Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:time_protocol_centos_7 [2014/09/11 16:28] – angelegt klaus
+++ tachtler:time_protocol_centos_7 [2014/10/16 10:49] (aktuell) – [Time Protocol CentOS 7] klaus
@@ Zeile 11: / Zeile 11: @@
 :!: **HINWEIS ** - Nachfolgend soll die Installation eines "Zeitservers" für eine **privates Netzwerk** beschrieben werden!
-:!: **HINWEIS** - **Der Einsatz von IPv6 soll __NICHT__ genutzt werden!!!**
+:!: **HINWEIS** - **IPv6 soll __NICHT__ genutzt werden!!!**
 Ab hier werden zur Ausführung nachfolgender Befehle **''root''**-Rechte benötigt. Um der Benutzer ''root'' zu werden, melden Sie sich bitte als ''root''-Benutzer am System an, oder wechseln mit nachfolgendem Befehl zum Benutzer ''root'':
@@ Zeile 32: / Zeile 32: @@
 <code>
 # yum install xinetd
+Loaded plugins: fastestmirror
+base                                                     | 3.6 kB     00:00
+epel                                                     | 4.4 kB     00:00
+extras                                                   | 3.4 kB     00:00
+updates                                                  | 3.4 kB     00:00
+Loading mirror speeds from cached hostfile
+Resolving Dependencies
+--> Running transaction check
+---> Package xinetd.x86_64 2:2.3.15-12.el7 will be installed
+--> Finished Dependency Resolution
+Dependencies Resolved
+================================================================================
+ Package         Arch            Version                    Repository     Size
+================================================================================
+Installing:
+ xinetd          x86_64          2:2.3.15-12.el7            base          128 k
+Transaction Summary
+================================================================================
+Install  1 Package
+Total download size: 128 k
+Installed size: 261 k
+Is this ok [y/d/N]: y
+Downloading packages:
+xinetd-2.3.15-12.el7.x86_64.rpm                            | 128 kB   00:00
+Running transaction check
+Running transaction test
+Transaction test succeeded
+Running transaction
+  Installing : 2:xinetd-2.3.15-12.el7.x86_64                                1/1
+  Verifying  : 2:xinetd-2.3.15-12.el7.x86_64                                1/1
+Installed:
+  xinetd.x86_64 2:2.3.15-12.el7
+Complete!
 </code>
@@ Zeile 37: / Zeile 76: @@
 <code>
 # rpm -qil xinetd
+Name        : xinetd
+Epoch       : 2
+Version     : 2.3.15
+Release     : 12.el7
+Architecture: x86_64
+Install Date: Thu 11 Sep 2014 04:44:45 PM CEST
+Group       : System Environment/Daemons
+Size        : 266816
+License     : xinetd
+Signature   : RSA/SHA256, Fri 04 Jul 2014 07:46:43 AM CEST, Key ID 24c6a8a7f4a80eb5
+Source RPM  : xinetd-2.3.15-12.el7.src.rpm
+Build Date  : Mon 09 Jun 2014 08:55:07 PM CEST
+Build Host  : worker1.bsys.centos.org
+Relocations : (not relocatable)
+Packager    : CentOS BuildSystem <http://bugs.centos.org>
+Vendor      : CentOS
+URL         : http://www.xinetd.org
+Summary     : A secure replacement for inetd
+Description :
+Xinetd is a secure replacement for inetd, the Internet services
+daemon. Xinetd provides access control for all services based on the
+address of the remote host and/or on time of access and can prevent
+denial-of-access attacks. Xinetd provides extensive logging, has no
+limit on the number of server arguments, and lets you bind specific
+services to specific IP addresses on your host machine. Each service
+has its own specific configuration file for Xinetd; the files are
+located in the /etc/xinetd.d directory.
+/etc/sysconfig/xinetd
+/etc/xinetd.conf
+/etc/xinetd.d/chargen-dgram
+/etc/xinetd.d/chargen-stream
+/etc/xinetd.d/daytime-dgram
+/etc/xinetd.d/daytime-stream
+/etc/xinetd.d/discard-dgram
+/etc/xinetd.d/discard-stream
+/etc/xinetd.d/echo-dgram
+/etc/xinetd.d/echo-stream
+/etc/xinetd.d/tcpmux-server
+/etc/xinetd.d/time-dgram
+/etc/xinetd.d/time-stream
+/usr/lib/systemd/system/xinetd.service
+/usr/sbin/xinetd
+/usr/share/doc/xinetd-2.3.15
+/usr/share/doc/xinetd-2.3.15/CHANGELOG
+/usr/share/doc/xinetd-2.3.15/COPYRIGHT
+/usr/share/doc/xinetd-2.3.15/README
+/usr/share/doc/xinetd-2.3.15/empty.conf
+/usr/share/doc/xinetd-2.3.15/sample.conf
+/usr/share/man/man5/xinetd.conf.5.gz
+/usr/share/man/man5/xinetd.log.5.gz
+/usr/share/man/man8/xinetd.8.gz
 </code>
@@ Zeile 42: / Zeile 132: @@
 <code>
 # yum install rdate
+Loaded plugins: fastestmirror
+Loading mirror speeds from cached hostfile
+Resolving Dependencies
+--> Running transaction check
+---> Package rdate.x86_64 0:1.4-25.el7 will be installed
+--> Finished Dependency Resolution
+Dependencies Resolved
+================================================================================
+ Package          Arch              Version               Repository       Size
+================================================================================
+Installing:
+ rdate            x86_64            1.4-25.el7            base             19 k
+Transaction Summary
+================================================================================
+Install  1 Package
+Total download size: 19 k
+Installed size: 29 k
+Is this ok [y/d/N]: y
+Downloading packages:
+rdate-1.4-25.el7.x86_64.rpm                                |  19 kB   00:00
+Running transaction check
+Running transaction test
+Transaction test succeeded
+Running transaction
+  Installing : rdate-1.4-25.el7.x86_64                                      1/1
+  Verifying  : rdate-1.4-25.el7.x86_64                                      1/1
+Installed:
+  rdate.x86_64 0:1.4-25.el7
+Complete!
 </code>
@@ Zeile 47: / Zeile 172: @@
 <code>
 # rpm -qil rdate
+Name        : rdate
+Version     : 1.4
+Release     : 25.el7
+Architecture: x86_64
+Install Date: Thu 11 Sep 2014 04:46:02 PM CEST
+Group       : Applications/System
+Size        : 29251
+License     : GPLv2+
+Signature   : RSA/SHA256, Fri 04 Jul 2014 06:47:26 AM CEST, Key ID 24c6a8a7f4a80eb5
+Source RPM  : rdate-1.4-25.el7.src.rpm
+Build Date  : Tue 10 Jun 2014 04:26:22 AM CEST
+Build Host  : worker1.bsys.centos.org
+Relocations : (not relocatable)
+Packager    : CentOS BuildSystem <http://bugs.centos.org>
+Vendor      : CentOS
+URL         : ftp://people.redhat.com/sopwith/
+Summary     : Tool for getting the date/time from a remote machine
+Description :
+The rdate utility retrieves the date and time from another machine on
+your network, using the protocol described in RFC 868. If you run
+rdate as root, it will set your machine's local time to the time of
+the machine that you queried.
+/usr/bin/rdate
+/usr/share/doc/rdate-1.4
+/usr/share/doc/rdate-1.4/COPYING
+/usr/share/man/man1/rdate.1.gz
 </code>
 ===== Konfiguration =====
-Um einen "Zeitserver", welcher als Dienst/Deamon als Hintergrundprozess läuft, auch nach einem Neustart des Servers zur Verfügung zu haben, soll der Dienst/Daemon mit dem Server mit gestartet werden, was mit nachfolgendem Befehl realisiert werden kann:
+Um einen "Zeitserver", welcher als Dienst/Deamon als Hintergrundprozess läuft, auch nach einem Neustart des Servers zur Verfügung zu haben, soll der Dienst/Daemon mit dem Server mit gestartet werden, was mit nachfolgendem Befehl überprüft werden kann:
 <code>
+# systemctl is-enabled xinetd
+enabled
+</code>
+* //Die Antwort sollte, wie dargestellt, **''enabled''** / eingeschaltet sein!//
+:!: **HINWEIS** - Falls die Antwort ''disabled'' sein sollte, kann nachfolgender Befehl dies beheben.
+<code>
+# systemctl enable xinetd
+ln -s '/usr/lib/systemd/system/xinetd.service' '/etc/systemd/system/multi-user.target.wants/xinetd.service'
 </code>
-Eine Überprüfung, ob beim Neustart des Server der ''xinetd''-Dienst/Deamon wirklich mit gestartet wird, kann mit nachfolgendem Befehl erfolgen und sollte eine Anzeige, wie ebenfalls nachfolgend dargestellt ausgeben:
+Der Dienst/Deamon ''xinetd.service'' sollte aktuelle __nicht__ gestartet sein, was mit nachfolgendem Befehl überprüft werden kann:
 <code>
+# systemctl status xinetd
+xinetd.service - Xinetd A Powerful Replacement For Inetd
+   Loaded: loaded (/usr/lib/systemd/system/xinetd.service; enabled)
+   Active: inactive (dead)
 </code>
+:!: **HINWEIS** - Ein Start des Dienstes/Deamons ''xinetd.service'', sollte erst nach nachfolgender Konfiguration erfolgen!
 ==== /etc/xinetd.d ====
@@ Zeile 72: / Zeile 238: @@
 <code>
 # ls -l /etc/xinetd.d
+total 44
+-rw-------. 1 root root 1157 Jun  9 20:55 chargen-dgram
+-rw-------. 1 root root 1159 Jun  9 20:55 chargen-stream
+-rw-------. 1 root root 1157 Jun  9 20:55 daytime-dgram
+-rw-------. 1 root root 1159 Jun  9 20:55 daytime-stream
+-rw-------. 1 root root 1157 Jun  9 20:55 discard-dgram
+-rw-------. 1 root root 1159 Jun  9 20:55 discard-stream
+-rw-------. 1 root root 1148 Jun  9 20:55 echo-dgram
+-rw-------. 1 root root 1150 Jun  9 20:55 echo-stream
+-rw-------. 1 root root 1212 Jun  9 20:55 tcpmux-server
+-rw-------. 1 root root 1149 Jun  9 20:55 time-dgram
+-rw-------. 1 root root 1150 Jun  9 20:55 time-stream
 </code>
 sind die beiden Konfigurationsdateien
@@ Zeile 83: / Zeile 261: @@
 </code>
 gekennzeichnet.
+=== /etc/xinetd.d/time-dgram ===
+Nachfolgend dargestellte Änderungen sollten an der Konfigurationsdatei durchgeführt werden (**komplette Konfigurationsdatei**):
+<code ini>
+# This is the configuration for the udp/dgram time service.
+service time
+{
+# This is for quick on or off of the service
+# Tachtler
+# default:      disable         = yes
+        disable         = no
+# The next attributes are mandatory for all services
+        id              = time-dgram
+        type            = INTERNAL
+        wait            = yes
+        socket_type     = dgram
+#       protocol        =  socket type is usually enough
+# External services must fill out the following
+#       user            =
+#       group           =
+#       server          =
+#       server_args     =
+# External services not listed in /etc/services must fill out the next one
+#       port            =
+# RPC based services must fill out these
+#       rpc_version     =
+#       rpc_number      =
+# Logging options
+#       log_type        =
+#       log_on_success  =
+#       log_on_failure  =
+# Networking options
+# Tachtler
+# default: #    flags           =
+        flags           = IPv4
+#       bind            =
+#       redirect        =
+#       v6only          =
+# Access restrictions
+#       only_from       =
+#       no_access       =
+#       access_times    =
+#       cps             = 50 10
+#       instances       = UNLIMITED
+#       per_source      = UNLIMITED
+#       max_load        = 0
+#       deny_time       = 120
+#       mdns            = yes
+# Environmental options
+#       env             =
+#       passenv         =
+#       nice            = 0
+#       umask           = 022
+#       groups          = yes
+#       rlimit_as       =
+#       rlimit_cpu      =
+#       rlimit_data     =
+#       rlimit_rss      =
+#       rlimit_stack    =
+# Banner options. (Banners aren't normally used)
+#       banner          =
+#       banner_success  =
+#       banner_fail     =
+}
+</code>
+=== /etc/xinetd.d/time-stream ===
+Nachfolgend dargestellte Änderungen sollten an der Konfigurationsdatei durchgeführt werden (**komplette Konfigurationsdatei**):
+<code ini>
+# This is the configuration for the tcp/stream time service.
+service time
+{
+# This is for quick on or off of the service
+# Tachtler
+# default:      disable         = yes
+        disable         = no
+# The next attributes are mandatory for all services
+        id              = time-stream
+        type            = INTERNAL
+        wait            = no
+        socket_type     = stream
+#       protocol        =  socket type is usually enough
+# External services must fill out the following
+#       user            =
+#       group           =
+#       server          =
+#       server_args     =
+# External services not listed in /etc/services must fill out the next one
+#       port            =
+# RPC based services must fill out these
+#       rpc_version     =
+#       rpc_number      =
+# Logging options
+#       log_type        =
+#       log_on_success  =
+#       log_on_failure  =
+# Networking options
+# Tachtler
+# default: #    flags           =
+        flags           = IPv4
+#       bind            =
+#       redirect        =
+#       v6only          =
+# Access restrictions
+#       only_from       =
+#       no_access       =
+#       access_times    =
+#       cps             = 50 10
+#       instances       = UNLIMITED
+#       per_source      = UNLIMITED
+#       max_load        = 0
+#       deny_time       = 120
+#       mdns            = yes
+# Environmental options
+#       env             =
+#       passenv         =
+#       nice            = 0
+#       umask           = 022
+#       groups          = yes
+#       rlimit_as       =
+#       rlimit_cpu      =
+#       rlimit_data     =
+#       rlimit_rss      =
+#       rlimit_stack    =
+# Banner options. (Banners aren't normally used)
+#       banner          =
+#       banner_success  =
+#       banner_fail     =
+}
+</code>
+==== iptables Regel =====
+:!: **WICHTIG** - **Nur relevant beim Einsatz von ''iptables'' als Firewall!**
+Damit der "Zeitserver" auch erreichbar ist und nicht die Weitergab der Zeitinformationen via Time Protocol vom Paketfilter ''iptables'' blockiert wird, muss nachfolgende Regel zum ''iptables''-Regelwerk hinzugefügt werden.
+Um die aktuellen ''iptables''-Regeln erweitern zu können, sollten diese erst einmal aufgelistet werden, was mit nachfolgendem Befehl durchgeführt werden kann:
+<code>
+# iptables -L -nv --line-numbers
+Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+     2420  321K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
+        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
+        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
+        1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
+      106  8056 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123
+       28   896 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
+Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
+Chain OUTPUT (policy ACCEPT 2246 packets, 823K bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+</code>
+Nachfolgende Befehle, fügen folgende ''iptables''-Regeln dem ''iptables''-Regelwerk nach der **Position 4** hinzu, ohne das der Paketfilter angehalten werden muss:
+  * <code>-A INPUT -p tcp --dport 37 -j ACCEPT</code>
+  * <code>-A INPUT -p udp --dport 37 -j ACCEPT</code>
+und hier die Befehle:
+<code>
+# iptables -I INPUT 5 -p tcp --dport 37 -j ACCEPT
+# iptables -I INPUT 5 -p udp --dport 37 -j ACCEPT
+</code>
+Ein erneute Abfrage des ''iptables''-Regelwerts, sollte dann nachfolgend dargestellte Ausgabe ergeben, was mit folgendem Befehl durchgeführt werden kann:
+<code>
+# iptables -L -nv --line-numbers
+Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+     2571  334K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
+        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
+        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
+        1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
+        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:37
+        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:37
+      115  8740 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123
+       31   992 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
+Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
+Chain OUTPUT (policy ACCEPT 6 packets, 800 bytes)
+num   pkts bytes target     prot opt in     out     source               destination
+</code>
+Die neuen Zeilen sind an **Position 5** und **Postition 6** zu sehen, hier nachfolgend zur Verdeutlichung noch einmal dargestellt (**nur relevanter Ausschnitt**):
+<code>
+...
+        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:37
+        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:37
+...
+</code>
+Um diese ''iptables''-Regel dauerhaft, auch nach einem Neustart des Server, weiterhin im ''iptables''-Regelwerk zu speichern, muss nachfolgend dargestellter Befehl abschließend noch ausgeführt werden:
+<code>
+# service iptables save
+iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
+</code>
+===== Zeitserver starten =====
+Um einen "Zeitserver" zu starten muss der ''xinetd''-Dienst/Deamon mit nachfolgendem Befehl gestartete werden:
+<code>
+# systemctl start xinetd
+</code>
+Ob der "Zeitserver", sprich der ''xinetd''-Dienst/Deamon auch tatsächlich als Hintergrundprozess läuft, kann mit nachfolgendem Befehl überprüft werden (Es sollte eine Ausgabe wie nachfolgend dargestellt, erfolgen - es kommt auf die **zweite** Zeile an!):
+<code>
+# ps auxwf | grep xinetd
+root     25944  0.0  0.0 112640   976 pts/0    S+   17:01   0:00          \_ grep --color=auto xinetd
+root     25942  0.0  0.0  29768  1008 ?        Ss   17:01   0:00 /usr/sbin/xinetd -stayalive -pidfile /var/run/xinetd.pid
+</code>
+bzw. nachfolgendem Befehl überprüft werden:
+<code>
+# systemctl status xinetd
+xinetd.service - Xinetd A Powerful Replacement For Inetd
+   Loaded: loaded (/usr/lib/systemd/system/xinetd.service; enabled)
+   Active: active (running) since Thu 2014-09-11 17:01:40 CEST; 2min 48s ago
+  Process: 25941 ExecStart=/usr/sbin/xinetd -stayalive -pidfile /var/run/xinetd.pid $EXTRAOPTIONS (code=exited,
+status=0/SUCCESS)
+ Main PID: 25942 (xinetd)
+   CGroup: /system.slice/xinetd.service
+           └─25942 /usr/sbin/xinetd -stayalive -pidfile /var/run/xinetd.pid
+Sep 11 17:01:40 centos7.localdomain xinetd[25942]: removing daytime
+Sep 11 17:01:40 centos7.localdomain xinetd[25942]: removing daytime
+Sep 11 17:01:40 centos7.localdomain xinetd[25942]: removing discard
+Sep 11 17:01:40 centos7.localdomain xinetd[25942]: removing discard
+Sep 11 17:01:40 centos7.localdomain xinetd[25942]: removing echo
+Sep 11 17:01:40 centos7.localdomain xinetd[25942]: removing echo
+Sep 11 17:01:40 centos7.localdomain xinetd[25942]: removing tcpmux
+Sep 11 17:01:40 centos7.localdomain xinetd[25942]: xinetd Version 2.3.15 started with libwrap loadavg labele...
+Sep 11 17:01:40 centos7.localdomain xinetd[25942]: Started working: 2 available services
+Sep 11 17:01:40 centos7.localdomain systemd[1]: Started Xinetd A Powerful Replacement For Inetd.
+</code>
+Auf welchen Ports der ''chronyd''-Dienst/Deamon auch tatsächlich als Hintergrundprozess lauscht, kann mit nachfolgendem Befehl überprüft werden:
+<code>
+# netstat -tulpen | grep xinetd
+tcp        0      0 0.0.0.0:37              0.0.0.0:*    LISTEN      0          1152455814 25942/xinetd
+udp        0      0 0.0.0.0:37              0.0.0.0:*                0          1152455813 25942/xinetd
+</code>
+:!: **HINWEIS** - //Falls der Befehl ''netstat'' nicht zur Verfügung stehen sollte, muss das ''rpm''-Paket **''net-tools''** installiert werden.//
+Eine weitere Überprüfung, ob auch die entsprechenden //Services// des ''inetd''-Dienstes/Daemon gestartete werden, kann mit nachfolgendem Befehl herausgefunden werden:
+<code>
+# chkconfig --list | tail -n 12
+Note: This output shows SysV services only and does not include native
+      systemd services. SysV configuration data might be overridden by native
+      systemd configuration.
+      If you want to list systemd services use 'systemctl list-unit-files'.
+      To see services enabled on particular target use
+      'systemctl list-dependencies [target]'.
+xinetd based services:
+	chargen-dgram: 	off
+	chargen-stream:	off
+	daytime-dgram: 	off
+	daytime-stream:	off
+	discard-dgram: 	off
+	discard-stream:	off
+	echo-dgram:    	off
+	echo-stream:   	off
+	tcpmux-server: 	off
+	time-dgram:    	on
+	time-stream:   	on
+</code>
+===== Zeitserver überprüfen =====
+Unter Zuhilfenahme des Befehls **''rdate''**, kann überprüft werden, ob der "Zeitserver" zur Auslieferung der Zeit im Stande ist.
+Nachfolgende Befehle, können auf dem Server auf dem der "Zeitserver" läuft, oder auf einem sich im Netzwerk befindlichen Server durchgeführt werden:
+Befehl zu Abfrage gegen den Zeitserver via **TCP**:
+<code>
+# rdate 192.168.0.20
+rdate: [192.168.0.20]	Thu Sep 11 17:12:07 2014
+</code>
+Befehl zu Abfrage gegen den Zeitserver via **UDP**:
+<code>
+# rdate -u 192.168.0.20
+rdate: [192.168.0.20]	Thu Sep 11 17:12:24 2014
+</code>