Читаем Linux полностью

Здесь:

•  address – адрес симметричного сервера;

•  key – 32-битный ключ для поля аутентификации (по умолчанию отсутствует);

• prefer – предпочитать данный сервер при прочих равных условиях;

•  minpoll – минимальный интервал запросов (секунды, 2 в степени minpoll в диапазоне от 4 (16 с) до 14 (16 384 с), по умолчанию 6 (64 с));

•  maxpoll – максимальный интервал запросов (секунды, 2 в степени maxpoll, по умолчанию 10—1024 с).

Класс procedure-call

Этот класс предназначен для конфигурирования сервера точного времени в режиме procedure-call.

• server address [key key ] [version version ] [prefer] [mode mode ]

•  address – адрес сервера;

•  key – 32-битный ключ для поля аутентификации (по умолчанию отсутствует);

•  mode – режим.

Класс multicast

Предназначен для настройки multicast-режима. Обычно используется в локальных сетях.

• broadcast address [key key ] [version version ] [ttl ttl]

– address – адрес симметричного сервера;

– key – 32-битный ключ для поля аутентификации (по умолчанию отсутствует);

– version – версия протокола;

– ttl – время жизни пакета.

• broadcast client [ address] address – адрес клиента, получающего информацию.

• broadcastdeiay секунд – позволяет самостоятельно указать задержку в распространении пакета.

Общие параметры

Здесь описываются общие параметры настройки сервера xntpd/:

• driftfile driftfile – определяет файл, в котором хранится и извлекается при запуске сдвиг частоты местных часов;

• enable/disable auth/moni tor/pll/pps/stats — включить/выключить режим работы:

– auth — с неупомянутыми соседями общаться только в режиме аутентификации;

– monitor — разрешить мониторинг запросов;

– pll — разрешать настраивать частоту местных часов по NTP;

– stats — разрешить сбор статистики;

• statistics loopstats — при каждой модификации локальных часов записывает строчку в файл loopstats;

Формат файла loopstats:

– номер модифицированного дня по юлианскому календарю;

– секунды с полуночи (UTC);

– смещение в секундах;

– смещение частоты в миллионных долях;

– временная константа алгоритма дисциплинирования часов;

• statistics peerstats – каждое общение с соседом записывается в журнал, хранящийся в файле peerstats;

Формат файла peerstats:

– номер модифицированного дня по юлианскому календарю;

– секунды с полуночи (UTC);

– IP-адрес соседа;

– статус соседа, шестнадцатеричное число;

– смещение, с;

– задержка, с;

– дисперсия, с;

• statistics ciockstats – каждое сообщение от драйвера локальных часов записывается в журнал, хранящийся в файле ciockstats;

• statsdir имя-каталога-со-статистикой – задает имя каталога, в котором будут находиться файлы со статистикой сервера;

• filegen [file filename] [type typename] [flag flagval] [link | nolink] [enable | disable] – определяет алгоритм генерации имен файлов.

Имена файлов состоят из следующих элеметов:

– префикс – постоянная часть имени файла, задается либо при компиляции, либо специальными командами конфигурации;

– имя файла – добавляется к префиксу без косой черты, две точки запрещены, может быть изменена ключом file;

– суффикс – генерируется в зависимости от typename:

· none – обычный файл;

· pid – при каждом запуске xntpd создается новый файл (к префиксу и имени файла добавляются точка и номер процесса);

· day – каждый день создается новый файл (к префиксу и имени файла добавляются. yyyymmdd);

· week – каждую неделю создается новый файл (к префиксу и имени файла добавляются. yyyywww);

· month – каждый месяц создается новый файл (к префиксу и имени файла добавляются. yyyymm);

· year – каждый год создается новый файл (к префиксу и имени файла добавляются уууу);

· age – новый файл создается каждые 24 часа (к префиксу и имени файла добавляются а и 8-значное количество секунд на момент создания файла от момента запуска xntpd);

· link/noiink – по умолчанию создается жесткая ссылка от файла без суффикса к текущему элементу набора (это позволяет обратиться к текущему файлу из набора используя постоянное имя);

· enable/disable – разрешают/запрещают запись в соответствующий набор файлов;

• restrict numeric-address [mask numeric-mask ] [flag] … – задает ограничение доступа: пакеты сортируются по адресам и маскам, берется исходный адрес и последовательно сравнивается, от последнего удачного сравнения берется флаг доступа:

– нет флагов – дать доступ;

– ignore – игнорировать все пакеты;

– no query – игнорировать пакеты NTP 6 и 7 (запрос и модификация состояния);

– nomodify – игнорировать пакеты NTP 6 и 7 (модификация состояния);

– not rap – отказать в обеспечении mode 6 trap сервиса (удаленная журнализация событий);

– lowpriotrap – обслуживать ловушки, но прекращать обслуживание, если более приоритетный клиент потребует этого;

– no serve – обслуживать только запросы mode 6 и 7;

– nopeer – обслуживать хост, но не синхронизироваться с ним;

– not rust – не рассматривать как источник синхронизации;

– limited – обслуживать только ограниченное количество клиентов из данной сети;

– ntpport /non-ntpport – модификатор алгоритма сравнения адресов (сравнение успешно если исходный порт равен/неравен 123), алгоритм сортировки ставит эту строку в конец списка.

• clientiimit limit – для флага limited определяет максимальное количество обслуживаемых клиентов (по умолчанию 3);

• clientperiod секунд – сколько секунд считать клиента активным и учитывать при определении количества обслуживаемых клиентов;

• trap host-address [port port-number] [interface interface-address] – задать хост и порт, которые будут вести журнал;

• setvar variable – установка дополнительных переменных;

• logfile имя-файла – использовать файл имя-файла для ведения журнала вместо syslog;

• logconfig keyword – управление количеством сообщений, сбрасываемых в журнал. Ключевое слово может быть предварено символами равно (установка маски), минус (удаление класса сообщений), плюс (добавление); ключевое слово образуется слиянием класса сообщений (clock, peer, sys, sync) и класса событий (info, event, statistics, status); В качестве суффикса или префикса может использоваться слово all.

Обеспечение безопасности сервера

Если сервер точного времени не предназначен для широкой общественности, а используется только внутренней локальной сетью, желательно закрыть 123 порт для доступа извне, чтобы избежать возможной атаки типа denial of service (отказ в обслуживании), поскольку это грозит неправильным функционированием сервера. Также, если возможно, необходимо использовать шифрование.

Вот список правил для организации брандмауэра, закрывающего доступ к вашему серверу снаружи (см. гл. 29):