Menu Close

28.5. 配置远程监控访问

chronyc 可以通过两种方式访问 chronyd:

  • 互联网协议、IPv4 或者 IPv6。
  • UNIX 域套接字,由 root 用户或 chrony 用户从本地进行访问。

默认情况下,chronyc 连接到 Unix 域套接字。默认路径为 /var/run/chrony/chronyd.sock。如果此连接失败,例如 chronyc 在非 root 用户下运行,chronyc 会尝试连接到 127.0.0.1,然后 ::1。

网络中只允许以下监控命令,它们不会影响 chronyd 的行为:

  • activity
  • manual list
  • rtcdata
  • smoothing
  • sources
  • sourcestats
  • tracking
  • waitsync

chronyd 接受这些命令的主机集合可以使用 chronyd 配置文件中的 cmdallow 指令,或者在 chronyc 中使用 cmdallow 命令配置。默认情况下,只接受来自本地主机(127.0.0.1 或 ::1)的命令。

所有其他命令只能通过 Unix 域套接字进行。当通过网络发送时,chronyd 会返回 Notauthorized 错误,即使它来自 localhost。

以下流程描述了如何使用 chronyc 远程访问 chronyd。

流程

  1. /etc/chrony.conf 文件中添加以下内容来允许 IPv4 和 IPv6 地址的访问:

    bindcmdaddress 0.0.0.0

    或者

    bindcmdaddress ::
  2. 使用 cmdallow 指令允许来自远程 IP 地址、网络或者子网的命令。

    /etc/chrony.conf 文件中添加以下内容:

    cmdallow 192.168.1.0/24
  3. 在防火墙中打开端口 323 以从远程系统连接:

    #  firewall-cmd --zone=public --add-port=323/udp

    另外,您可以使用 --permanent 选项永久打开端口 323:

    #  firewall-cmd --permanent --zone=public --add-port=323/udp
  4. 如果您永久打开端口 323,请重新载入防火墙配置:

    firewall-cmd --reload

其他资源

  • chrony.conf(5) 手册页