The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Доступен NTP-сервер NTPsec 1.2.3, opennews (??), 31-Дек-23, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


2. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 31-Дек-23, 23:48 
Кому не пофиг на безопасность — ушли на chrony, кому пофиг ­— остались на ISC NTPD.
Ответить | Правка | Наверх | Cообщить модератору

4. "Доступен NTP-сервер NTPsec 1.2.3"  –2 +/
Сообщение от Аноним (4), 01-Янв-24, 02:08 
Кому не пофиг используют сразу несколько разных.
Ответить | Правка | Наверх | Cообщить модератору

22. "Доступен NTP-сервер NTPsec 1.2.3"  +1 +/
Сообщение от Аноним (2), 01-Янв-24, 14:25 
Чтобы хотя бы через один ломанули?
Ответить | Правка | Наверх | Cообщить модератору

45. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (4), 01-Янв-24, 19:52 
Ну ломанут, и что дальше-то с ним делать будут? 123/udp рейт-лимитится в обоих направлениях, всё остальное блэкхолится с алертом ещё до того, как во внутреннюю сеть попадёт. Если алерт без внимания три часа, виртуалка автоматически гасится с ещё более громким алертом. Диск у виртуалки в r/o и на нём только то, что нужно для запуска ntpd, даже SSH нет. В случае проблем с конкретной реализацией дежурный админ в ранбуке выбирает галочками кого снести, а кого оставить, а дальше автоматика уберёт лишнее и добавит недостающее. У нас так все публичные сервисы устроены, и ntp, и dns, и smtp, и http reverse proxy.
Ответить | Правка | Наверх | Cообщить модератору

61. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 02-Янв-24, 00:53 
Как минимум, можно продолжить дальше ломать внутреннюю сеть через NTP, либо попробовать вылезти в гипервизор.
Ответить | Правка | Наверх | Cообщить модератору

75. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (4), 02-Янв-24, 23:18 
А как гипервизор защищён, и как он мониторится — это совершенно иная история. Неуязвимых систем не бывает, но security in depth работает потому, что даёт время и возможность кому-то что-то заметить. Остальные — воля божия.
Ответить | Правка | Наверх | Cообщить модератору

5. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Vaso Kutaisskiy (?), 01-Янв-24, 02:27 
Кому не пофиг на безопасность, настраивают службы времени оффлайн ручками...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (7), 01-Янв-24, 03:41 
Настраиваем автоматически, потом отключаем.
Ответить | Правка | Наверх | Cообщить модератору

11. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от 12yoexpert (ok), 01-Янв-24, 06:09 
один раз не роскомнадзор?
Ответить | Правка | Наверх | Cообщить модератору

9. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (9), 01-Янв-24, 05:16 
Да да, часы подводят раз в неделю
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

12. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 07:51 
Осталось убедить ntp*.vniiftri.ru подключить NTPSec и IPv6 )))
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (4), 01-Янв-24, 07:56 
Зачем, если у pool.ntp.org всё есть?
Ответить | Правка | Наверх | Cообщить модератору

14. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 08:12 
Хотя бы тем, что у ntp*.vniiftri.ru Stratum I, а не Stratum II. В pool IPv6 поддерживают только 2* сервера, все остальные даже резолвятся только по IPv4.
Ответить | Правка | Наверх | Cообщить модератору

16. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 01-Янв-24, 10:03 
Тут еще вопрос в востребованности v6 клиентами. Выставил собственный Stratum 1 в pool.ntp.org. По статистике соотношение запросов v6/v4 плавает в районе 1/120
Ответить | Правка | Наверх | Cообщить модератору

17. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 10:47 
Я понимаю, что РФ не в передовиках по внедрению IPv6 (если IPv6 only вообще стоит копировать), но во многих странах именно IPv6 only c IPv4 через 464xlat.

> Выставил собственный Stratum 1 в pool.ntp.org...

В центральных регионах из pool'а часто перенаправляет на NTP сервер производителя глючных производственных дверей. Как-то анализировал трафик ещё лет 10 назад на предприятии и словил "а это г... что тут делает?" и с тех пор везде ntp*.vniiftri.ru прописываю. К госинституции у меня больше доверия в этом плане.

Ответить | Правка | Наверх | Cообщить модератору

20. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 01-Янв-24, 12:32 
У меня сервер анонсирован как доступный со всего мира, так что плюс-минус лапоть соотношение 1 к 120 общемировое для ntp-клиентов.
Ответить | Правка | Наверх | Cообщить модератору

21. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 12:50 
> У меня сервер анонсирован как доступный со всего мира, так что плюс-минус
> лапоть соотношение 1 к 120 общемировое для ntp-клиентов.

А смысл на тебя перенаправлять из Океании? Оно же работает по логике CDN, выбирается то, что географически ближе, т.к. при задержке под 300 мс и джиттере в 10 мс твой Stratum I даже в Папеэте нафиг никому не нужен. Аннонсировать и реально обслуживать, это разные вещи.

P.S. или ты из тех, кто пытается доказывать, что IPv6 никому не нужен и вообще им никто не пользуется?

Ответить | Правка | Наверх | Cообщить модератору

24. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 01-Янв-24, 14:27 
По статистике в админке pool.ntp.org где-то 70% приходится на Европу и "other world". На Россию и страны СНГ не более 30%. Для перенаправления на тебя запросов пинг до тебя и твоя география где-то на третьем-четвертом месте. На первом месте это чтобы твои часы не врали, и чтобы ты был доступен. Вот как раз по части доступности по v6 наблюдаются серьезные проблемы.

Не так давно pool.ntp.org основательно переработал свою системы управления и проверки доступности серверов участников, запустив сеть сенсоров по всему миру. И сейчас картина такова, что сервер по v4 доступен для всех сенсоров, а вот по v6 стабильно 3-5% дают -100 рейтинг (полная недоступность) а где-то треть култыхается от -20 до +19. У остальных +20.

И как раз я реально работаю с v6, и про проблемы с ним знаю напрямую. С v6 до сих пор серьезные проблемы. И если в случае с такими площадками как google, facebook, netflix и microsoft уже имеется серьезный прогресс, и клиенты обращаются к тамошним сервера по v6 даже не замечая этого, то вот в плане межсетевой доступности по v6 проблем дохрена и еще тележка по всему миру. Кстати, многими горячо обожаемая Sony до сих пор не прикручивает к своему PSN v6, хотя на консолях поддержка есть (у мелкомягких коробокс со своими серверами по v6 работают). О! И еще Rockstar игнорит v6.

Ответить | Правка | Наверх | Cообщить модератору

25. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 14:31 
> И как раз я реально работаю с v6, и про проблемы с ним знаю напрямую. С v6 до сих пор серьезные проблемы.

Конкретные примеры в студию! Да, не имеющие отношения к особенностям выбора между IPv4 и IPv6 в дуалстэке клиентского ПО вроде браузеров.

Ответить | Правка | Наверх | Cообщить модератору

27. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Tron is Whistling (?), 01-Янв-24, 15:53 
Просто прекратите фанатизм, и наконец примите как данность: IPv6 на данный момент - игрушка.
Мы уже обсуждали это в соседней теме. Ситуация с публичными пулами NTP - один из множества показательных примеров.
Ответить | Правка | Наверх | Cообщить модератору

29. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 16:09 
> IPv6 на данный момент - игрушка

Да-да-да. Около 50 процентов пользователей уже имеют IPv6 по общемировой статистике. Не говоря уже о том, что провайдеры миллиардной страны вообще IPv6 only стратегию выбрали.

Ответить | Правка | Наверх | Cообщить модератору

33. "Доступен NTP-сервер NTPsec 1.2.3"  +1 +/
Сообщение от Tron is Whistling (?), 01-Янв-24, 17:02 
146%, берите больше.
Я уже тоже объяснял. Мы допустим выдаём по запросу, но назад не отключаем - и те, кто побаловался или вообще засетапить не смог - все идут в статистику как имеющие v6. Если кто выдаёт по дефолту - там реальная ситуация вообще не известна, они просто в статистику всех сваливают, и всё.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

36. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 17:22 
> 146%, берите больше.
> Я уже тоже объяснял. Мы допустим выдаём по запросу, но назад не
> отключаем - и те, кто побаловался или вообще засетапить не смог
> - все идут в статистику как имеющие v6. Если кто выдаёт
> по дефолту - там реальная ситуация вообще не известна, они просто
> в статистику всех сваливают, и всё.

Ну да, ты же умнее инженеров Google. Куда уж им вычленить реальный процент использования IPv6. Хорошо, что хоть со статистикой по странам разобрались. Не ты им помогал?

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

52. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Tron is Whistling (?), 01-Янв-24, 22:25 
Честно? Мне фиолетово. Я вижу ситуацию на живых клиентах в отличие от тебя.
А если тебе ещё рассказать, сколько по времени Гугл пытался починить один из пирингов...
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

58. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 22:42 
> Честно? Мне фиолетово. Я вижу ситуацию на живых клиентах в отличие от
> тебя.
> А если тебе ещё рассказать, сколько по времени Гугл пытался починить один
> из пирингов...

И что ты видишь такого, что я не вижу?

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

34. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Tron is Whistling (?), 01-Янв-24, 17:03 
А, ну эти могут хоть Мао в очередной раз выбрать...
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

35. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 17:20 
> А, ну эти могут хоть Мао в очередной раз выбрать...

Там, где Мао, там с IPv6 намного хуже.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

26. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 01-Янв-24, 14:36 
> На первом месте это чтобы твои часы не врали... и доступность

Это первоначальное требование.

> Для перенаправления на тебя запросов пинг до тебя и твоя география где-то на третьем-четвертом месте.

Т.е., если не считать того, что у тебя вообще есть работающий и достаточно точный сервер, то география и пинг являются первоочередными при выборе того, куда тебя перенаправят. Что и требовалось доказать.

Спасибо за то, что я и так уже знал.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

82. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (4), 03-Янв-24, 20:50 
У тебя нет задач, требующих s1. У тебя даже нет задач, для которых не зватило бы s3, так что все твои выверты — суть мастурбация, и как результат снижение надёжности синхронизации времени. Ляжет ntp*.vniiftri.ru и будешь по курантам время настраивать.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

83. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 03-Янв-24, 21:02 
А pool надёжнее? Реально? Регулярно выбрасывающий на сервера с пингом в 150+ мс и джиттером 10+? Ну, ОК. А ляжет сервер, у меня GPS/Глонасс есть )))
Ответить | Правка | Наверх | Cообщить модератору

84. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 04-Янв-24, 16:17 
Перестаньте уже теребонькать на пинг и джиттер. Нормальным участникам ntp обмена на эти параметры плевать, и на канале с большим пингом и джиттером спокойно выходят на синхронизацию с offset в единицы микросекунд.
Ответить | Правка | Наверх | Cообщить модератору

85. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 04-Янв-24, 17:07 
> Перестаньте уже теребонькать на пинг и джиттер. Нормальным участникам ntp обмена на
> эти параметры плевать, и на канале с большим пингом и джиттером
> спокойно выходят на синхронизацию с offset в единицы микросекунд.

До да, наплевать. Через packet radio на 300 бод ещё можно SSH сессию поднять. Сами сидите на таких серверах.

Ответить | Правка | Наверх | Cообщить модератору

86. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Аноним (16), 04-Янв-24, 19:12 
Блин, ну вы хоть в спецификацию NTP свое жало ткните. Его же специально создали для работы по любым каналам где пакет хоть как-то может пролезть. В отличии от PTP. И да, часы отлично засинхорнизируются с микросекундной разницей и на 300 бод. Даже больше скажу - самое точное время получается на канале связи с рейтом в 1 бод. (Подмена с SSH уж совсем неуклюжей вышла)
Ответить | Правка | Наверх | Cообщить модератору

87. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 04-Янв-24, 19:22 
> Блин, ну вы хоть в спецификацию NTP свое жало ткните. Его же
> специально создали для работы по любым каналам где пакет хоть как-то
> может пролезть. В отличии от PTP. И да, часы отлично засинхорнизируются
> с микросекундной разницей и на 300 бод. Даже больше скажу -
> самое точное время получается на канале связи с рейтом в 1
> бод. (Подмена с SSH уж совсем неуклюжей вышла)

Жало ты жене между ног тыкать будешь. Открой уже статистику по NTP, нахер её тогда придумали, если ты туда даже не смотришь? И сравни при синхронизации с сервером из США и с локальным. Сделай так 100 раз и сведи в таблицу.

То с BBR своим носится, даже тестирование не удосужившись сделать грамотное, теперь у него джиттер ни на что не влияет. Раз уж вспомнили. Как там в сетях в большим джиттером твой BBR поживает?

Ответить | Правка | Наверх | Cообщить модератору

89. "Доступен NTP-сервер NTPsec 1.2.3"  –1 +/
Сообщение от Аноним (16), 05-Янв-24, 06:35 
Статистика как раз и говорит, что срать хотели ntp-клиенты на твои фантазии. повторю, на Россию и ближнее зарубежье приходится всего 30% запросов, остальное это весь остальной мир. От Европы и Японии до США и Перу.
Ответить | Правка | Наверх | Cообщить модератору

90. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 05-Янв-24, 07:01 
> Статистика как раз и говорит, что срать хотели ntp-клиенты на твои фантазии.
> повторю, на Россию и ближнее зарубежье приходится всего 30% запросов, остальное
> это весь остальной мир. От Европы и Японии до США и
> Перу.

Что ты мычишь? Я тебя не про статистику адресов твоих клиентов спрашиваю.

Ответить | Правка | Наверх | Cообщить модератору

88. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от timur.davletshin (ok), 04-Янв-24, 19:49 
> И да, часы отлично засинхорнизируются
> с микросекундной разницей и на 300 бод.

https://blog.dan.drown.org/strat-2-tcxo/ - вот нечто аналогичное и я когда-то делал. Только тут ещё нет про влияние kernel tick(less) rate, обработки IRQ и размера буфера сетевой карты. Специально для тебя там упор на джиттер делается.

ТАК ЧТО ТАМ ПРО МИКРОСЕКУНДНУЮ ТОЧНОСТЬ БЫЛО? Давай, промычи что-нибудь предметное, как спецификация NTP тут тебе помогает.

Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

23. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 01-Янв-24, 14:27 
> Осталось убедить ntp*.vniiftri.ru подключить NTPSec и IPv6 )))

А зачем, если не секрет?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

44. "Доступен NTP-сервер NTPsec 1.2.3"  +1 +/
Сообщение от Ivan_83 (ok), 01-Янв-24, 19:17 
+1
после долгих мытарств дошёл до chrony.
Единственный недостаток это его невозможно заставить засинкать время если часы сильно далеко ушли вперёд (а может и назад).
Пришлось в стартовый скрипт ОС добавить проверки и выставление времени в том интервале из которого chrony принудительно синкает.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

46. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (2), 01-Янв-24, 21:07 
Увеличение initstepslew не помогло?
Ответить | Правка | Наверх | Cообщить модератору

51. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Ivan_83 (ok), 01-Янв-24, 22:25 
Нет, я всё перекрутил и в исходники заглядывал.
Там какой то лимит захардкожен, не помню точно, вроде 2099 или 2049 года, а у меня на одном ноуте часы иногда 2200+ год выставляют.
Ответить | Правка | Наверх | Cообщить модератору

53. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Ivan_83 (ok), 01-Янв-24, 22:26 
# Check system time.
SYS_TIME_YEAR=`date "+%Y" | tr -cd '[:print:]'`
if [ "${SYS_TIME_YEAR}" -gt 2050 ]; then
    # Set date to: Sat Jun 13 16:27:00 EEST 2023
    date '202306131627'
    /usr/local/etc/rc.d/chronyd forcerestart
fi
Ответить | Правка | Наверх | Cообщить модератору

64. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 02-Янв-24, 11:06 
> после долгих мытарств дошёл до chrony.

какой вот только хренью люди не занимаются, лишь бы ntpd не использовать.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

65. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 02-Янв-24, 13:07 
В сети два собственных Stratum 1. На chrony. Время от времени посматриваю как оно там с альтернативами в плане надежности, точности и стабильности. Альтернативы пока что сасай по полной. Конкретно ntpd на том же самом железе с тем же самым источником PPS дает ошибку в 10-90ppm, когда у chrony  там же с тем же 0.005 ppm. Что за гении пишут ntpd, чтобы добиться таких результатов?
Ответить | Правка | Наверх | Cообщить модератору

66. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 02-Янв-24, 13:14 
> Конкретно ntpd на том же самом железе с тем же самым источником PPS дает ошибку в 10-90ppm, когда у chrony
> там же с тем же 0.005 ppm.

это имеет хоть малейшее значение в практических целях?

> Что за гении пишут ntpd, чтобы добиться таких результатов?

они переносимый софт писали, а не linoops only.

Ответить | Правка | Наверх | Cообщить модератору

68. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от Аноним (16), 02-Янв-24, 13:45 
Разница в погрешности в 4 порядка, вносимая программным методом, таки имеет значение. Тут обнарудилось при расковыривании внештатной ситуации, что горяче любимая одним из тутошних обитателей монга таки умеет внутри себя отслеживать события на уровне единиц микросекунд, и ошибка в 100 микросекунд будет не к месту.

А "переносимый софт" замечен за тем, что жрет время с откровенно кривого источника и уводит на него систему, в отличии от "не переносимого". Наверно это одна из причин, что там начали пилить NTPS.

Ответить | Правка | Наверх | Cообщить модератору

72. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от нах. (?), 02-Янв-24, 16:19 
монга переживает без особых проблем таймшифты и по паре секунд.
redis'у вот такое почему-то не нравится. Но то и другое - далеко за пределами той мелочи которую может дать gpsd в сочетании с ntpd даже если там действительно все совсем плохо (но это вряд ли)

Ответить | Правка | Наверх | Cообщить модератору

91. "Доступен NTP-сервер NTPsec 1.2.3"  +/
Сообщение от semester (ok), 23-Мрт-24, 17:02 
А в нем можно как то из пула автоматически выбирать сервера? Все что находил это список примерно из 15 серверов на гитхабе которые нужно явно указать.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру