前書き
以前、ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起(CVE-2013-5211)があったので monlist を無効にしていましたが Qiita をぼーっと見ながら「chrony があるんだなぁ」ということと「やっぱり pool.ntp にリソースを提供してるしどこからアクセスされてるか見てみたいなぁ!」という欲求にかられてどうにかした話です。
もちろんリファレンスなどで書いてあることも含まれていますので「こんなことしてるんだな、へぇー」と思いながら見ていただければと思います。
Machine Spec
- FreeBSD(10.1-RELEASE amd64)
- Chrony(2.2 / by ports)
Install
FreeBSD ports からインストールしました。
デフォルトの設定で IPv6 オプションが有効になっていますが気にせず設定しました。
Config
chrony.conf
include /usr/local/*** 秘密のサーバーリスト置き場 ***/*.conf
peer *** クラスタにしているもう1台のサーバー ***
driftfile /var/db/chrony/drift
#keyfile /usr/local/etc/chrony.keys
#commandkey 10
#generatecommandkey
! dumponexit
! dumpdir /var/db/chrony
! pidfile /var/run/chronyd.pid
! makestep 1.0 3
logdir /var/log/chrony
log measurements statistics tracking rtc
allow allow 0.0.0.0/0
cmdallow 127.0.0.1
;ratelimit interval 4 burst 4
bindaddress 0.0.0.0
bindcmdaddress 127.0.0.1
broadcast 60 172.16.255.255
clientloglimit 0
基本的にはどこからでも受け付けるようにしています。(ここには記載しませんが)ntp.conf にある server, pool, peer も使えます。
ratelimit は ports にあるバージョンが 2.2 で使えないので 2.3 になったら使えるようにコメントしてあります。
chronyc Config
バージョン 2.2 から通常の ntpd / ntpdc を使ってネットワーク越しで出来ることができないようです。
Since version 2.2, the password command doesn’t do anything and chronyc needs to run locally under the root or chrony user, which are allowed to access the chronyd's Unix domain command socket.
ということで監視サーバー上で clients のリストを見るためにユーザーを作り、 SSH と sudo を使って監視サーバーでも見れるように設定してあげます。もちろん監視サーバーを使わなくても出来るのですっ飛ばしてもいいです。というかセキュリティ的にどうなのと突っ込まれそうなのであえてここで書きませんけどもうちはそうしてます。
bonus section 〜when viewed actually looking at the "clients" log〜
pool.ntp にボランティアとしてリソースを提供していますが我が家にやってくる方々は「近くにもっといいサーバーアルヨー」ということを知らずに使っているのかあえてここを使ってるという方なんだろうなーと思っています。
ぜひこの wiki に記載されているリストを見て頂いて「おー、うちとむちゃくちゃ近いとこあんじゃん!!」と興奮しながら設定することをおすすめします。特に大手 ISP や大学など「自分のとこにも NTP サーバーがある」ところで「別に pool.ntp じゃなくてもいいかなー」という方はきっと人生変わるかもしれないですw
本当は NTP サーバーを運用している ISP や大学の中の人が「このサーバー使って使って〜」ともっと宣伝して欲しいところなんですがw