İçeriğe Atla
Rehberler · 10 dk okuma · görüntülenme
100%

chrony ile NTS ve NTP Hardening Runbook’u

Kurumsal sunucularda chrony ile güvenli NTP (NTS), erişim kısıtları, doğrulama komutları ve alarm eşikleriyle pratik runbook.

#linux #security #ntp #chrony #operations #observability #infrastructure
Chrony üzerinde NTS ve NTP güvenlik ayarlarını gösteren kapak görseli

NTP çoğu ortamda “UDP/123 açık mı?” seviyesinde kalır. Bu yaklaşım, zamanın güvenlik ve operasyonel doğruluk katmanı olduğu gerçeğini kaçırır. chrony, modern Linux dağıtımlarında NTP tarafında güçlü bir seçenektir; özellikle NTS (Network Time Security) ile birlikte ele alındığında.

Bu runbook, chrony’yi “kurduk” değil “işletiyoruz” seviyesine taşımak için pratik adımları toplar.

Hedef mimari

  • İstemciler sadece kurum içi zaman sunucularına konuşur.
  • Zaman sunucuları upstream kaynaklara (internet veya dış referans) erişir.
  • Mümkünse NTS, upstream’te doğrulama sağlar.

1) Kurulum

Dağıtıma göre paket adı değişebilir. Genel yaklaşım:

sudo apt-get update
sudo apt-get install -y chrony

2) chrony yapılandırması (istemci)

Örnek /etc/chrony/chrony.conf yaklaşımı:

  • İnternet yerine iç zaman sunucularını kullan
  • Step davranışını kontrollü yap
  • Log’u görünür kıl

Örnek:

# İç zaman sunucuları
server ntp-01.internal iburst
server ntp-02.internal iburst

# Büyük sapmada kontrollü step (ilk boot’ta işe yarar)
makestep 1.0 3

# Kaynak kalitesi / istatistik
rtcsync
driftfile /var/lib/chrony/chrony.drift
log tracking measurements statistics
logdir /var/log/chrony

3) chrony yapılandırması (zaman sunucusu)

Zaman sunucusunda iki kritik konu var:

  1. Upstream kaynak seçimi ve yedeklilik
  2. Kimlerin hizmet alacağı (ACL)

Örnek (temel):

# Upstream (örnek)
server time.cloudflare.com iburst nts
server time.google.com iburst

# İstemci ağına izin ver
allow 10.10.0.0/16
allow 10.20.0.0/16

# Herkese servis verme
deny all

rtcsync
makestep 1.0 3
driftfile /var/lib/chrony/chrony.drift
log tracking measurements statistics
logdir /var/log/chrony

4) Firewall / segmentasyon

  • İstemci → zaman sunucusu: UDP/123
  • Zaman sunucusu → upstream: UDP/123 ve NTS için TCP/4460 (servise göre değişebilir)

NTS portu sağlayıcıya göre değişebilir; kurum içinde sabit bir upstream seti seçmek işletimi kolaylaştırır.

5) Doğrulama komutları

İstemcide:

chronyc tracking
chronyc sources -v
chronyc sourcestats -v

Beklediğin işaretler:

  • Leap status normal
  • System time offset düşük ve stabil
  • Reach değeri 377’e yakın (istikrarlı erişim)

Zaman sunucusunda ayrıca:

chronyc clients
chronyc activity

6) Alarm eşiği (pratik)

Kurumsal genel sistemler için (örnek başlangıç):

  • Uyarı: offset > 50ms (kalıcı)
  • Kritik: offset > 200ms
  • Reachability: kaynakların reach değeri sürekli düşüyorsa kritik

Bu eşikleri servis toleransına göre daralt.

7) Incident triage: “clock skew” gördüğünde

  1. chronyc tracking ile offset ve source’ları kontrol et
  2. Erişim sorunu var mı? (sources -v reach düşüyor mu?)
  3. Zaman sunucusunda upstream bozuk mu? (tek kaynak mı kalmış?)
  4. VM/host tarafında CPU steal / yoğunluk var mı?
  5. Gerekirse kontrollü step (servis etkisini düşünerek)

Kapanış

chrony + doğru topoloji + izleme sinyali birleştiğinde zaman senkronizasyonu “arka plan servisi” olmaktan çıkar, güvenlik ve operasyon doğruluğunun temel katmanına dönüşür. NTS’i upstream’te konumlandırmak ve erişimi allow list ile sınırlamak; pratikte en yüksek faydayı en düşük karmaşıklıkla verir.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

Yeni yazılardan haberdar olun

Haftada bir yeni içerikler ve kaynaklar doğrudan e-postanıza gelsin.

Spam yok. Yalnızca yeni ve önemli içerikler için e-posta gönderilir.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Rehberler

Chrony ile Kurumsal NTP Mimarisi ve Drift Alarmı

Zaman senkronizasyonunu hiyerarşik tasarlayıp güvenli hale getiren Chrony ayarları, firewall önerileri ve drift/loss alarmları.

Rehberler

Windows Event Forwarding (WEF) ile Merkezi Loglama

Windows domain ortamında güvenlik ve operasyon sinyallerini WEF ile merkezi toplayıp doğrulamak için subscription, sağlık kontrolleri ve triage runbook’u.

Rehberler

FleetDM + osquery ile Sunucu Envanteri ve Güvenlik Sinyalleri

“Hangi sunucuda ne var?” sorusunu canlı envantere çeviren; osquery sorgularını FleetDM ile ölçekleyip operasyon ve güvenlik sinyali üretme rehberi.