カメノドットコム
Debian大好きでメインで節操ない感じ。
GMOもわりと好き。
RSS feedly

NTPサーバで時刻を同期

公開用サーバですから、時刻は常に正確にしておきたいものです。
地味にセキュリティホールになるNTPサーバですので、最低限の設定はしておきたいです。

---- [PR] ----
現在契約中 : GMOクラウドのVPS : お名前.com
今後契約するかも : お名前.com VPS
--------------

NTPサーバのインストール

環境によって入っいたりいなかったりしますが、とりあえずインストールコマンドを打ってみます。

$ sudo apt-get update
$ sudo apt-get upgrade
$ sudo apt-get install ntp

……ウチは入ってました。おかしいな。デフォルトでは入ってないサーバのはずなのに。Debian9にアップグレードで入ったようです。
おいといて。デフォルトの設定ファイルでは少し具合が悪いので編集します。

設定ファイルを編集する

距離的に近いタイムサーバと同期させ、不要な設定を削除、最低限のセキュリティを確保します。
まずは日本のタイムサーバを使用するように変更します。

$ sudo vi /etc/ntp.conf
# Debianのタイムサーバをコメントアウト
#server 0.debian.pool.ntp.org iburst
#server 1.debian.pool.ntp.org iburst
#server 2.debian.pool.ntp.org iburst
#server 3.debian.pool.ntp.org iburst

# 日本のタイムサーバを指定
server ntp.jst.mfeed.ad.jp    # インターネットマルチフィード (MFEED)
server ntp.ring.gr.jp         # Ring Server Project
server s2csntp.miz.nao.ac.jp  # 国立天文台・水沢VLBI観測所・天文保時室 (NAO)
server ntp.nict.jp            # 独立行政法人情報通信研究機構 (NICT)

現状、IPv6 は使用しませんので、IPv4 のみ使用するように変更します。
ついでに、他のサーバからの接続を拒否するように設定します。

$ sudo vi /etc/ntp.conf
# IPv6 での使用を禁止します
# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited
 ↓
restrict -4 default kod notrap nomodify nopeer noquery limited
#restrict -6 default kod notrap nomodify nopeer noquery limited

# 他のサーバからの接続を拒否します
# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1
 ↓
#restrict 127.0.0.1
restrict default noquery    # 接続をすべて拒否
restrict localhost          # localhost のみ接続を許可
#restrict ::1

NTPサーバをモニタリングさせないように設定を追記します。

$ sudo vi /etc/ntp.conf
# 最後尾に追記
# モニタリングさせない
disable monitor

以上で設定の変更は終了です。再起動させましょう。

$ sudo /etc/init.d/ntp restart

時刻の同期を確認する

時刻の同期が取れているかを確認します。
再起動直後はどことも同期していません。

$ ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 ntp2.jst.mfeed. 133.243.236.17   2 u    4   64    1    1.334   -0.279   0.002
 ring.ksc.gr.jp  133.243.238.163  2 u    4   64    1   11.112   -0.104   0.002
 133.40.41.135   133.40.41.133    2 u    2   64    1    7.979   -1.341   0.002
 ntp-b3.nict.go. .INIT.          16 u    -   64    0    0.000    0.000   0.002

しばらくして、同じコマンドを打ってみますと。

$ ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+ntp2.jst.mfeed. 133.243.236.17   2 u   33  128  377    1.304    0.086   0.033
+ring.ksc.gr.jp  133.243.238.163  2 u   37  128  377   11.098    0.211   0.088
-133.40.41.135   133.40.41.133    2 u   92  128  377    8.003   -0.951   0.084
*ntp-b3.nict.go. .NICT.           1 u   91  128  377    2.605    0.171   0.081

順調に同期が始まっています。これで大きく時間が狂うことはありません。
あとはファイアウォールでNTPサーバにアクセスできないようにしておけば安心です。

Sponsored Link