Eu estou querendo saber como configurar corretamente a segurança da AWS para permitir que o chrony sincronize a hora do sistema em uma instância do CentOS 7.
Eu estava rodando uma versão anterior do CentOS 7, que usava o chrony 1.29.1, e funcionava com as configurações abaixo.
Grupo de segurança de instâncias: UDP de saída na porta 123
ACL da rede: Entrada do UDP na porta 123 e UDP de saída na porta 123.
No entanto, ao executar o yum update, ou ao iniciar uma nova instância com a versão mais recente do CentOS 7, que inclui o chrony 2.1.1, eu só posso sincronizá-lo com a configuração abaixo.
Grupo de segurança de instâncias: UDP de saída na porta 123
Network ACL: UDP de entrada em todas as portas e UDP de saída na porta 123.
O que está acontecendo aqui? Eu realmente preciso permitir o UDP de entrada em todas as portas para a ACL da rede agora? Isso é seguro? Suponho que sim, porque meu grupo de segurança não permite tráfego UDP de entrada, a menos que tenha estabelecido previamente uma conexão de saída, certo?
Obrigado.
Não, porque acquisitionport pode ser configurado.
Mesmo que o software não permitisse tal conveniência, e um firewall não permitisse o tráfego de retorno de um fluxo, você ainda poderia aber apenas um intervalo de portas efêmeras e manter serviços bem conhecidos fechados.
É um post bem antigo, mas eu coloquei informações atualizadas aqui.
Desde novembro de 2017, a Amazon lançou o ' Serviço de sincronização de horário do Amazon '.
The Amazon Time Sync Service is available through NTP at the 169.254.169.123 IP address for any instance running in a VPC. Your instance does not require access to the internet, and you do not have to configure your security group rules or your network ACL rules to allow access.
Portanto, se a sua instância estiver sendo executada dentro da VPC, você não precisará configurar a ACL e os Grupos de segurança para acessar o servidor NTP. Basta usar 169.254.169.123 IP como servidor NTP.
Mais detalhes sobre como configurar o cliente NTP (chrony) que usa o Amazon Time Sync Service podem ser encontrados aqui .