Frage Wie verhindert man, dass ntpd auf 0.0.0.0:123 hört?


ntpd hört standardmäßig zahlreiche Schnittstellen ab, ich möchte nur auf 127.0.0.1:123 hören, da ich nur möchte, dass der localhost die Zeit synchronisiert.

Wie das geht, habe ich versucht, indem ich / etc / default / ntp auf Debian Wheezy bearbeite:

NTPD_OPTS='-4 -I 127.0.0.1'

Aber es hört immer noch global auf 0.0.0.0:123

Irgendwelche Ideen?


28
2018-02-05 14:37


Ursprung


Ich bin gespannt, was dein ultimatives Ziel ist. Die Synchronisierung mit localhost ist nicht sehr sinnvoll und funktioniert standardmäßig nicht ohne fudge Aussage. Was versuchst du zu erreichen? - Ladadadada
@Ladadadada Wir haben einen NTP-Server hier im LAN. Unsere Linux-Clients sollten die richtige Zeit haben, anstatt einen stündlichen Cronjob auszuführen ntpdate -B timeserver wir wollten einen ntpd auf jedem Client mit nur 127.0.0.1:123 ausführen, der den Zeitserver im LAN anfragt. Ist etwas nicht in Ordnung? - JohnnyFromBF
Auf einem Client wird der Listening-Port nur zum Abfragen des aktuellen Status des Daemon verwendet. Das server Linien in Ihrem ntpd Client-Konfigurationen legen fest, mit wem Sie synchronisieren. Wenn dein server Linie (n) sagen 127.0.0.1, du hast ein Problem. Wenn sie auf Ihren zentralen Zeitserver zeigen, sollte alles in Ordnung sein. - Ladadadada


Antworten:


Alles entfernen -I oder --interface Optionen von /etc/default/ntp und füge folgendes in dein ein /etc/ntp.conf:

interface ignore wildcard
interface listen 127.0.0.1
interface listen ::1
# NOTE: if you want to update your time using remote machines,
# add at least one remote interface address:
#interface listen 2001:db8::1
#interface listen 192.0.2.1

Ein Auszug aus der ntpd(1) Handbuchseite über die -i Möglichkeit:

Diese Option bedeutet auch, dass keine anderen Adressen geöffnet werden   Wildcard und localhost. Bitte beachten Sie die Verwendung der Konfigurationsdatei   Interface-Befehl, der vielseitiger ist.

Siehe auch die Debian-Handbuchseite (ich konnte sie in Arch Linux nicht finden) ntp.conf(5).


34
2018-02-05 14:42



Perfekt, vielen Dank! - JohnnyFromBF
ntp muss auf einer routingfähigen Oberfläche binden, um mit Zeitservern synchronisieren zu können. Siehe meepmeeps Antwort unten. - organic-mashup


Wenn ntp nur auf 127.0.0.1 hört, sieht es so aus, als könne es keine Verbindung zu einem öffentlichen ntp-Server herstellen:

$ ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
ks370079.kimsuf **.INIT.**       16 -    -   64    0    0.000    0.000   0.000

Es muss an eine routingfähige IP-Adresse gebunden sein, um zu funktionieren.


14
2018-04-07 20:25



Vielen Dank für diese Beobachtung und Ihr Beispiel, wie Sie bestätigen können, dass dies tatsächlich der Fall ist. - ColinM


Wenn Sie die Anzahl der Abhördienste aus Sicherheitsgründen verringern möchten, wird möglicherweise openntpd in Betracht gezogen, da kein Abhörserver als Client verwendet werden muss. Es gilt als etwas weniger genau als ntpd; es ist zuverlässig innerhalb von ein paar hundert ms, aber dies ist für die meisten Zwecke geeignet.


6
2017-08-03 14:48





Komplette /etc/ntp.conf, die protokollneutral ist (IPv4 & IPv6)

driftfile /var/lib/ntp/ntp.drift

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.pool.ntp.org
server 1.pool.ntp.org
server 2.pool.ntp.org
server 3.pool.ntp.org

restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

restrict lo

interface ignore wildcard
interface listen lo

5
2018-02-23 08:47