NTP 的 ACL 控制

跟 ntp 权限访问相关的都在 restrict 这个声明里面。

默认情况下,如果 ntp.conf 里面没有任何的 restrict 字段,表示默认全部放行。比如下面这个配置:
# cat /etc/ntp.conf
server x.x.x.x prefer
server y.y.y.y
server z.z.z.z

这意味着什么了?如果服务器开了公网 IP,没有防火墙的,再加上 ntp 无法监听指定的端口,这会导致互联网上任何一台主机都能够操作这台 ntp,比如:
ntpq> peers
     remote           refid      st t when poll reach   delay   offset  jitter
     ==============================================================================
     *192.168.40.92     202.112.31.197   3 u 1010 1024  377    0.202    0.000 0.398
     +192.168.50.44      202.112.31.197   3 u  364 1024  377    0.314    1.415 0.875
     +192.168.30.8      202.112.31.197   3 u  424 1024  377    0.280    1.759 0.952
     +dns2.synet.edu. 137.189.4.10     2 u  395 1024  377   11.255    0.830 0.647
      LOCAL(0)        .LOCL.          10 l  24d   64    0    0.000    0.000 0.000

还能看到 NTP, OS 的相关信息:
ntpq> rl
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.6p3@1.2290-o Tue Jun  5 20:12:08 UTC 2012 (1)",
processor="x86_64", system="Linux/3.2.0-40-generic", leap=00, stratum=4,
precision=-23, rootdelay=12.562, rootdisp=73.370, refid=192.168.40.92,
reftime=d59b67c9.85575f94  Thu, Jul 15 2013 17:00:57.520,
clock=d59b700e.367fac37  Thu, Jul 15 2013 17:36:14.212, peer=59253,
tc=10, mintc=3, offset=0.000, frequency=5.968, sys_jitter=0.398,
clk_jitter=0.242, clk_wander=0.036

下面参照官方文档学习下 ntp 在 acl 方面做的一些工作。
默认先阻挡掉一切的连接:
restrict default ignore

下面的语句实现跟上面类似的效果:
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery

如果仅仅有上面这条,这意味着会 block 所有的主机,包括本机。这个明显不是我们想要的,可以开放指定的机器,包括 localhost。下面这个仅仅对 192.168.40.0 以及 localhost 开放查询权限:
restrict -4 default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
restrict 192.168.40.0 mask 255.255.255.0

注意: restrict 需要使用 IP 而非域名的形式。

从上面可以看到,ntp 配置的不好会对系统的安全造成非常严重的隐患。另外,老生常谈的事,绝对不要在线上环境执行不熟悉的命令,修改不熟悉的配置,很多工程师都是修改完了重启发现没问题就仍在那儿不管了,以为自己做的很好,其实留下了很严重的安全隐患。