LinuxのNTPサーバ、クライアントの設定でセキュリティを意識するのは意外と重要です。基本的にはサーバの場合は、許可されたクライアントを制限しますし、クライアントは接続を受け付けないように設定します。


そして、vRealize Operations Manager6.5 ntp.confセキュリティ(restrict)の設定ができるようなのでシェアします。


情報元はVMwareの公式サイトです。

VMware アプライアンスでの NTP の構成


まず、冒頭にありますが、クリティカルな時刻ソーシングを行う場合は、VMware アプライアンスでホスト時刻同期を無効にし、Network Time Protocol (NTP) を使用しますとあります。まぁ、基本的にNTPを利用することが多いと思いますのでここはスルー。


時間同期用の信頼できるリモート NTP サーバを構成する必要があります。NTP サーバは権限のある時間サーバであるか、または少なくとも権限のある時間サーバと同期していることが必要です。VMware 仮想アプライアンスの NTP デーモンは、同期されたタイム サービスを提供します。NTP はデフォルトで無効になっているため、手動で構成する必要があります。可能な場合は、本番環境で NTP を使用してユーザー アクションを追跡し、正確な監査とログ保存を通じて悪意のある潜在的な攻撃と侵入を検出します。NTP のセキュリティ告知については、NTP の Web サイトを参照してください。


ということで、vROpsのNTP 構成ファイルは、その他のLinuxと同様に。各アプライアンス上の /etc/ntp.conf ファイルにあります。

【手順】
1. 仮想アプライアンスのホスト マシン上の /etc/ntp.conf構成ファイルに移動します。
2. ファイル所有権を root:root に設定します。
3. 権限を 0640 に設定します。
4. NTP サービスに対するサービス拒否増幅攻撃のリスクを緩和するには、/etc/ntp.conf ファイルを開き、そのファイルに restrict 行が存在することを確認します。

 restrict default kod nomodify notrap nopeer noquery
 restrict -6 default kod nomodify notrap nopeer noquery 
 restrict 127.0.0.1 
 restrict -6 ::1 

5. 変更内容を保存し、ファイルを閉じます。

セキュリティを厳しくしたい場合は、restrictの設定を変更します。とは言え、ここを設定変更することはまずないと思いますが。