時刻同期を行うユーザを指定するにはIPアドレスでの制限が可能です。
CVE-2013-5211の脆弱性対策には、モニタリング機能(※1)の停止を行う必要があります。
以下の設定手順に従い対応してください。
(※1)モニタリングの機能(monlist)は過去に時刻同期としてクライアントとの
通信履歴のアドレスを返却する機能です。時刻同期には必須の機能ではありません。
■設定手順
1)telnetやsshでExpress5800/CS または InterSecVM/CSのコンソールに管理者(root)でログインします。
2)viエディタなどで「/etc/ntp.conf」を開き、★の設定を追加し、上書き保存します。
-------------------------------------------------------
★disable monitor
#wbmc_start
server xxx.xxx.xxx.xxx(InterSec/CSが時刻同期を行っているNTPサーバのIPアドレスまたはホスト名)
#wbmc_end
driftfile /etc/ntp/drift
★restrict default ignore
★restrict -6 default ignore
★restrict 127.0.0.1
★restrict xxx.xxx.xxx.xxx(CSが時刻同期を行っているNTPサーバのIPアドレスまたはホスト名) mask 255.255.255.255 nomodify noquery notrap
-------------------------------------------------------
InterSec/CSのNTPサービスをNTPサーバとして時刻同期を行っているマシンが存在する場合は、上記に加え下記設定も追加し時刻同期を許可します。
-------------------------------------------------------
disable monitor
#wbmc_start
<中略>
#wbmc_end
driftfile /etc/ntp/drift
restrict default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict (CSが時刻同期を行っているNTPサーバのIPアドレスまたはホスト名) mask 255.255.255.255 nomodify noquery notrap
★restrict (許可するマシンのIPアドレスまたはネットワーク) mask (ネットワークマスク) nomodify nopeer
-------------------------------------------------------
3)設定反映のために、下記画面の「時刻調整(ntpd)」の左にある「起動」ボタンを押し、NTPサービスを起動させてください。
Management Console > サービス 画面
Express5800/CS300f,Express5800/CS500f
Express5800/CS300g,Express5800/CS500g
Express5800/CS400g
Express5800/CS400h
Express5800/R110d-1M(CS400h2)
InterSecVM/CS V1.0
InterSecVM/CS V2.0 for VMware,InterSecVM/CS V2.0 for Hyper-V
InterSecVM/CS V2.1 for Hyper-V
InterSecVM/CS V3.0 for VMware,InterSecVM/CS V3.0 for Hyper-V