MENU
  1. ホーム
  2. Linux
  3. Come verificare lo stato di sincronizzazione con un server NTP in Linux: una guida pratica

Come verificare lo stato di sincronizzazione con un server NTP in Linux: una guida pratica

Linux

L’accuratezza del tempo nei sistemi Linux è cruciale per migliorare la sicurezza, garantire timestamp accurati nei log di sistema e l’esecuzione corretta dei compiti pianificati. Il Network Time Protocol (NTP) è ampiamente utilizzato per sincronizzare l’orologio di sistema di un computer con i server NTP in tutto il mondo. Questo processo di sincronizzazione consente di mantenere il tempo del sistema preciso al millisecondo. Ma come si può verificare che questa sincronizzazione avvenga correttamente? Questo articolo introduce metodi pratici per verificare lo stato di sincronizzazione con un server NTP su un sistema Linux.

Indice

Cos’è un server NTP?

Un server NTP è un server progettato per fornire l’ora in modo che i sistemi informatici in tutto il mondo possano mantenere un tempo accurato. Utilizzando il protocollo NTP, questi server sincronizzano l’orologio interno del sistema con il Tempo Universale Coordinato (UTC). Questo processo garantisce la coerenza del tempo tra i sistemi, aumentando l’affidabilità delle applicazioni dipendenti dal tempo.

Il sistema NTP ha una struttura gerarchica, divisa in livelli chiamati “strati”. Lo Strato 0 è la fonte di tempo più accurata (solitamente orologi atomici), e i server direttamente connessi ad esso sono Strato 1. I server che sincronizzano il loro tempo da server Strato 1 diventano Strato 2, e così via giù per la gerarchia. Tipicamente, il sistema di un utente si sincronizzerà con un server Strato 2 o inferiore.

Utilizzando NTP, gli amministratori di sistema possono minimizzare la deriva dell’orologio di sistema e garantire che le applicazioni operino con il giusto tempismo. Inoltre, la sincronizzazione offre significativi benefici per la sicurezza, poiché le informazioni temporali accurate sono essenziali per i processi di autenticazione basati sul tempo e l’analisi dei file di log.

Come sincronizzarsi con un server NTP

Per configurare la sincronizzazione del tempo con un server NTP su un sistema Linux, si utilizzano principalmente software client NTP come ntpd o chronyd. Questi strumenti forniscono la capacità di sincronizzare automaticamente il sistema con un server NTP e correggere eventuali discrepanze temporali. Ecco i passaggi base per sincronizzare un sistema Linux con un server NTP utilizzando questi strumenti.

Sincronizzazione usando `ntpd`

  1. Installazione di ntpd: ntpd è installato di default su molte distribuzioni Linux, ma se non lo è, deve essere installato tramite il gestore di pacchetti. Ad esempio, sui sistemi basati su Ubuntu o Debian, eseguire sudo apt-get install ntp, e su Red Hat o CentOS, eseguire sudo yum install ntp.
  2. Modifica del file di configurazione: Modificare il file /etc/ntp.conf per specificare gli indirizzi dei server NTP con cui si desidera sincronizzare. In molti casi, si elencheranno gli indirizzi dei server NTP pubblici.
server 0.pool.ntp.org
server 1.pool.ntp.org
server 2.pool.ntp.org
server 3.pool.ntp.org
  1. Avvio di ntpd: Una volta completata la configurazione, avviare (o riavviare) il servizio ntpd. Questo inizia la sincronizzazione con i server NTP specificati.
sudo systemctl restart ntp

Sincronizzazione usando `chronyd`

chronyd è un client NTP particolarmente adatto per ambienti con connessioni di rete instabili o per l’uso su macchine virtuali.

  1. Installazione di chronyd: chronyd è adottato come client NTP predefinito in molte distribuzioni Linux moderne. Può essere installato con sudo apt-get install chrony o sudo yum install chrony se necessario.
  2. Modifica del file di configurazione: Modificare il file /etc/chrony/chrony.conf per aggiungere gli indirizzi dei server NTP con cui si desidera sincronizzare.
server 0.pool.ntp.org iburst
server 1.pool.ntp.org iburst

L’opzione iburst è utilizzata per facilitare la rapida sincronizzazione all’avvio.

  1. Avvio di chronyd: Dopo la configurazione, avviare (o riavviare) il servizio chronyd per iniziare il processo di sincronizzazione.
sudo systemctl restart chronyd

Seguendo questi passaggi, il sistema Linux manterrà la sincronizzazione del tempo con i server NTP specificati. È importante controllare regolarmente lo stato di sincronizzazione per garantire l’accuratezza dell’orologio di sistema.

Comandi per verificare lo stato di sincronizzazione

Per controllare lo stato di sincronizzazione con i server NTP su un sistema Linux, utilizzare comandi come ntpq o chronyc. Questi comandi forniscono informazioni sullo stato di sincronizzazione del servizio NTP, sulla latenza del server, sul jitter (fluttuazione temporale) e su altri dati statistici.

Verifica dello stato di sincronizzazione con `ntpq`

ntpq è uno strumento da riga di comando utilizzato in congiunzione con il demone NTP ntpd. Per controllare lo stato di sincronizzazione, eseguire il seguente comando.

ntpq -p

Questo comando mostra un elenco di server NTP e il loro stato. Un esempio di output è il seguente.

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*ntp1.example.com  .GPS.            1 u  64   64  377    0.526   -0.025   0.015
+ntp2.example.com  .GPS.            1 u  58   64  377    0.524   +0.015   0.020
-ntp3.example.com  .PPS.            1 u  59   64  377    0.523   +0.035   0.025

Qui, * indica il server principale con cui si sta attualmente sincronizzando, + indica i server scelti come candidati e - indica i server esclusi dalla selezione. delay mostra la latenza verso il server, offset la differenza di tempo tra l’orologio locale e il server, e jitter la fluttuazione temporale.

Verifica dello stato di sincronizzazione con `chronyc`

Per controllare lo stato del servizio chronyd, utilizzare il comando chronyc. Il comando base per visualizzare lo stato di sincronizzazione è il seguente.

chronyc tracking

Questo comando fornisce informazioni dettagliate sulla fonte di sincronizzazione attuale, sull’accuratezza dell’orologio di sistema e sullo stato di sincronizzazione. L’output include lo strato della fonte attuale, la latenza verso la fonte selezionata e l’offset dell’orologio di sistema, tra le altre cose.

Utilizzando questi comandi, è possibile monitorare regolarmente lo stato di sincronizzazione NTP del sistema e garantire l’accuratezza del suo tempo. La verifica corretta dello stato di sincronizzazione è cruciale per garantire il funzionamento accurato sia del sistema che delle applicazioni.

Risoluzione dei problemi

Se si incontrano problemi con la sincronizzazione con i server NTP su un sistema Linux, ci sono diversi passaggi comuni per la risoluzione dei problemi che è possibile intraprendere per risolvere il problema. Di seguito sono riportati i passaggi base per diagnosticare e risolvere i problemi di sincronizzazione con i server NTP.

Verifica dello stato dei servizi NTP

Come primo passo, verificare che i servizi NTP (ntpd o chronyd) siano in esecuzione correttamente sul sistema. Utilizzare i seguenti comandi per controllare lo stato del servizio.

sudo systemctl status ntpd

O

sudo systemctl status chronyd

Se il servizio è fermo, avviarlo con il seguente comando.

sudo systemctl start ntpd

O

sudo systemctl start chronyd

Verifica delle impostazioni del firewall

Assicurarsi che la comunicazione con il server NTP non sia bloccata dal firewall. NTP utilizza la porta UDP 123, quindi questa porta deve essere aperta. Controllare le impostazioni del firewall e consentire la comunicazione sulla porta UDP 123 se necessario.

Verifica dei file di configurazione NTP

Verificare che gli indirizzi dei server NTP siano elencati correttamente nel file di configurazione (/etc/ntp.conf o /etc/chrony/chrony.conf). Controllare la presenza di indirizzi di server errati o errori di battitura e assicurarsi che gli indirizzi dei server NTP pubblici siano elencati correttamente.

Verifica della connessione di rete

Confermare che il sistema sia correttamente connesso a Internet. Una connessione di rete stabile è necessaria per la comunicazione con i server NTP. È possibile testare la connessione al server NTP utilizzando il comando ping.

ping 0.pool.ntp.org

Se il problema persiste dopo aver seguito questi passaggi per la risoluzione dei problemi, controllare i file di log di sistema (/var/log/ntp.log o /var/log/chrony/chrony.log) per messaggi di errore o avvertimenti, identificare la causa radice del problema e regolare le impostazioni del client NTP secondo necessità per risolvere i problemi di sincronizzazione temporale sul sistema.

Migliori pratiche per la sicurezza

Pur essendo cruciale la sincronizzazione con un server NTP per mantenere un tempo di sistema accurato, è altrettanto necessaria una corretta configurazione e gestione dal punto di vista della sicurezza. Impostazioni NTP inappropriate possono portare a vulnerabilità come la manipolazione del tempo o attacchi di denial-of-service (DoS) da parte degli aggressori. Di seguito sono riportate le migliori pratiche di sicurezza per garantire una sincronizzazione sicura con i server NTP.

Utilizzo di server NTP affidabili

Utilizzare server NTP autorizzati e affidabili. È consigliabile utilizzare server forniti dal progetto ufficiale NTP pool (come pool.ntp.org) o server NTP affidabili all’interno della propria organizzazione. Evitare la sincronizzazione con server sconosciuti e garantire affidabilità e sicurezza.

Configurazione dell’autenticazione NTP

Dove possibile, utilizzare l’autenticazione NTP per proteggere la comunicazione con i server. L’autenticazione NTP verifica l’autenticità dei messaggi NTP utilizzando una chiave condivisa, prevenendo attacchi con messaggi NTP falsificati. Le impostazioni relative all’autenticazione possono essere aggiunte ai file di configurazione di ntpd o chronyd per abilitare l’autenticazione NTP.

Minimizzare il traffico NTP

Per ridurre il carico sui server NTP e migliorare la sicurezza della rete, mantenere al minimo il traffico NTP. Gestire correttamente l’elenco dei server, evitando query non necessarie ai server NTP. Inoltre, utilizzare opzioni come iburst o burst solo quando necessario per evitare di generare traffico non necessario.

Configurazione di firewall e controlli di accesso

Gestire rigorosamente l’accesso al servizio NTP tramite regole di firewall o liste di controllo degli accessi (ACL). Limitare l’accesso da reti non necessarie e configurare le impostazioni per consentire solo la porta UDP 123. Inoltre, è importante limitare le risposte dal server NTP solo ai client all’interno della propria rete interna che ne necessitano.

Audit di sicurezza regolari e monitoraggio dei log

Effettuare regolarmente audit dello stato di sincronizzazione e delle impostazioni di sicurezza del proprio server NTP per verificare accessi non autorizzati o comportamenti anomali. Monitorare regolarmente i file di log del server NTP per rilevare schemi di traffico sospetti o messaggi di errore.

Adottando queste migliori pratiche di sicurezza, è possibile garantire una sincronizzazione sicura con i server NTP e rafforzare la sicurezza del proprio sistema.

Consigli pratici

Ecco alcuni consigli pratici per una sincronizzazione più efficiente con i server NTP sui sistemi Linux. Questi consigli possono aiutare a migliorare la sincronizzazione temporale del sistema e semplificare la gestione.

Specifica di più server NTP

Per aumentare l’affidabilità, specificare più server NTP nel file di configurazione. Questo garantisce che, se un server non è disponibile, il tempo possa comunque essere sincronizzato da altri server. Selezionare più server dal pool NTP ufficiale o scegliere server distribuiti geograficamente per migliorare la disponibilità del servizio.

Configurazione di un server NTP locale

Se si gestiscono un gran numero di sistemi all’interno di un’organizzazione, prendere in considerazione la configurazione di un server NTP locale internamente. Questo facilita la sincronizzazione del tempo all’interno della rete interna e riduce la dipendenza dai server NTP esterni. Inoltre, l’utilizzo del solo traffico interno migliora la sicurezza.

Monitoraggio regolare della sincronizzazione NTP

Si consiglia di impostare script che utilizzano comandi come ntpq o chronyc per monitorare e registrare regolarmente lo stato di sincronizzazione. Questo monitoraggio consente la rilevazione precoce di problemi di sincronizzazione e una rapida risposta.

Verifica del fuso orario del sistema

Assicurarsi che l’impostazione del fuso orario del sistema sia corretta. Una configurazione errata del fuso orario può portare alla visualizzazione errata del tempo nelle applicazioni o al disallineamento nel tempo di esecuzione dei compiti pianificati. Il comando timedatectl può essere utilizzato per verificare e impostare il fuso orario del sistema.

Conclusione

La sincronizzazione con i server NTP sui sistemi Linux è cruciale per garantire il funzionamento accurato sia del sistema che delle applicazioni. Utilizzando i metodi e i consigli introdotti in questo articolo, è possibile verificare lo stato di sincronizzazione con i server NTP e mantenere un tempo di sistema accurato. Applicando la verifica dello stato di sincronizzazione, implementando misure di sicurezza e utilizzando consigli pratici di gestione, è possibile migliorare sia la sicurezza che l’affidabilità del proprio sistema. Attraverso il monitoraggio regolare e l’adeguamento appropriato delle impostazioni, è possibile risolvere efficacemente eventuali problemi con la sincronizzazione temporale del sistema.

Linux
best practices chronyc chronyd fuso orario linux NTP ntpd ntpq risoluzione dei problemi security sincronizzazione
Indice