Quali sono gli svantaggi della disabilitazione del panico 0 in NTP?

A volte abbiamo il problema che i nuovi server hanno il tempo sbagliato nella bios, per cui il tempo può essere spento per un mese.

Quando sospendi una VM in VMware e poi lo sospendi, anche il tempo sarà spento. Poiché NTP non sincronizza dopo un offset massimo, sto pensando di utilizzare il panico 0 di tinker nel /etc/ntp.conf.

  • Come impedire l'installazione di pacchetti rpm incompatibili
  • C'è materiale di ricerca sull'accuratezza di NTP?
  • Il mio Oracle DBA necessita di accesso root?
  • Aumenta la dimensione di tmpfs più di RAM disponibile È questa una buona opzione?
  • Ponte di networking KVM con due NIC
  • Andando da fonte a RPM
  • Qual è la ragione per cui c'è un offset massimo predefinito di 1000 secondi che causa NTP a interrompere la sincronizzazione del tempo? Stiamo usando Puppet per impostare NTP, sto pensando di impostare il panico 0 di tinker nel ntp.conf, quindi NTP sincronizza comunque. Quali sono gli svantaggi di farlo?

  • Kinit non si connette a un server di dominio: il dominio non è locale a KDC mentre ottiene le credenziali iniziali
  • mdadm RAID1 a RAID6
  • La migliore distro di Linux per i bilancieri del carico?
  • Cambiare properties; o autorizzazioni solo su directory o file, in modo ricorsivo
  • Bloccare il traffico in entrata in modalità di incollaggio quando l'interface primaria è in discesa
  • Come posso reimpostare le autorizzazioni di / bin / boot / etc e / dev al proprietario di orignal, Ubuntu?
  • 2 Solutions collect form web for “Quali sono gli svantaggi della disabilitazione del panico 0 in NTP?”

    La causa di non sincronizzazione con un server il cui tempo è così diverso è documentato qui :

    5.1.1.4. Cosa succede se il tempo di riferimento cambia?

    Idealmente il tempo di riferimento è lo stesso ovunque nel mondo. Una volta sincronizzato, non ci dovrebbero essere cambiamenti imprevisti tra l'orologio del sistema operativo e l'orologio di riferimento. Pertanto, NTP non dispone di methods particolari per gestire la situazione.

    Invece, la reazione di ntpd dipenderà dall'offset tra l'orologio locale e il tempo di riferimento. Per un piccolo offset ntpd regola l'orologio locale come al solito; per piccole e grandi correzioni, ntpd rifiuterà il tempo di riferimento per un po '. In quest'ultimo caso, l'orologio del sistema operativo continuerà con le ultime correzioni effettive mentre il nuovo tempo di riferimento viene rifiutato. Dopo un po 'di tempo, piccoli spostamenti (significativamente less di un secondo) verranno scagliati (regolati lentamente), mentre gli spostamenti più grandi causeranno l'orologio (impostato nuovamente). Gli offset enormi vengono rifiutati e ntpd si concluderà, credendo che qualcosa di molto strano deve essere accaduto.

    Nella mia attuale configuration NTP, controllata anche da puppet , impongo la sincronizzazione con il server, sia nel file ntp.conf , che utilizza il tinker panic e nelle impostazioni del demone ( /etc/sysconfig/ntpd ), come descritto nel ntpd(8) manpage:

    -g Normalmente ntpd esce con un messaggio nel registro di sistema se l'offset supera la soglia di panico, che è di 1000 s per impostazione predefinita. Questa opzione consente di impostare l'ora su qualsiasi valore senza restrizioni; tuttavia, questo può accadere solo una volta. Se la soglia viene superata dopo di che, ntpd esce con un messaggio nel registro di sistema. Questa opzione può essere utilizzata con le opzioni -q e -x.

    Lo faccio perché posso fidarmi del server NTP a cui sto collegando.

    La parte rilevante del module che si applica ai client è la seguente:

     class ntp ( $foo $bar ... ){ $my_files = { 'ntp.conf' => { path => '/etc/ntp.conf', content => template("ntp/ntp.conf.$template.erb"), selrole => 'object_r', seltype => 'net_conf_t', require => Package['ntp'], }, 'ntp-sysconfig' => { path => '/etc/sysconfig/ntpd', source => 'puppet:///modules/ntp/ntp-sysconfig', require => Package['ntp'], }, ... } $my_files_defaults = { ensure => file, owner => 'root', group => 'root', mode => '0644', selrange => 's0', selrole => 'object_r', seltype => 'etc_t', seluser => 'system_u', } create_resources(file, $my_files, $my_files_defaults) exec { 'ntp initial clock set': command => '/usr/sbin/ntpd -g -q -u ntp:ntp', refreshonly => true, timeout => '-1', subscribe => File['/etc/ntp.conf'], } } 

    E il contenuto dei file di riferimento è:

     $ cat devops/puppet/modules/ntp/files/ntp-sysconfig # Drop root to id 'ntp:ntp' by default. OPTIONS="-u ntp:ntp -p /var/run/ntpd.pid -g -a" 

    e:

     $ cat devops/puppet/modules/ntp/templates/ntp.conf.RedHat.erb # HEADER: This file was autogenerated by puppet. # HEADER: While it can still be managed manually, it # HEADER: is definitely not recommended. tinker panic 0 <% server.each do |ntpserver| -%> server <%= ntpserver %> autokey <% end -%> server 127.127.1.0 # local clock fudge 127.127.1.0 stratum 10 driftfile /var/lib/ntp/drift crypto pw hunter2 crypto randfile /dev/urandom keysdir /etc/ntp 

    La parte di hiera manca qui, ma hai l'idea.

    Il caso peggiore potrebbe essere l'attacco al ricevitore GPS GPS, questo è stato dimostrato ansible e per questo motivo NTP in quei casi piuttosto "lascia" che interrompere immediatamente qualsiasi cosa. Questo tipo di problema, o improvvisi bug software è stato previsto al tempo di progettazione di NTP, e entrambi possono accadere.

    Un meccanismo di protezione nell'algorithm è la rilevazione di ciò che chiamano un falseticker , ma che può solo rilevare alcuni problemi, soprattutto se un orologio a monte invia un ritardo all'indietro.

    Se si tratta solo di "orologio errato all'orario di partenza":

    • è ansible utilizzare / etc / ntp / step-tickers (in RHEL *, Debian non ha mai ottenuto l'idea). Il file di step-tickers richiede uno o più server NTP per eseguire un ntpdate prima di avviare ntpd stesso.
    • in alternativa (o in aggiunta) esiste l'opzione -g per ntpd , che consente offensori brutti, ma solo quando si trovano all'avvio.
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.