Configurando o NTP em 2 caixas Linux e uma caixa OpenBSD

Navegue suas respostas
1

Eu tenho a tarefa de conseguir um cliente NTP trabalhando em duas máquinas Linux e uma máquina OpenBSD.

As máquinas são organizadas assim: 

    NTPServer
    /       \
   /         \
 L1           L2
   \         /
    \       /
     OpenBSD

Foi-me dito para configurar L1 e L2 para rotear pacotes do OpenBSD para o NTPServer (ou seja, não para configurar um novo estrato). A caixa do OpenBSD não pode ver o NTPServer (isto é, a configuração da rede proíbe isso - da caixa do OpenBSD eu não consigo nem fazer o ping do endereço IP do NTPServer).

Agora, a má notícia: eu sou um programador J2EE :) Eu não tenho muita idéia de como proceder.

Por onde eu começo? Eu não estou procurando uma solução completa, obviamente, as pessoas não sabem a configuração da rede, apenas algumas indicações sobre onde começar. Eu conheço muito bem o Linux em termos de coisas associadas ao J2EE (instalando o Tomcat / JBoss, configurando-os como serviços etc) mas o roteamento de rede é realmente muito novo para mim e sempre me assustou (desde que eu tive que escrever algum código Java) para detectar um flip BGP).

Editar

Ok, graças ao Google, fiz alguns progressos. Tudo acima está errado (além de eu ser um programador J2EE) ...

Com o uso de ifconfig , routes show , traceroute e alguma documentação interna, agora tenho o seguinte diagrama: 

    NTP
  10.21.3.169
    |     \______________
    |                    \
  10.21.3.160 (eth1)     |   
   L1                    |
  10.0.0.67 (eth0)       |
    |                    |
    |                    |
  10.0.0.65 (pcn1)       |
   OpenBSD               |
  10.0.0.51 (pcn0)       |
    |                    |
    |                    |
  10.0.0.49 (eth1) 10.21.3.159 (eth0)
                 L2

Eu também verifiquei o tempo nas três máquinas, e as do Linux estão corretas enquanto o OpenBSD está errado, então eu acho que só preciso ordenar o roteamento para que a caixa do OpenBSD consiga o tempo do NTP via qualquer uma das caixas do Linux.

Então, eu acho que eu preciso adicionar uma rota para a caixa do OpenBSD para dizer que para chegar ao nosso servidor NTP, ele precisa passar por L1 (ele também pode passar por L2, mas o diagrama que vi faz com que pareça incorreto).

    
por Rich 01.12.2010 / 09:18

1 resposta

1

Seus comentários acima fazem sentido. Mas se é assim, então eu realmente strongmente aconselho seu empregador a reconsiderar sua posição no NTP nas caixas linux.

Eu não acho que ter essas caixas sejam clientes NTP corretamente amarrados é menos seguro do que tê-los roteadores devidamente amarrados. Tenho certeza de que clientes NTP incorretamente vinculados são mais seguros do que roteadores administrados por alguém que não sabe como encontrar um endereço IP: com clientes NTP gravemente danificados, você pode afetar um relógio do sistema; com um roteador mal configurado, você pode atacar toda a rede.

Por favor, não leve isso para o lado pessoal. Não é para ser pessoal: seus empregadores estariam ainda mais em risco se tivessem eu, um hacker de rede e firewall, escrevesse seu código J2EE. Eu estaria cometendo erros elementares de programação em todo o lugar, introduzindo potenciais transbordamentos de buffer e alças para ataques de injeção de SQL e, geralmente, arruinando suas vidas. É porque eu sou incompetente per se ? Não - é porque me disseram para fazer algo que não tenho ideia de como fazer, em um ambiente crítico de segurança.

Há uma citação do antigo papa,

For forms of government let fools contest
Whate'er is best administered, is best

que eu acho que também se aplica à tecnologia. Se você se sentir desconfortável com as redes, provavelmente esse não é o melhor lugar para começar a aprender do zero (e uma única resposta de falha de servidor não substituirá um curso adequado em IP). No mínimo, se seus empregadores insistirem em que você resolva isso com roteamento, faça com que eles assinem algo que o indenize contra quaisquer consequências de os roteadores estarem sendo mal configurados; veja se isso concentra suas mentes no erro que eles estão prestes a cometer.

    
por 01.12.2010 / 11:13

Tags

pula fsck na inicialização no servidor do Ubuntu 10.04 A elevação do nível de função do domínio para “Windows Server 2003” pode fazer com que o desktop remoto pare de funcionar?