NTP認証を実施する方法は?

NTP認証を実施する方法は?

Chronyを使用してUbuntuシステムにNTPサーバーを設定し、Centos 9 StreamにNTPクライアントを設定しました。サーバーとクライアントの両方で認証を有効にしましたが、両方に異なるキーを入力しても同期は成功します。キーの不一致でNTP認証を強制し、同期を防ぐ方法は?

これは私の設定です。

仕える人:

# cat /etc/chrony/chrony.conf
pool ntp.ubuntu.com        iburst maxsources 4
pool 0.ubuntu.pool.ntp.org iburst maxsources 1
pool 1.ubuntu.pool.ntp.org iburst maxsources 1
pool 2.ubuntu.pool.ntp.org iburst maxsources 2

keyfile /etc/chrony/chrony.keys
driftfile /var/lib/chrony/chrony.drift
logdir /var/log/chrony
maxupdateskew 100.0
rtcsync
makestep 1 3

allow 192.168.1.0/24
# cat /etc/chrony/chrony.keys
1 MD5 111222

顧客:

#cat /etc/chrony.conf
sourcedir /run/chrony-dhcp
driftfile /var/lib/chrony/drift
makestep 1.0 3
rtcsync
keyfile /etc/chrony.keys
ntsdumpdir /var/lib/chrony
leapsectz right/UTC
logdir /var/log/chrony
server 192.168.1.10
# cat /etc/chrony.keys
1 MD5 55555555
# chronyc ntpdata

Remote address  : 192.168.1.10 (290C1402)
Remote port     : 123
Local address   : 192.168.1.14 (0A0A3833)
Leap status     : Normal
Version         : 4
Mode            : Server
Stratum         : 3
Poll interval   : 10 (1024 seconds)
Precision       : -25 (0.000000030 seconds)
Root delay      : 0.008575 seconds
Root dispersion : 0.001907 seconds
Reference ID    : 4C7CE64A ()
Reference time  : Thu Aug 04 09:45:39 2022
Offset          : +0.000157768 seconds
Peer delay      : 0.000969113 seconds
Peer dispersion : 0.000000050 seconds
Response time   : 0.000046875 seconds
Jitter asymmetry: +0.00
NTP tests       : 111 111 1111
Interleaved     : No
Authenticated   : No
TX timestamping : Daemon
RX timestamping : Kernel
Total TX        : 36
Total RX        : 36
Total valid RX  : 36
# timedatectl status
               Local time: Thu 2022-08-04 10:12:18 UTC
           Universal time: Thu 2022-08-04 10:12:18 UTC
                 RTC time: Thu 2022-08-04 10:12:17
                Time zone: Etc/UTC (UTC, +0000)
System clock synchronized: yes
              NTP service: active
          RTC in local TZ: no

答え1

さて、答えを見つけました。key [KEY ID]次のように、サーバーまたはプールステートメントの末尾にキーワードを使用して認証を強制できます。

server 192.168.1.10 key 1

純粋にキーファイルを設定しても認証が強制されるわけではなく、キーが設定されていないかキーの不一致があってもkey同期は行われません。

関連情報