Evolution #986
ouvert
serveur ntp
100%
Description
📄 Documentation – Serveur NTP interne (Ubuntu / Chrony)¶
1. Objectif¶
Déployer un serveur NTP interne servant de référence de temps unique pour l’infrastructure, basé sur Chrony, avec un firewall UFW actif et maîtrisé.
2. Environnement¶
| Élément | Valeur |
|---|---|
| OS | Ubuntu Server |
| Service NTP | Chrony |
| Rôle | Client NTP + serveur NTP interne |
| Firewall | UFW |
| Exposition | Interne uniquement |
3. Installation Chrony¶
sudo apt update
sudo apt install chrony -y
4. Configuration Chrony¶
Fichier¶
/etc/chrony/chrony.conf
Configuration appliquée¶
# Sources NTP officielles Ubuntu
pool ntp.ubuntu.com iburst maxsources 4
pool 0.ubuntu.pool.ntp.org iburst maxsources 1
pool 1.ubuntu.pool.ntp.org iburst maxsources 1
pool 2.ubuntu.pool.ntp.org iburst maxsources 2
# Dérive de l’horloge
driftfile /var/lib/chrony/chrony.drift
# Synchronisation horloge matérielle
rtcsync
# Correction rapide au démarrage
makestep 1 3
# Gestion des leap seconds
leapsectz right/UTC
# Logs
logdir /var/log/chrony
# Réseaux autorisés à consommer le NTP
allow 172.23.2.0/24
allow 172.16.16.0/24
# Continuité de service sans Internet
local stratum 10
5. Service¶
sudo systemctl restart chrony
sudo systemctl enable chrony
Vérifications¶
chronyc tracking
chronyc sources -v
État attendu :
Stratum : 3Leap status : Normal- Offsets en microsecondes
6. Configuration Firewall (UFW)¶
Règles appliquées¶
sudo ufw allow ssh
sudo ufw allow 123/udp
sudo ufw allow 3100/tcp # Loki
sudo ufw allow 9080/tcp # Promtail
sudo ufw allow 443/tcp # UTMStack / Web
Puis :
sudo ufw enable
⚠️ WARNING – RÈGLES UFW EN PLACE (IMPORTANT)¶
⚠️ Ce serveur applique une politique UFW restrictive.
Seuls les ports listés ci-dessous sont autorisés en entrée :
Port Protocole Usage 22 TCP Administration SSH 123 UDP Service NTP 3100 TCP Réception logs Loki 9080 TCP Promtail 443 TCP Interface Web / UTMStack 👉 Tout autre port non listé est bloqué par défaut.
👉 Toute nouvelle application nécessite une mise à jour explicite des règles UFW avant mise en production.⚠️ Ne pas supprimer ou modifier ces règles sans analyse d’impact (SSH / logs / SOC).
7. Restriction NTP (bonne pratique sécurité)¶
Le service NTP est :
- ouvert au niveau UFW (UDP 123)
- restreint au niveau Chrony par réseau
Cela garantit :
- pas d’exposition NTP externe
- cohérence et sécurité
8. État final¶
| Élément | Statut |
|---|---|
| Serveur NTP opérationnel | ✅ |
| Synchronisation stable | ✅ |
| Clients internes autorisés | ✅ |
| Firewall actif | ✅ |
| Ports maîtrisés | ✅ |
| Conforme exploitation / audit | ✅ |
9. Points d’exploitation¶
- Ne jamais modifier l’heure manuellement
- Ne pas installer un second service NTP
- Vérifier périodiquement :
chronyc tracking
chronyc sources
ufw status
- Documenter toute ouverture de port supplémentaire
10. Conclusion¶
Ce serveur constitue une brique d’infrastructure fiable, simple et conforme, destinée à servir de référence temporelle interne pour l’ensemble des services.
👉 Configuration validée pour production.
Aucune donnée à afficher