主页 / server / 问题 / 49197
Accepted
Adam Matan
Asked: 2009-08-04 01:01:46 +0800 CST

阻止 ntp 客户端监听

  • 772

我一直在尝试构建和配置 ntp 客户端和服务器,并在客户端中使用了这一行ntp.conf

restrict default ignore

不过,我看到我的客户端正在侦听本地网络接口。从系统日志:

Listening on interface #0 wildcard, 0.0.0.0#123 Disabled
Listening on interface #1 wildcard, ::#123 Disabled
Listening on interface #2 vmnet8, fe80::250:56ff:fec0:8#123 Enabled
Listening on interface #3 lo, ::1#123 Enabled
Listening on interface #4 eth0, fe80::222:68ff:fe10:1529#123 Enabled
Listening on interface #5 vmnet1, fe80::250:56ff:fec0:1#123 Enabled
Listening on interface #6 lo, 127.0.0.1#123 Enabled
Listening on interface #7 eth0, 192.168.111.183#123 Enabled
Listening on interface #8 vmnet1, 172.16.139.1#123 Enabled

0-1 被禁用,这很好。

使用的开放端口列表nmap -sUS -O 127.0.0.1

Starting Nmap 4.53 ( http://insecure.org ) at 2009-08-03 12:25 IDT
Interesting ports on localhost (127.0.0.1):
Not shown: 3195 closed ports
PORT     STATE         SERVICE
22/tcp   open          ssh
631/tcp  open          ipp
902/tcp  open          iss-realsecure-sensor
5432/tcp open          postgres
68/udp   open|filtered dhcpc
123/udp  open|filtered ntp
5353/udp open|filtered zeroconf
Device type: general purpose
Running: Linux 2.6.X

如您所见,ntp正在侦听端口 123。为什么?

有任何想法吗?

乌迪

security ntp time-server

3 个回答

  1. Best Answer

    答案似乎是使用的协议类型:NTP 使用 UDP 协议,它是无连接的,因此需要一个开放端口来接收请求后来自服务器的时间。

    我想我只需要保持该端口开放,因为 NTP 具有非常好的安全声誉。

    • 7

  2. 它实际上是在尝试同步吗?我的“man ntp.conf”副本建议自动添加默认条目以防止自同步问题(这是我假设您担心的问题;如果不是,您可能想澄清您的问题):

    带有标志ignore、interface、ntpport的默认限制列表条目,用于每个本地主机的接口地址,在启动时插入到表中,以防止服务器尝试同步到自己的时间。默认条目也始终存在,但如果未配置它;没有标志与默认条目相关联(即,除了您自己的 NTP 服务器之外的所有内容都是不受限制的)。

    (ntpd 4.2.4p7)

    • 2

  3. 据我回忆,那是一条服务器线。

    阅读这篇 FreeBSD 文章中的控制对服务器的访问部分

    如果您想拒绝所有机器访问您的 NTP 服务器,请添加 [that line to the server]

    您可能想在 TLDP-SAG 页面上重新检查这些基本 NTP 配置说明。

    • 1

相关问题