18.9. ntpd 設定ファイルの概要

ntpd デーモンは、システム起動時またはサービスの再起動時に設定ファイルを読み取ります。このファイルのデフォルトの位置は /etc/ntp.conf で、以下のコマンド入力して確認することができます。 
~]$ less /etc/ntp.conf
設定コマンドについては、本章の後半 「NTP の設定」 で簡単に説明されており、詳しくは ntp.conf(5) man ページで説明されています。
ここでは、以下でデフォルトの設定ファイルを簡単に説明します。
driftfile エントリー
誤差ファイルへのパスが指定され、Red Hat Enterprise Linux でのデフォルトエントリーは以下のようになります。 
driftfile /var/lib/ntp/drift
これを変更する場合は、ディレクトリーが ntpd で書き込み可能となっていることを確認してください。ファイルには、システムもしくはサービス起動時に毎回システムクロックの周波数を調整する値が含まれます。詳細情報は、誤差ファイルの概要 を参照してください。
アクセス制御エントリー
以下の行は、デフォルトのアクセス制御を設定します。 
restrict default nomodify notrap nopeer noquery
  • nomodify オプションは、設定に変更が加えられないようにします。
  • notrap オプションは、ntpdc 制御メッセージプロトコルトラップを防ぎます。
  • nopeer オプションは、ピア関連付けが形成されないようにします。
  • noquery オプションは、ntpq および ntpdc クエリーへの応答を防ぎますが、タイムクエリーは除外されます。

重要

ntpq および ntpdc クエリーは増幅攻撃に使用できるため、アクセスを公開しているシステムでは、restrict default コマンドから noquery オプションを削除しないでください。
詳細は、CVE-2013-5211 を参照してください。
127.0.0.0/8 範囲内のアドレスは、種々のプロセスやアプリケーションが必要とすることがあります。上記の "restrict default" 行は明示的に許可されていないすべてのものへのアクセスを妨害するので、IPv4 および IPv6 の標準ループバックアドレスへのアクセスは以下の行で許可されます。 
# the administrative functions.
restrict 127.0.0.1
restrict ::1
別のアプリケーションで特に必要とされる場合は、アドレスはすぐ下に追加できます。
ローカルネットワーク上のホストは、上記の "restrict default" 行のために許可されません。これを変更して、たとえば 192.0.2.0/24 ネットワークからのホストが時間および統計情報のみをクエリーできるようにするには、以下の形式の行が必要になります。 
restrict 192.0.2.0 mask 255.255.255.0 nomodify notrap nopeer
特定のホスト、たとえば 192.0.2.250/32 からの無制限のアクセスを許可するには、以下の形式の行が必要になります。 
restrict 192.0.2.250
指定がない場合は、255.255.255.255 のマスクが適用されます。
制限コマンドは、ntp_acc(5) man ページで説明されています。
公開サーバーエントリー
デフォルトでは、以下の 4 つの公開サーバーエントリーが ntp.conf ファイルに格納されています。 
server 0.rhel.pool.ntp.org iburst
server 1.rhel.pool.ntp.org iburst
server 2.rhel.pool.ntp.org iburst
server 3.rhel.pool.ntp.org iburst
ブロードキャストマルチキャストサーバーエントリー
デフォルトでは、ntp.conf ファイルにはコメントアウトされた例がいくつか含まれています。特定のコマンドについての説明は、「NTP の設定」 を参照してください。必要な場合は、コマンドを例のすぐ下に追加します。

注記

DHCP クライアントプログラムである dhclient は、DHCP サーバーから NTP サーバーのリストを受信すると、これに ntp.conf を追加してサービスを再起動します。この機能を無効にするには、PEERNTP=no/etc/sysconfig/network に追加します。