Alguns guias que uso ao configurar redes NTP:
- É uma boa ideia configurar pelo menos dois servidores de tempo na sua rede. Configure-os como peers (a linha "peer [ipaddress]" no ntp.conf) e, se possível, forneça a eles diferentes hosts NTP externos para sincronizar.
- Configure seus clientes para usar todos os seus servidores de tempo. No caso de alguém ir embora, eles ainda terão um bom tempo e não sairão de sincronia durante a interrupção do evento.
- Use o Autokey ou a criptografia de chave simétrica entre seus servidores de mesmo nível.
- Configure linhas acl apropriadas em seu arquivo ntp.conf, permitindo que os peers conversem entre si, mas todos os outros clientes obtêm apenas informações NTP e nenhum dado de controle.
O primeiro ponto é dar a resiliência de sua rede diante de interrupções na Internet. Quando a conexão com a internet é interrompida, seus servidores de mesmo nível mantêm um tempo consensual entre si e nunca saem de sincronia. O que significa que seus clientes não ficarão fora de sincronia. Se o tempo é importante para você, isso é uma coisa muito boa.
Quanto às opções de ACL, a configuração de padrões razoáveis ajudará a evitar que o mal aconteça:
restrict default ignore #deny access to general internet, just 'cause
restrict 192.168.0.0 255.255.0.0 nomodify nopeer # allow restricted access to internal
restrict 192.168.202.202 #allow TimeHost1 full access
restrict 192.168.202.203 #allow TimeHost2 full access
restrict 192.168.200.158 nopeer #allow the admin workstation to make changes
Isso permitirá que os clientes usem ferramentas como o ntpq para diagnosticar problemas de NTP, mas não permitirão que nada mude.
Quanto ao autokey vs. chave simétrica, isso depende de quão robusta você deseja sua rede. Definir valores de ACL apropriados deve fornecer resistência ao mal, mas isso forneceria uma camada adicional de proteção contra falsificação. Dos dois, o autokey é mais fácil de configurar, mas o simétrico é mais novo e mais robusto.