利用 restrict 來管理許可權控制

在 ntp.conf 檔案內可以利用『 restrict 』來控管許可權，這個引數的設定方式為：

restrict [你的IP] mask [netmask_IP] [parameter]

其中 parameter 的引數主要有底下這些：

• ignore： 拒絕所有型別的 NTP 聯機；
• nomodify： 客戶端不能使用 ntpc 與 ntpq 這兩支程式來修改伺服器的時間引數， 但客戶端仍可透過這部主機來進行網路校時的；
• noquery： 客戶端不能夠使用 ntpq, ntpc 等指令來查詢時間伺服器，等於不提供 NTP 的網路校時囉；
• notrap： 不提供 trap 這個遠端事件登入 (remote event logging) 的功能。
• notrust： 拒絕沒有認證的客戶端。

那如果你沒有在 parameter 的地方加上任何引數的話，這表示『該 IP 或網段不受任何限制』的意思喔！一般來說，我們可以先關閉 NTP 的許可權，然後再一個一個的啟用允許登入的網段。

• ---

  利用 server 設定上層 NTP 伺服器

上層 NTP 伺服器的設定方式為：

server [IP or hostname] [prefer]

在 server 後端可以接 IP 或主機名，鳥哥個人比較喜歡使用 IP 來設定說！至於那個 perfer 表示『優先使用』的伺服器囉～有夠簡單吧！

• ---

  以 driftfile 記錄時間差異

設定的方式如下：

driftfile [可以被 ntpd 寫入的目錄與檔案]

因為預設的 NTP Server 本身的時間計算是依據 BIOS 的晶片震盪週期頻率來計算的，但是這個數值與上層 Time Server 不見得會一致啊！所以 NTP 這個 daemon (ntpd) 會自動的去計算我們自己主機的頻率與上層 Time server 的頻率，並且將兩個頻率的誤差記錄下來，記錄下來的檔案就是在 driftfile 後面接的完整檔名當中了！關於檔名你必須要知道：

• driftfile 後面接的檔案需要使用完整路徑檔名；
• 該檔案不能是連結檔；
• 該檔案需要設定成 ntpd 這個 daemon 可以寫入的許可權。
• 該檔案所記錄的數值單位為：百萬分之一秒 (ppm)。

driftfile 後面接的檔案會被 ntpd 自動更新，所以他的許可權一定要能夠讓 ntpd 寫入才行。在 CentOS 6.x 預設的 NTP 伺服器中，使用的 ntpd 的 owner 是 ntp ，這部份可以查閱 /etc/sysconfig/ntpd 就可以知道啦！

• ---

  keys [key_file]

除了以 restrict 來限制客戶端的聯機之外，我們也可以透過金鑰系統來給客戶端認證， 如此一來可以讓主機端更放心了。不過在這個章節裡面我們暫不討論這個部分，有興趣的朋友可以參考 ntp-keygen 這個指令的相關說明喔！