクエリーに対してまったく応答しないように設定するには、各 restrict コマンドに limited オプションを指定する必要があります。ntpdKoD パケットで応答する必要がある場合は、restrict コマンドに limited オプションと kod オプションの両方が必要です。
ntpq および ntpdc クエリーは増幅攻撃に使用できます(詳細は CVE-2013-5211 を参照してください)。アクセスを公開しているシステムでは、restrict default コマンドから noquery オプションを削除しないでください。