Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
19.17. NTP の設定
NTP
サービスのデフォルト設定を変更するには、root
でテキストエディターを使用して /etc/ntp.conf
ファイルを編集します。このファイルは、ntpd
とともにインストールされ、Red Hat プールからのタイムサーバーを使用するデフォルト設定になっています。ntp.conf(5)
man ページでは、アクセスおよびレート制限コマンドを除く、設定ファイルで使用可能なコマンドオプションが説明されています。アクセスおよびレート制限コマンドは、ntp_acc(5)
man ページで説明されています。
19.17.1. NTP サービスへのアクセス制御の設定
システム上で実行中の NTP
サービスへのアクセスを制限または制御するには、ntp.conf
ファイル内の restrict
コマンドを利用します。コメントアウトされた例は以下のとおりです。
# Hosts on local network are less restricted. #restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
restrict
コマンドは以下の形式になります。
restrict
address [mask mask] option
address および mask は、制限を適用する IP アドレスを指定します。option は 1 つ以上の制限になります。
-
ignore
:ntpq
およびntpdc
クエリーを含むすべてのパケットが無視されます。 -
kod
: Kiss-o'-death パケットが送信され、不要なクエリーが少なくなります。 -
limited
: パケットがレート制限のデフォルト値またはdiscard
コマンドで指定された値に違反する場合は、タイムサービス要求に応答しません。ntpq
およびntpdc
クエリーは影響を受けません。discard
コマンドおよびデフォルト値に関する詳細情報は、「NTP サービスへのレート制限アクセスの設定」 を参照してください。 -
lowpriotrap
: 一致するホストがトラップを低い優先度に設定します。 -
nomodify
: 設定に変更を加えられないようにします。 -
noquery
:ntpq
およびntpdc
クエリーに応答しないようにしますが、タイムクエリーは除外されます。 -
nopeer
: ピア関連付けの形成をできないようにします。 -
noserve
:ntpq
およびntpdc
クエリーを除くすべてのパケットを拒否します。 -
notrap
:ntpdc
制御メッセージプロトコルトラップをできないようにします。 -
notrust
: 暗号法で認証されないパケットを拒否します。 -
ntpport
: 発信元ポートが標準のNTP
UDP
ポート123
の場合、一致アルゴリズムが制限のみを適用するように修正します。 -
version
: 現在のNTP
バージョンに一致しないパケットを拒否します。
レート制限アクセスがクエリーに対してまったく応答しないように設定するには、各 restrict
コマンドに limited
オプションを指定する必要があります。ntpd
が KoD
パケットで応答するには、restrict
コマンドにオプションが limited
および kod
を指定する必要があります。
ntpq
および ntpdc
クエリーは増幅攻撃に使用できます (詳細は CVE-2013-5211 を参照)。そのため、アクセスを公開しているシステムでは、restrict default
コマンドから noquery
オプションの指定を外さないでください。