時刻同期を行うユーザを指定するにはIPアドレスでの制限が可能です。
CVE-2013-5211の脆弱性対策には、モニタリング機能(※1,※2)の停止を行う必要があります。
以下の設定手順に従い対応してください。
(※1)モニタリングの機能(monlist)は過去に時刻同期としてクライアントとの
通信履歴のアドレスを返却する機能です。時刻同期には必須の機能ではありません。
(※2)2014/2月以後にてモニタリングの機能(monlist)を無効にするアップデートを順次公開しています
■設定手順
1)telnetやsshでExpress5800/LB または InterSecVM/LBのコンソールに管理者(root)でログインします。
2)viエディタなどで「/etc/ntp.conf」を開き、★の設定を追加し、上書き保存します。
-------------------------------------------------------
★disable monitor
#wbmc_start
server xxx.xxx.xxx.xxx(InterSec/LBが時刻同期を行っているNTPサーバのIPアドレスまたはホスト名)
#wbmc_end
driftfile /etc/ntp/drift
★restrict default ignore
★restrict -6 default ignore
★restrict 127.0.0.1
★restrict xxx.xxx.xxx.xxx(InterSec/LBが時刻同期を行っているNTPサーバのIPアドレスまたはホスト名) mask 255.255.255.255 nomodify noquery notrap
-------------------------------------------------------
InterSec/LBのNTPサービスをNTPサーバとして時刻同期を行っているマシンが存在する場合は、上記に加え下記設定も追加し時刻同期を許可します。
-------------------------------------------------------
disable monitor
#wbmc_start
<中略>
#wbmc_end
driftfile /etc/ntp/drift
restrict default ignore
restrict -6 default ignore
restrict 127.0.0.1
restrict (CSが時刻同期を行っているNTPサーバのIPアドレスまたはホスト名) mask 255.255.255.255 nomodify noquery notrap
★restrict (許可するマシンのIPアドレスまたはネットワーク) mask (ネットワークマスク) nomodify nopeer
-------------------------------------------------------
3)設定反映のために、下記画面の「時刻調整(ntpd)」の左にある「起動」ボタンを押し、NTPサービスを起動させてください。
Management Console > サービス 画面
Express5800/LB300f
Express5800/LB300g
Express5800/LB400g
Express5800/LB400h
Express5800/R110d-1M(LB400h2)
InterSecVM/LB V1.0
InterSecVM/LB V2.0 for VMware,InterSecVM/LB V2.0 for Hyper-V
InterSecVM/LB V2.1 for Hyper-V
InterSecVM/LB V3.0 for VMware,InterSecVM/LB V3.0 for Hyper-V