Portas CentOS, Chrony e AWS

1

Eu estou querendo saber como configurar corretamente a segurança da AWS para permitir que o chrony sincronize a hora do sistema em uma instância do CentOS 7.

Eu estava rodando uma versão anterior do CentOS 7, que usava o chrony 1.29.1, e funcionava com as configurações abaixo.

Grupo de segurança de instâncias: UDP de saída na porta 123

ACL da rede: Entrada do UDP na porta 123 e UDP de saída na porta 123.

No entanto, ao executar o yum update, ou ao iniciar uma nova instância com a versão mais recente do CentOS 7, que inclui o chrony 2.1.1, eu só posso sincronizá-lo com a configuração abaixo.

Grupo de segurança de instâncias: UDP de saída na porta 123

Network ACL: UDP de entrada em todas as portas e UDP de saída na porta 123.

O que está acontecendo aqui? Eu realmente preciso permitir o UDP de entrada em todas as portas para a ACL da rede agora? Isso é seguro? Suponho que sim, porque meu grupo de segurança não permite tráfego UDP de entrada, a menos que tenha estabelecido previamente uma conexão de saída, certo?

Obrigado.

    
por Guest901238 08.03.2016 / 23:31

2 respostas

1

Não, porque acquisitionport pode ser configurado.

Mesmo que o software não permitisse tal conveniência, e um firewall não permitisse o tráfego de retorno de um fluxo, você ainda poderia aber apenas um intervalo de portas efêmeras e manter serviços bem conhecidos fechados.

    
por 09.03.2016 / 06:11
0

É um post bem antigo, mas eu coloquei informações atualizadas aqui.

Desde novembro de 2017, a Amazon lançou o ' Serviço de sincronização de horário do Amazon '.

The Amazon Time Sync Service is available through NTP at the 169.254.169.123 IP address for any instance running in a VPC. Your instance does not require access to the internet, and you do not have to configure your security group rules or your network ACL rules to allow access.

Portanto, se a sua instância estiver sendo executada dentro da VPC, você não precisará configurar a ACL e os Grupos de segurança para acessar o servidor NTP. Basta usar 169.254.169.123 IP como servidor NTP.

Mais detalhes sobre como configurar o cliente NTP (chrony) que usa o Amazon Time Sync Service podem ser encontrados aqui .

    
por 07.10.2018 / 22:20