Защита (Chroot) NTP сервера.

Chroot NTP сервер.

Для этого надо запустить скрипт /usr/local/sbin/chroot-ntp

#!/bin/bash

/etc/init.d/ntp stop

rootfs=/var/chroot/ntp

mkdir -p $rootfs/{etc,var/lib/ntp,var/log}

mv /etc/ntp.conf $rootfs/etc

ln -s $rootfs/etc/ntp.conf /etc/ntp.conf

if [ -e /var/lib/ntp/ntp.drift ]; then

    mv /var/lib/ntp/ntp.drift $rootfs/var/lib/ntp

fi

ln -s $rootfs/var/lib/ntp/ntp.drift \

    /var/lib/ntp/ntp.drift

chown -R ntp:ntp $rootfs/var/lib/ntp

mv /var/log/ntpstats $rootfs/var/log

ln -s $rootfs/var/log/ntpstats /var/log/ntpstats

chown -R ntp:ntp $rootfs/var/log/ntpstats

sed -e "s,'-g','-4 -i /var/chroot/ntp -g'," \

    /etc/default/ntp > /tmp/x && \

    mv /tmp/x /etc/default/ntp

sed -e "s,restrict -6,#restrict -6," \

    -e "s,restrict ::1,#restrict ::1," \

    /etc/ntp.conf > /tmp/x && \

    mv /tmp/x /etc/ntp.conf

/etc/init.d/ntp start

Проверить строчку в (file /etc/default/ntp), если ее нет - внести:

NTPD_OPTS='-4 -i /var/chroot/ntp -g'

Установка NTP сервера.

Для правильной работы всей инфраструктуры сети нам необходим NTP сервер.

aptitude -y install ntp ntpdate

Редактируем /etc/default/ntp

NTPD_OPTS='-4 -g'

Редактируем /etc/ntp.conf

# By default, exchange time with everybody, but don't

# allow configuration.

restrict -4 default kod notrap nomodify nopeer noquery

#restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more

# closely.

restrict 127.0.0.1

#restrict ::1

Рестартим сервер времени:

/etc/init.d/ntp restart

Синхронизация времени на клиенте:

aptitude -y install ntpdate

Сначала надо убедиться, что наш сервер ntp1 резолвится по имени ntp1.OFFICE.LOCAL.

ntpdate -p 2 ntp1.OFFICE.LOCAL

 

Чтобы узнать с какими серверами времени производится синхронизация:

ntpq -4p

Настройка отказоустойчивости DHCP сервера.

Основной сервер – 192.168.17.251, а вторичный – 192.168.17.250

Основной:

Декларируем секцию failover /etc/dhcp/dhcpd.conf:

failover peer "dhcp-failover" {

  primary; # declare this to be the primary server

  address 192.168.17.251;

  port 647;

  peer address 192.168.17.250;

  peer port 647;

  max-response-delay 30;

  max-unacked-updates 10;

  load balance max seconds 3;

  mclt 1800;

  split 128;

}

надо размещать перед секцией пула.

Дописывам в секцию пула:

subnet 192.168.17.0 netmask 255.255.255.0 {

  pool {

    # In order to turn off failover just comment out

    # the line below

    failover peer "dhcp-failover";

    range 192.168.17.41 192.168.17.254;

  }

  option subnet-mask 255.255.255.0;

  option broadcast-address 192.168.17.255;

  option routers gw1.OFFICE.LOCAL;

}

Вторичный сервер: /etc/dhcp/dhcpd.conf

failover peer "dhcp-failover" {

  secondary; # declare this to be the secondary server

  address 192.168.17.250;

  port 647;

  peer address 192.168.17.251;

  peer port 647;

  max-response-delay 30;

  max-unacked-updates 10;

  load balance max seconds 3;

}

subnet 192.168.17.0 netmask 255.255.255.0 {

  pool {

    # In order to turn off failover just comment out

    # the line below

    failover peer "dhcp-failover";

    range 192.168.17.50 192.168.17.199;

  }

  option subnet-mask 255.255.255.0;

  option broadcast-address 192.168.17.255;

  option routers gw1.OFFICE.LOCAL;

}

Редактирование динамических DNS зон.

Пауза:

rndc freeze

Редактирование зоны.

Возобновление работы:

rndc thaw