NTP サービスのデフォルト設定を変更するには、root でテキストエディターを使用して
/etc/ntp.conf ファイルを編集する。
このファイルは、ntpd とともにインストールされ、Red Hat プールからのタイムサーバーを
使用するデフォルト設定になっている。

1. NTP サービスへのアクセス制御の設定

システム上で実行中の NTP サービスへのアクセスを制限または制御するには、
ntp.conf ファイル内の restrict コマンドを利用する。
コメントアウトされた例は以下のとおり。

# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

restrict コマンドは以下の形式。

restrict address [mask mask] option

address および mask は、制限を適用する IP アドレスを指定する。
option は 1 つ以上の制限になる。

・ignore: ntpq および ntpdc クエリーを含むすべてのパケットが無視される。
・kod: Kiss-o’-death パケットが送信され、不要なクエリーが少なくなる。
・limited: パケットがレート制限のデフォルト値または discard コマンドで指定された値に
違反する場合は、タイムサービス要求に応答しない。
ntpq および ntpdc クエリーは影響を受けない。
・lowpriotrap: 一致するホストがトラップを低い優先度に設定する。
・nomodify: 設定に変更を加えられないようにする。
・noquery: ntpq および ntpdc クエリーに応答しないようにするが、タイムクエリーは除外される。
・nopeer: ピア関連付けの形成をできないようにする。
・noserve: ntpq および ntpdc クエリーを除くすべてのパケットを拒否する。
・notrap: ntpdc 制御メッセージプロトコルトラップをできないようにする。
・notrust: 暗号法で認証されないパケットを拒否する。
・ntpport: 発信元ポートが標準の NTP UDP ポート 123 の場合、一致アルゴリズムが
制限のみを適用するように修正する。
・version: 現在の NTP バージョンに一致しないパケットを拒否する。

レート制限アクセスがクエリーに対してまったく応答しないように設定するには、各 restrict
コマンドに limited オプションを指定する必要がある。
ntpd が KoD パケットで応答するには、restrict コマンドにオプションが limited および kod
を指定する必要がある。

ntpq および ntpdc クエリーは増幅攻撃に使用できる (詳細は CVE-2013-5211 を参照)。
そのため、アクセスを公開しているシステムでは、restrict default コマンドから noquery
オプションの指定を外さないこと。

2. NTP サービスへのレート制限アクセスの設定

システムで実行している NTP サービスへのレート制限アクセスを有効にするには、
「NTP サービスへのアクセス制御の設定」 で説明しているように、limited オプションを
restrict コマンドに追加する。
デフォルトの discard パラメーターを使用したくない場合は、以下の説明にあるように
discard コマンドも使用できる。

discard コマンドは以下の形式を取る。

discard average value minimum value monitor value

・average: 許可される最小平均パケット範囲を指定。log2 秒で引数を受け入れる。
デフォルト値は 3 (23 は 8 秒) 。
・minimum: 許可される最小限のパケット間隔を指定し、log2 秒の引数を取る。
デフォルト値は 1 (21 は 2 に相当) です。
・monitor: 許可されるレート制限を超えた場合のパケットの discard の確率を指定する。
デフォルト値は、3000 秒。
このオプションは、1 秒あたり 1000以上のリクエストを受信するサーバー用に用意されている。

discard コマンドの例は次のとおり。

discard average 4
discard average 4 minimum 2

3. ピアアドレスの追加

ピアのアドレス、つまり同一 stratum の NTP サービスを実行しているサーバーのアドレスを
追加するには、ntp.conf ファイルの peer コマンドを利用しする。

peer コマンドは以下の形式になる。

peer address

ここでの address は、IP ユニキャストアドレスまたは DNS の解決可能な名前になる。
アドレスは、同一 stratum のメンバーに既知のシステムのものである必要がある。
ピアは、相互に異なる時間ソースを少なくとも 1 つ持っている必要がある。
ピアは通常、同一管理制御下にあるシステム群である。

4. サーバーアドレスの追加

サーバーのアドレス、つまり一段階上の stratum の NTP サービスを実行しているサーバーの
アドレスを追加するには、ntp.conf ファイルの server コマンドを利用する。

server コマンドは以下の形式になる。

server address

ここでの address は、IP ユニキャストアドレスまたは DNS の解決可能な名前になる。
パケットの送信元となるリモートリファレンスサーバーまたはローカルリファレンスクロックの
アドレスになる。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

久米 大輔

最新記事 by 久米 大輔 (全て見る)

• 「NTP の設定」について　その１ - 2025年4月25日
• 「生成AIの種類」について - 2025年3月29日
• 「gzipコマンド、gunzipコマンド、zcatコマンド」について - 2025年2月27日