[RESOLU] NTPD - Pas capable de synchroniser

[ggbce]

J'ai un bon p'tit bug avec le demon ntpd et j'ai fais pas mal de recherche sans trouver une solution efficace.

J'explique:

1- Mon port UDP:123 est bien ouvert et si le démon ntpd ne roule pas, j'essai avec ntpdate time.nist.gov ça marche très bien !

2- Je configure mon fichier /etc/ntp.conf correctement (d'après le site officiel http://www.ntp.org) avec les valeurs ci-dessous:

# Bloque l'accès à tout le monde par défaut.
restrict default ignore
# Autorise le loopback à tout faire (admin local).
restrict 127.0.0.1  
# Liste des serveurs pour se synchroniser
server ntp1.cmc.ec.gc.ca prefer
server ntp2.cmc.ec.gc.ca
server time.nrc.ca
server time.chu.nrc.ca
server timelord.uregina.ca
server ntp.cpsc.ucalgary.ca
restrict ntp1.cmc.ec.gc.ca
restrict ntp2.cmc.ec.gc.ca
restrict time.nrc.ca
restrict time.chu.nrc.ca
restrict timelord.uregina.ca
restrict ntp.cpsc.ucalgary.ca
# Synchronisation locale si le réseau est indisponible.
server 127.127.1.0
fudge 127.127.1.0 stratum 10	
# Le DRIFT est un fichier temporaire pour calculer le délai.
driftfile /etc/ntp/drift

Je vérifie je redémarre le service (ou redémarre le PC au complet), pas d'erreur, ni rien dans /var/log/messages d'anormal.

Je vérifie ensuite l'état avec ntpq -p:

 remote		   refid	  st t when poll reach   delay   offset  jitter
===============================================
*LOCAL(0)		LOCAL(0)		10 l   41   64  377	0.000	0.000   0.015
wxo-svr1.cmc.ec 0.0.0.0		 16 u	-  256	0	0.000	0.000 4000.00
wxo-svr2.cmc.ec 0.0.0.0		 16 u	-  256	0	0.000	0.000 4000.00
time.nrc.ca	 0.0.0.0		 16 u	-  256	0	0.000	0.000 4000.00
time1.chu.nrc.c 0.0.0.0		 16 u	-  256	0	0.000	0.000 4000.00
sue.cc.uregina. 0.0.0.0		 16 u	-  256	0	0.000	0.000 4000.00
time4.cpsc.ucal 0.0.0.0		 16 u	-  256	0	0.000	0.000 4000.00

Comme vous voyez, ntpd n'entre pas en communication avec les serveurs de temps et les place en stratum 16.

Alors je modifie le fichier /etc/ntp.conf en enlevant la ligne :

restrict default ignore

Je redémarre le service ntpd, comme par miracle ça fonctionne:

 remote		   refid	  st t when poll reach   delay   offset  jitter
=================================================
LOCAL(0)		LOCAL(0)		10 l   12   64	1	0.000	0.000   0.015
wxo-svr1.cmc.ec bonehed.lcs.mit  2 u   14   64	1   49.423  -1316.6   0.015
wxo-svr2.cmc.ec bonehed.lcs.mit  2 u   22   64	1   48.946  -1317.7   0.015
time.nrc.ca	 tic.nrc.ca	   2 u   15   64	1   37.180  -1317.4   0.015
time1.chu.nrc.c tac.chu.nrc.ca   2 u   15   64	1  100.765  -1310.6   0.015
sue.cc.uregina. tick.ucla.edu	2 u   14   64	1  138.810  -1325.9   0.015
time4.cpsc.ucal CLOCK.uregina.c  2 u   18   64	1   75.498  -1318.4   0.015

Bon, ce n'est pas normal que la ligne "restrict default ignore" bloque" mes requêtes si j'ajoute une ligne permettant l'accès de ces serveur par la suite "restrict ntp1.cmc.ec.gc.ca" (tout comme pour le loopback... et comme www.ntp.org l'explique).

Je ne comprends plus

Et je ne veux pas enlever la ligne "restrict default ignore" car sans elle je ne suis plus protégé des attaques ntp par le réseau. C'est supposé d'être toujours là par défaut cette ligne !

À l'aide !!!!

[ggbce]

Je fais un UP sur cette question que j'ai posé dernièrement. Je n'ai pas encore trouvé une solution...

---------------------

Le problème en bref:

Je ne suis pas capable de synchroniser mon horloge avec d'autres serveurs de temps (ex.: avec time.nist.gov) si je retrouve la ligne:

restrict default ignore

dans mon fichier ntp.conf !

Je ne vois pas pourquoi, car les restrictions sont là pour empêcher les requêtes entrantes sur mon serveur NTP et non pour l'empêcher de se synchroniser sur un autre serveur... Ce paramètre a été également ajouté (d'après l'auteur) pour assurer qu'un boucle ne se forme pas afn que le PC lui-même tente de se synchroniser sur sa propre interface réseau.

J'aurais besoin d'un coup de main S.V.P. (le site de NTPD est très complet en information, mas n'offre pas d'aide... qu'à part des fameux mailing-list très compliqués pour rechercher une question.

[sunfun]

bonjour,

je ne suis pas trop expert en serveur NTP, mais je veux bien t'aider

sous quel linux es-tu ?

as-tu essayé de réinstaller le daemon NTP pour voir ?

est-ce que ton daemon NTP est bien démarré ?

tiens nous au courant

sunfun

[theocrite]

Tu ne peux pas te passer de cette ligne ?

Elle protège contre quelles attaques exactement ?

Au pire ça protège de ton réseau local pour le reste il y a un firewall derrière.

[ggbce]

1- Bien sur que le démon ntpd est en marche

2- La version de ntp est 4.1.1.

3- Le problème se produit sur plus d'une machine (depuis une installation fraîche d'un poste de test), donc ce n'est pas un problème de réinstallation.

4- Si j'essai sur une machine test de configurer dans ntp.conf mon autre machine comme "server" ça fait le même problème également.

5- Peut-être que je peux me passer de cette ligne effectivement... mais d'après l'auteur, ça permet effectivement de se protéger des attaques NTP possibles.

6- C'est pour un serveur Web qui n'est pas sur un réseau local, mais directement sur Internet.

[gauret]

Chez moi j'ai :

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default kod nomodify notrap nopeer noquery

# Permit all access over the loopback interface.
restrict 127.0.0.1

# -- CLIENT NETWORK -------
# Permit systems on this network to synchronize with this
# time service.  Do not permit those systems to modify the
# configuration of this service.  Also, do not use those
# systems as peers for synchronization.
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

# --- OUR TIMESERVERS -----
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server fr.pool.ntp.org
server de.pool.ntp.org

[fabien29200]

Voilà ce que je trouve sur un site :

Last, but most importantly, you need to make sure the default restrict statement is removed. It will override all other restrict statements and you’ll find your NTP server will only be communicating properly with itself. If the line is there, comment it out like this:

#restrict default ignore

http://www.chinalinuxpub.com/doc/www.silic...inux-hn/ntp.htm

Donc à mon avis, je ne pense que les règles données soient comme celles de iptables qui se peuvent se spécialiser au fur et à mesure. Mettre cette ligne doit certainement ne laisser l'accès qu'à la machine...

[ggbce]

Je crois que Gauret et Fabien ont répondu à ma question. J'ai re-lu l'aide de NTPD et j'ai mal interprété l'information:

Default restriction list entries with the flags ignore, interface, ntpport, for each of the local host's interface addresses are inserted into the table at startup to prevent the server from attempting to synchronize to its own time. A default entry is also always present, though if it is otherwise unconfigured; no flags are associated with the default entry (i.e., everything besides your own NTP server is unrestricted).

De: http://www.cis.udel.edu/~mills/ntp/html/accopt.html

En utilisant:

restrict default kod nomodify notrap nopeer noquery

Je ne fait pas un IGNORE total, mais empêche les intrustions quand même (surtour avec kod).

Eh oui, j'ai essayé et ça fonctionne !!!

Merci encore.