Menu Close

28.5. 원격 모니터링 액세스 구성

Chronyc 는 다음 두 가지 방법으로 chronyd 에 액세스할 수 있습니다.

  • 인터넷 프로토콜, IPv4 또는 IPv6.
  • UNIX 도메인 소켓 - 루트 또는 chrony 사용자가 로컬로 액세스할 수 있습니다.

기본적으로 chronyc 는 Unix 도메인 소켓에 연결됩니다. 기본 경로는 /var/run/chrony/chronyd.sock 입니다. 이 연결에 실패하면 예를 들어 chronyc 가 루트가 아닌 사용자에서 실행되는 경우 chronyc 는 127.0.0.1에 연결을 시도한 다음 ::1을 시도합니다.

chronyd 의 동작에 영향을 미치지 않는 다음 모니터링 명령만 네트워크에서 허용됩니다.

  • activity
  • 수동 목록
  • rtcdata
  • smoothing
  • 소스
  • sourcestats
  • tracking
  • waitsync

chronyd 가 이러한 명령을 허용하는 호스트 세트는 chronyd 의 설정 파일에서 cmdallow 지시문 또는 chronyccmdallow 명령을 사용하여 구성할 수 있습니다. 기본적으로 이 명령은 localhost(127.0.0.1 또는 ::1)에서만 사용할 수 있습니다.

다른 모든 명령은 Unix 도메인 소켓을 통해서만 허용됩니다. 네트워크를 통해 전송되면 chronyd 는 localhost에서 가져온 경우에도 Not authorized error로 응답합니다.

다음 절차에서는 chronyc 를 사용하여 chronyd에 원격으로 액세스하는 방법을 설명합니다.

절차

  1. /etc/chrony.conf 파일에 다음을 추가하여 IPv4 및 IPv6 주소 모두에서 액세스를 허용합니다.

    bindcmdaddress 0.0.0.0

    또는

    bindcmdaddress ::
  2. cmdallow 지시문을 사용하여 원격 IP 주소, 네트워크 또는 서브넷의 명령을 허용합니다.

    /etc/chrony.conf 파일에 다음 내용을 추가합니다.

    cmdallow 192.168.1.0/24
  3. 방화벽에서 포트 323을 열어 원격 시스템에서 연결합니다.

    #  firewall-cmd --zone=public --add-port=323/udp

    선택적으로 --permanent 옵션을 사용하여 포트 323을 영구적으로 열 수 있습니다.

    #  firewall-cmd --permanent --zone=public --add-port=323/udp
  4. 323 포트를 영구적으로 여는 경우 방화벽 구성을 다시 로드합니다.

    firewall-cmd --reload

추가 리소스

  • chrony.conf(5) 도움말 페이지