LINUX-сервер пошаговые инструкции инсталляции и настройки - Бруй В. В. , Карлов С. В

Синхронизация системного времени на всех серверах и рабочих станциях вашей сети является важной мерой по обеспечению безопасности. Как правило, поиск уязвимостей и негативные воздействия со стороны злоумышленников осуществляются не на одну, а на несколько систем одновременно. Для упрощения анализа информации о поиске уязвимости и попытках деструктивного воздействия на вашу сеть в многочисленных файлах регистрации и сообщениях электронной почты системное время должно совпадать, по крайней мере, с точностью до 1 секунды. Синхронизация системного времени также необходима для нормальной работы многих служб, например службы DNS, обмен информацией в которой между первичным и вторичным DNS-серверами предъявляет достаточно жесткие требования по синхронизации времени. Кроме того, наличие точного времени на рабочих станциях сети вашего предприятия просто удобно для решения различных задач прикладного характера (синхронизация прибытия сотрудников на служебные совещания, чаепития, товарищеские ужины, обеды, завтраки и т. п., поддержание исполнительской дисциплины).

Протокол Network Time Protocol (NTP), описанный в RFC-1305 и RFC-2030, предусматривает иерар-

хическую структуру, используемую для согласования системного времени. В соответствии c протоколом NTP серверы первого уровня (stratum 1) синхронизуют свое время по часам-эталонам (например, атомным часам). Серверы второго уровня (stratum 2) получают информацию о точном времени от серверов первого уровня, используя поправки на удаленность. Обычным пользователям рекомендуется использовать сервера второго уровня для синхронизации времени на одном из серверов своей сети, который также используется в качестве сервера первого уровня для всех систем в вашей сети.

Схема, реализующая синхронизацию времени в сети масштаба предприятия с использованием внешних эталонов, представлена на рис. 22.1.

Важным фактором для настройки синхронизации времени в вашей сети является правильный выбор серверов, используемых для получения точного времени главным сервером вашей сети. Выбранные сервера должны удовлетворять следующим условиям:

•временная задержка должна быть минимальной;

•владельцы сервера не должны возражать против его использования вами.

Старайтесь не использовать сервера первого уровня во избежание их перегрузки. Если вы не решаете задачи, связанные с управлением космическими полетами, использованием высокоточного оружия и т. п. точности серверов второго уровня вполне достаточно.

Для реализации протокола Network Time Protocol авторы предлагают использовать программное обеспечение NTP, разрабатываемое под руководством доктора Дэвида Миллса (David L. Mills, University of Delaware).

Если по каким-либо причинам вы предъявляете достаточно высокие требования к точности синхронизации времени в ваших сетях, одним из вариантов реализации этих требований является создание собственного эталонного сервера времени, получающего информацию от глобальной навигационной системы GPS (Global Positioning System). На домашней странице проекта NTP вы можете найти список совместимых

сNTP – Linux и платформой Intel – приемников. Некоторые из них на момент написания этой главы продавались в Москве и Днепропетровске (http://www.gpshome.ru) и стоили порядка нескольких сотен долларов США.

Вданной главе рассматривается простейший вариант инсталляции настройки сервера времени, используемого в вашей сети для синхронизации системного времени на других серверах и рабочих станциях с операционной системой Linux. В более сложных случаях авторы рекомендуют пользоваться документацией

сдомашней страницы проекта NTP и других специализированных источников.

Ограничения и допущения

Исходные коды находятся в каталоге /var/tmp.

Все операции выполняются пользователем с учетной записью root. Используется дистрибутив ASPLinux 7.3 (Vostok).

Перекомпиляция ядра не требуется.

Процедуры, описанные в этой главе, могут оказаться применимыми для других версий ядра и дистрибутивов Linux, но авторы это не проверяли.

Пакеты

Последующие рекомендации основаны на информации, полученной с домашней страницы проекта NTP по состоянию на 08.05.2003. Регулярно посещайте домашнюю страницу проекта http://www.ntp.org/ и отслеживайте обновления. Исходные коды NTP содержатся в архиве ntpversion.tar.gz (последняя доступная на момент написания главы стабильная версия ntp-

4.1.1.tar.gz).

Для нормальной работы NTP необходима библиотека LIBCAP. Исходные коды библиотеки содержатся в архиве libpcap-version.tar.gz (последняя доступная на момент написания главы стабильная

версия libpcap-0.7.2.tar.gz).

Для запуска NTP от имени обычного пользователя и возможности запуска NTP в окружении chrootjail необходим патч ntp-chroot.patch разработки Open Network Architecture Inc., который может быть получен с FTP-сервера компании ftp://openna.com.

Инсталляция с помощью rpm-пакетов

Если вы предпочитаете использование системы со стандартным ядром и программным обеспечением, установленным из rpm-пакетов, для установки или обновления пакета необходимо выполнить следующие операции.

ЗАМЕЧАНИЕ Авторы настоятельно рекомендуют устанавливать программное обеспечение из исходных кодов.

Шаг 1

Проверьте, установлен ли пакет программы NTP с помощью следующей команды:

[root@drwalbr /]# rpm –iq ntp

Шаг 2

В случае его отсутствия перейдите в каталог, где находится пакет ntp-4.1.1-1.i386.rpm. Если вы в соответствии с рекомендациями главы 2 скопировали все пакеты, входящие в дистрибутив, в каталог /home/distrib, то выполните команду:

[root@drwalbr /]# cd /home/distrib

и установите:

[root@drwalbr distrib]# rpm –ihv libcap-1.10-8.i386.rpm [root@drwalbr distrib]# rpm –ihv ntp-4.1.1-1.i386.rpm

или обновите пакет:

[root@drwalbr distrib]# rpm –Uhv ntp-4.1.1-1.i386.rpm

После установки пакета перейдите к настройке программы.

Компиляция, оптимизация и инсталляция NTP

Для инсталляции NTP необходимо выполнить следующие операции.

Шаг 1 Осуществите проверку подлинности имеющегося в вашем распоряжении архива с исходными кодами

с использованием процедур, описанных в шаге 1 радела «Компиляция, оптимизация и инсталляция

OpenSSL» главы 12.

Шаг 2

Если вы не установили ранее библиотеку LIBCAP, установите её в соответствии с рекомендациями главы 19.

Шаг 3

Распакуйте архивы с исходными кодами NTP в каталоге /var/tmp:

[root@drwalbr tmp]# tar xzpf ntp-4.1.1.tar.gz

[root@drwalbr tmp]# cd ntp-4.1.1/

Шаг 4

Скопируйте патч ntp-chroot.patch в каталог /var/tmp и модифицируйте исходные коды NTP:

ЗАМЕЧАНИЕ Эту операцию необходимо выполнить, если вы собираетесь запускать NTP от имени пользователя, отличного от root, или в окружении chroot-jail. Именно этот вариант настоятельно рекомендуется авторами.

Шаг 5

Создайте специального пользователя ntp, от имени которого будет запускаться NTP:

[root@drwalbr ntp-4.1.1]# groupadd -g 38 ntp > /dev/null 2>&l || : [root@drwalbr ntp-4.1.1]# useradd -u 38 -g 38 -s /bin/false -M -r -d

/etc/ntp ntp > /dev/null 2>&l || :

ЗАМЕЧАНИЕ Эту операцию необходимо выполнить если вы собираетесь запускать NTP от имени пользователя отличного от root. Именно этот вариант настоятельно рекомендуется авторами.

Шаг 6

Для добавления несуществующего командного интерпретатора добавьте в файл /etc/shells стро-

ку:

/bin/false/

Шаг 7

Отконфигурируйте исходные коды NTP:

[root@drwalbr ntp-4.1.1]# CFLAGS="-O2 -march=i686 -funroll-loops"; export

CFLAGS

./configure \ --prefix=/usr \ --bindir=/usr/sbin \ --sbindir=/usr/sbin \ --sysconfdir=/etc \ --localstatedir=/var \ --mandir=/usr/share/man \ --disable-debugging \ --enable-all-clocks \ --enable-parse-clocks

Шаг 8

Откомпилируйте, проинсталлируйте NTP, создайте и сохраните в надежном месте список установленных файлов:

[root@drwalbr ntp-4.1.1]# make

[root@drwalbr ntp-4.1.1]# find /* > /root/ntp1 [root@drwalbr ntp-4.1.1]# make install [root@drwalbr ntp-4.1.1]# strip /usr/sbin/ntp*

strip: /usr/sbin/ntp-wait: File format not recognized [root@drwalbr ntp-4.1.1]# find /* > /root/ntp2

[root@drwalbr ntp-4.1.1]# diff /root/ntp1 /root/ntp2 >

/root/ntp.installed

[root@drwalbr ntp-4.1.1]# mv /root/ntp.installed

/very_reliable_place/ntp.installed.YYYYMMDD

Шаг 9 Удалите архивы и каталоги с исходными кодами программ:

[root@drwalbr ntp-4.1.1]# cd /var/tmp

[root@drwalbr tmp]# rm –r ntp-4.1.1.tar.gz libpcap-0.7.2.tar.gz [root@drwalbr tmp]# rm –rf ntp-4.1.1/ libpcap-0.7.2/

Конфигурирование NTP

Конфигурирование NTP осуществляется с использованием следующих файлов:

•основного конфигурационного файла /etc/ntp.conf;

•файла /etc/ntp.drift, содержащего поправку (drift) на различную скорость хода системных часов вашей системы и эталона;

•файла /etc/sysconfig/ntpd, используемого для запуска NTP от имени пользователя, отличного от root, и в окружении chroot jail;

•файла инициализации /etc/init.d/ntpd.

Конфигурационный файл /etc/ntp.conf для сервера

Ниже рассматривается конфигурация NTP для сервера времени вашей сети. При этом предполагается, что сервер синхронизует время по находящимся в Интернет серверам и используется клиентами (серверами и рабочими станциями в локальной сети).

Для конфигурирования NTP в качестве сервера необходимо выполнить следующие операции.

Шаг 1

Создайте файл /etc/ntp.conf, содержащий следующие строки: restrict default notrust nomodify ignore restrict 127.0.0.1

restrict 172.16.181.0 mask 255.255.255.0 notrust nomodify notrap restrict 195.83.132.135 mask 255.255.255.255 nomodify notrap noquery restrict 216.27.190.202 mask 255.255.255.255 nomodify notrap noquery restrict 199.212.17.34 mask 255.255.255.255 nomodify notrap noquery server 195.83.132.135 prefer

server 216.27.190.202 server 199.212.17.34 server 127.127.1.0

fudge 127.127.1.0 stratum 10 driftfile /etc/ntp.drift broadcastdelay 0.008

Строки, начинающиеся с ключевого слова restrict, являются директивами управления доступом к NTP-серверу. Для создания директив используется следующий синтаксис:

restrict numeric-address [ mask numeric-mask ] [flag1] [flag2]…[flagN]

где:

numeric-address [ mask numeric-mask ]

определяет диапазон IP-адресов, к которому относится данная директива, ключевое слово default означает все допустимые IP-адреса;

[flag1] [flag2]…[flagN]

определяют параметры доступа. Отсутствие флагов предоставляет неограниченный доступ. При обращении к NTP-серверу осуществляется последовательный просмотр директив управления доступом до первой директивы, разрешающей доступ. Если хотя бы одна директива, разрешающая доступ к серверу, отсутствует – доступ к серверу запрещается.

Наиболее часто используются следующие флаги:

•notrust –м не рассматривать системы из определенного выше диапазона адресов как источник синхронизации;

•nomodify – игнорировать пакеты, предназначенные для модификации состояния вашего сервера;

•ignore – игнорировать все остальные пакеты;

•noquery – запрет на запросы о состоянии вашего сервера;

Строка:

restrict default notrust nomodify ignore

запрещает доступ к службе ntp со всего возможного диапазона IP-адресов. Строка:

restrict 127.0.0.1

разрешает полный доступ к службе ntp через интерфейс возвратной петли. Строка:

restrict 172.16.181.0 mask 255.255.255.0 notrust nomodify notrap

разрешает использовать клиентам из локальной сети 172.16.181.0/255.255.255.0 ваш сервер в качестве NTPсервера.

Строки:

restrict 195.83.132.135 mask 255.255.255.255 nomodify notrap noquery restrict 216.27.190.202 mask 255.255.255.255 nomodify notrap noquery restrict 199.212.17.34 mask 255.255.255.255 nomodify notrap noquery server 195.83.132.135 prefer

server 216.27.190.202

server 199.212.17.34

разрешают использовать сервера 195.83.132.135, 216.27.190.202 и 199.212.17.34 для синхронизации времени на вашем сервере, при этом предпочтительным является использование сервера с IP-адресом 195.83.132.135.

Строки:

server 127.127.1.0

fudge 127.127.1.0 stratum 10

276 Часть 4. Программное обеспечение для ограничения доступа к серверу...

разрешают использовать при отсутствии связи системные часы вашего сервера. Строка:

driftfile /etc/ntp.drift

определяет файл, в который записывается отклонение частоты системных часов вашего сервера относительно эталонных серверов.

Строка:

broadcastdelay 0.004

определяет величину временной задержки при широковещательной рассылке. Здесь устанавливается предполагаемое значение, в дальнейшем оно автоматически вычисляется сервером и корректируется.

Шаг 2

Установите права доступа к файлу /etc/ntp.conf и определите его владельцем пользователя

root:

[root@drwalbr /]# chmod 644 /etc/ntp.conf [root@drwalbr /]# chown 0.0 /etc/ntp.conf

Конфигурационный файл /etc/ntp.conf для клиента

Вполне возможно, что использование термина «клиент» в данном случае является не совсем удачным, т. к. ниже рассматривается пример конфигурации NTP-сервера, опрашивающего другие сервера для получения текущего времени с NTP-сервера сети или внешних NTP-серверов. В отличие от предыдущей конфигурации в рассматриваемом ниже примере NTP-сервер не позволяет использовать себя другим системам в качестве эталона для синхронизации времени.

Для конфигурирования NTP в качестве клиента необходимо выполнить следующие операции.

Шаг 1

Создайте файл /etc/ntp.conf, содержащий следующие строки: restrict default notrust nomodify ignore restrict 127.0.0.1

restrict 172.16.181.0 mask 255.255.255.0 notrust nomodify notrap server 172.16.181.111

server 127.127.1.0

fudge 127.127.1.0 stratum 10 driftfile /etc/ntp.drift broadcastdelay 0.004

В рассматриваемой конфигурации в качестве эталона используется сервер времени локальной сети, запущенный на системе с IP-адресом 172.16.181.111.

Шаг 2

Установите права доступа к файлу /etc/ntp.conf и определите его владельцем пользователя

root:

[root@drwalbr /]# chmod 644 /etc/ntp.conf [root@drwalbr /]# chown 0.0 /etc/ntp.conf

Конфигурационный файл /etc/ntp.drift

В файл /etc/ntp.drift записывается вычисляемое ежечасно отклонение частоты системных часов вашего сервера относительно системных часов эталонных серверов.

Шаг 1

Создайте файл /etc/ntp.drift и запишите в него строку, соответствующую нулевому отклонению частот:

[root@drwalbr /]# echo '0.0' > /etc/ntp.drift

ЗАМЕЧАНИЕ Введенное значение никак не отразится на точности вашего сервера, т. к. через час NTP рассчитает отклонение частоты и запишет найденное значение в файл /etc/ntp.drift

Шаг 2

Установите права доступа к файлу /etc/ntp.conf и определите его владельцем пользователя ntp:

[root@drwalbr /]# chmod 600 /etc/ntp.drift [root@drwalbr /]# chown ntp.ntp /etc/ntp.drift

Конфигурационный файл /etc/sysconfig/ntpd

Шаг 1

Для запуска NTP от имени пользователя ntp создайте файл /etc/sysconfig/ntpd, содержащий следующую строку:

OPTIONS="-U ntp"

ЗАМЕЧАНИЕ Применение опции –U ntp допустимо только, если вы модифицировали исходные коды

NTP патчем ntp-chroot.patch.

Шаг 2

Установите права доступа к файлу /etc/sysconfig/ntpd и определите его владельцем пользователя root:

[root@drwalbr /]# chmod 644 /etc/sysconfig/ntpd [root@drwalbr /]# chown 0.0 /etc/sysconfig/ntpd

Файл инициализации /etc/init.d/ntpd

Шаг 1

Для запуска и остановки NTP создайте файл /etc/init.d/ntpd, содержащий следующие строки:

#!/bin/bash

#This shell script takes care of starting and stopping ntpd.

#chkconfig: 345 58 74

#description: NTPD is used to provide time server.

#Source function library.

. /etc/init.d/functions

#Source networking configuration.

. /etc/sysconfig/network

#Source for additional options if we have them. if [ -f /etc/sysconfig/ntpd ];then

. /etc/sysconfig/ntpd

fi

#Check that networking is up.

[ ${NETWORKING} = "no" ] && exit 0

#If NTPD is not available stop now. [ -f /usr/sbin/ntpd ] || exit 0

[ -f /chroot/ntpd/etc/ntp.conf ] || exit 0

#Path to the NTPD binary. ntpd=/usr/sbin/ntpd

RETVAL=0

prog="NTPD"

start() {

echo -n $"Starting $prog: " daemon $ntpd $ROOTDIR $OPTIONS RETVAL=$?

echo

[ $RETVAL -eq 0 ] && touch /var/lock/subsys/ntpd return $RETVAL

}

stop() {

echo -n $"Shutting down $prog: " killproc $ntpd

RETVAL=$?

echo

[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/ntpd return $RETVAL

}

# See how we were called. case "$1" in

start)

start

;;

stop)

stop

;;

status)

status $ntpd RETVAL=$?

;;

restart) stop start

RETVAL=$?

;;

condrestart)

if [ -f /var/lock/subsys/ntpd ]; then stop

start RETVAL=$?

fi

;;

*)

echo $"Usage: $0 {start|stop|status|restart|condrestart}" exit 1

esac

exit $RETVAL

Шаг 2

Установите права доступа к файлу, назначьте его владельцем пользователя root и создайте соответствующие ссылки:

[root@drwalbr /]# chmod 700 /etc/init.d/ntpd [root@drwalbr /]# chown 0.0 /etc/init.d/ntpd

Шаг 3

Если вы хотите, чтобы NTP запускался автоматически при загрузке системы, создайте соответствующие ссылки:

[root@drwalbr /]# chkconfig --add ntpd [root@drwalbr /]# chkconfig --level 345 ntpd on

Тестирование NTP

Шаг 1

Проверьте правильность установки даты и времени на NTP-сервере сети по календарю и обычным

часам.

Шаг 2 Выполните предварительную синхронизацию системных часов вашего сервера сети и эталонного

сервера:

[root@drwalbr /]# ntpdate -b 195.83.132.135

grsec: time set by (ntpdate:2447) UID(0) EUID(0), parent (bash:8680) UID(0) EUID(0)

30 Apr 20:02:45 ntpdate[2447]: step time server 195.83.132.135 offset

0.020454 sec

Шаг 3

Шаг 4

Просканируйте UDP порты системы с помощью сканера портов, например, Nmap:

[root@drwalbr /]# nmap 192.168.2.99 -sU

Если вы увидите сообщения, подобные приведенным выше, то NTP-сервер работает.

Шаг 5 Через несколько часов проверьте правильность установки даты и времени, выполните предваритель-

ную синхронизацию системных часов по NTP-серверу вашей сети и запустите NTP-сервера на всех Linuxсистемах вашей сети. Проверьте работоспособность NTP-серверов на всех Linux-системах вашей сети в соответствии с рекомендациями шага 4.

ЗАМЕЧАНИЕ Если вы не предъявляете жестких требований по синхронизации времени в пределах вашей сети, то вместо запуска NTP на Linux-системах вашей сети можно использовать команду синхронизации времени ntpdate, используемую нами для предварительной синхронизации системного времени на втором шаге тестирования NTP, регулярно запускаемую с помощью crond.

Для синхронизации времени на системах с операционной системой MS Windows 98 авторы используют свободно распространяемую программу Dimension 4 Version 4.3, разработанную Робертом Чамберсом

(Robert Chambers) и доступную с http://www.thinkman.com/~thinkman/. Программа имеет удоб-

ный интерфейс, внешний вид которого представлен на рис. 22.2, и удачно выбранные значения параметров по умолчанию, поэтому для синхронизации времени вам необходимо установить лишь IP-адрес NTPсервера вашей сети.

По информации, полученной с http://support.microsoft.com, более поздние версии операционной системы Windows имеют собственную службу синхронизации времени, которая может быть использована для синхронизации времени как по NTP-серверу сети, так и внешним NTP-серверам. Однако изза отсутствия в распоряжении авторов систем с последними версиями операционной системы Windows тестирование их совместимости с NTP-сервером не проводилось.

Выбор оптимальных внешних NTP-серверов осуществляется с использованием утилиты ntptrace:

[root@drwalbr /]# ntptrace 195.83.132.135

ntp1.laas.fr: stratum 2, offset -0.031820, synch distance 0.07150 horlogegps.reseau.jussieu.fr: stratum 1, offset -0.036271, synch distance 0.00000, refid 'GPS'

В выводе утилиты отображаются временная погрешность и удаленность до тестируемого NTPсервера. Вам следует выбрать два-три сервера с минимальными значениями этих параметров.

ЗАМЕЧАНИЕ Авторы не дают практических рекомендаций по использованию открытых NTP-серверов по следующим причинам:

•выбор сервера зависит от маршрута прохождения сигнала (месторасположения вашей сети, организации доступа в Интернет и т. п.);

•авторы не имеют опыта использования для синхронизации времени в своих сетях открытых NTPсерверов, т. к. используют NTP-сервера (в приобретении оборудования для которых, инсталляции и настройке принимали непосредственное участие) с аутентификацией, принадлежащие дружественным организациям.

Рис. 22.2. Графический интерфейс программы Dimension 4 Version 4.3.

Для отображения состояния NTP-сервера используется утилита ntpdc, для запуска которой в интерактивном режиме используется команда:

Выполнение NTP в среде chroot-jail

Потенциальные уязвимости NTP, как и любого другого программного обеспечения, могут использоваться для реализации атак на вашу систему. Поэтому для повышения безопасности вашей системы рекомендуется выполнять NTP в окружении chroot-jail. Для этого необходимо выполнить следующие операции.

Шаг 1

Создайте каталоги для размещения исполняемых файлов и файлов настройки NTP:

[root@drwalbr /]# mkdir -p /chroot/ntpd/etc [root@drwalbr /]# chown ntp.ntp /chroot/ntpd/etc

Шаг 2

Переместите конфигурационные файлы NTP в соответствующие подкаталоги окружения chroot-jail:

[root@drwalbr /]# mv /etc/ntp.conf /chroot/ntpd/etc/ [root@drwalbr /]# mv /etc/ntp.drift /chroot/ntpd/etc/ [root@drwalbr /]# chown ntp.ntp /chroot/ntpd/etc/ntp.drift