AIX NTP 서버 설정

GENERAL/NTP2020. 1. 22. 09:06
반응형

1. NTP 설명

  ▪ NTP(network time protocol)는 UDP Port 123번을 사용.

  ▪ UDP Port 123가 이 포트가 open되어 있지 않으면 NTP 서버와 동기화할 수 없음.

  ▪ 서버 ⬌ 클라이언트간 시간 동기화는 8~10분 정도가 소요됨.

2. NTP 서버 구성

  ▪ NTP(network time protocol)는 UDP Port 123번을 사용.

  ▪ UDP Port 123가 이 포트가 open되어 있지 않으면 NTP 서버와 동기화할 수 없음.

  ▪ 서버 ⬌ 클라이언트간 시간 동기화는 8~10분 정도가 소요됨.

 

1) 현재 Timezone 및 "KORST-9" 로 변경

  ▪ 초기 설치시 : 별도의 Timezone 설정을 하지 않았따면, 북아메리카 Timezone (CDT)로 설정되어 있음.

  ▪ 국내에서는 "KORST-9" Timezone으로 설정하는 것이 일반적임.

  ▪ Timezone을 변경 후, 재기동 필요.

        일정시간이 지나면, "date" 명령어상에서는 변경된 것으로 보이나, 시스템 전체에 적용하기 위해서는 AIX 운영체제 재기동 필요.

 

 

1
2
3
4
5
6
7
8
[root@ntp_server:/# date
Sat Mar 14 01:01:43 CDT 2015
 
[root@ntp_server:/# chtz "KORST-9"
[root@ntp_server:/# cat /etc/environment | grep -i tz
TZ=KORST-9
 
[root@ntp_server:/# shutdown -Fr
  

 

2) NTP 서버 설정

1
2
3
4
5
6
7
8
[root@ntp_server:/] vi /etc/ntp.conf 
#broadcastclient
server ntp.kornet.net prefer   #선호하는 NTP Server IP
server 127.127.1.0  # NTP Server 자기 자신의 Local clock을 참조
 
fudge 127.127.1.0 stratum 0 # values for local clock
driftfile /etc/ntp.drift # where to keep drift data
tracefile /etc/ntp.trace
 cs

 

▪ server ntp.kornet.net prefer : "ntp.kornet.net" Time server를 참조.

        끝부분에 prefer를 설정하면, 설정된 여러 Time server 중 가장 우선순위로 시간동기화를 실행.

▪ server 127.127.1.0 : 운영체제의 Local Clock 기준으로 동기화.

        단, "ntp.kornet.net"이 우선순위가 높으므로, 선호되는 Time server가 통신이 안될 시, 그 다음인 Local Clock을 참조

 

3) NTP daemon 시작

만약, 참조하는 Time server이 현재 시간보다 과거시점으로 시간이 변경되었을 때, 해당 Time server를 참조하는 클라이언트 측에서 시간이 뒤로 돌아가는 것을 방지하기 위해서, Daemon 시작시, -x option을 준다.

        Tme backward 방지, 클라이언트 시간흐름을 조절하여 동기화

 

1
2
3
4
5
6
7
8
9
10
11
12
13
[root@ntp_server:/] startsrc -s xntpd -"-x" 
0513-059 The xntpd Subsystem has been started. Subsystem PID is 6946978.
 
[root@ntp_server:/] lssrc -|grep -i xntpd 
  xntpd            tcpip                        active
 
[root@ntp_server:/] ntpq -np   
 
      remote           refid      st  t when poll reach   delay   offset    disp 
================================================================================ 
* ntp.kornet.net       0.0.0.0     16  -  -   64    0     0.00    0.000 16000.0 
  127.127.1.0          127.127.1.0  3  l  10  64   17     0.00    0.000 1885.01        
 
 
  

 

▪ /etc/rc.tcpip ➟ xntpd 항목 수정

        재부팅 후에 NTP daemon이 기동될 때도 "-x" option 적용 설정.

1
2
3
[root@ntp_server:/] vi /etc/rc.tcpip
# Start up Network Time Protocol(NTP) daemon
start /usr/sbin/xntpd "$src_running" "-x"
  

 

 

반응형

'GENERAL > NTP' 카테고리의 다른 글

AIX NTP Client 구성  (0) 2021.03.30
setclock 명령어로 시간 동기화  (0) 2015.03.13
NTP의 필요성 및 취약점  (0) 2015.03.13
Posted by 정병욱

보안로그

GENERAL/Security2018. 10. 3. 23:09
반응형


su 명령이 실행되면 /var/adm/sulog에 다음 항목의 switch user의 기록이 남는다

- su 명령을 실행한 날짜와 시간

- su 명령이 실행된 터미널

- 그 명령을 실행한 계정

- 사용자가 변경을 시도한 계정


만약 권한 없는 su를 시도한다면 해킹을 의심해봐야 한다


1
2
3
4
5
6
7
8
9
# cat /var/adm/sulog
 
SU 07/07 18:45 + pts/2 approot-webroot
SU 07/08 13:32 - pts/2 webroot-root
SU 07/10 15:23 + pts/4 root-toms
SU 03/12 10:58 + pts/9 root-indigo
SU 05/31 14:25 + pts/5 root-test1
SU 05/31 17:11 + pts/5 root-webroot
SU 06/23 15:26 + pts/5 webroot-search
cs



보안 로그


사용자가 로그인에 성공하면 로그인 기록이 /var/adm/wtmp에 기록되고, 현재 로그인 되어 있는 사용자는 /etc/utmp에 기록된다. 

이들 파일은 바이너리 파일로 해당 내용을 보기 위해서는 who 명령어를 사용한다


1
2
3
4
5
6
7
8
9
10
11
12
13
# who /etc/utmp
 
root        pts/1        4월 30일 09:2   (mycom)
root        pts/4        4월 30일 09:3   (mycom)
root        pts/5        4월 30일 09:5   (172.22.*.*)
 
 
 
# who /var/adm/wtmp
 
fedev       ftp1867934   4월  1일 09:1   (172.22.*.*)
root        pts/1        4월  1일 09:1   (mycom)
fidev       ftp1867936   4월  1일 09:2   (172.22.*.*)
cs



반응형
저작자표시 비영리 변경금지
Posted by 정병욱

Login이 안되는 경우

GENERAL/Login2015. 6. 1. 22:20
반응형

1. 5가지 이유

⦁ 계정이 잠겨있을 때

⦁ 특정 계정의 패스워드 입력을 여러번 잘못 입력했을 때

⦁ 사용자 최대 동시 로그인 수치를 넘었을 때

⦁ 해당 계정의 속성 중, rlogin=false 로 되어있을 때

⦁ 원격접속데몬이 비활성화 상태일 때


2. 5가지 이유

1) 계정이 잠겨있을 때

⦁ 관리자에 의해 계정을 잠궈놨을 경우 

3004-301 Your account has been locked; please see the system administrator.              


⦁ 계정Lock 해제 하는 방법
    # chuser account_locked=false <user>
    
2) 특정 계정의 패스워드를 여러번 잘못 입력했을 때
 /etc/security/user에 등록한 loginretires=<Value> 값 이상의 unsuccessful_login_count가 되었을 경우, 해당하는 계정으로 접속할 수 없게 된다.

3004-303 There have been too many unsuccessful login attempts; please see

        the system administrator.


 Unsuccessful_login_count 초기화
    # chuser unsuccessful_login_count=0 <user>
  
3) 사용자 최대 동시 로그인 수치를 넘었을 때
⦁ 사용자의 최대 동시 세션 수의 제한은 /etc/security/user에서 제어할 수 있다.
⦁ 전체 사용자의 최대 동시 세션 수를 제한없음(unlimited)로 설정하고 싶으면, default stanza의 maxulogs 항목을 0으로 설정해주면 된다.
⦁ 특정 사용자만 최대 동시 세션 수를 제한하고 싶은 경우, 해당 계정의 stanza에 maxulogs 항목을 지정해주면 된다.

 [ibm_aix:root] / > lsuser -f root

        pwdchecks=

        dictionlist=

        maxulogs=3  

 특정 계정의 최대 동시 세션 수를 제한없음으로 설정.
    # chuser maxulogs=<value> <user>
    
4) 해당 계정의 속성 중, rlogin=flase 로 되어있을 때
⦁ /etc/security/user 파일에 현재 접속하고자 하는 계정의 stanza에 rlogin이 false로 지정되어 있다면, telnet으로 접속을 할 수 없다.

 [ibm_aix:root] / > lsuser -f root |grep rlogin

        rlogin = false 


⦁ telnet 접속 허용 설정
    # chuser rlogin=true <user>

5) 원격접속데몬이 비활성화 상태일 때
⦁ 대표적인 원격접속데몬은 telnet과 ssh가 있다. 만약 telnet과 ssh 데몬이 inactive(비활성화)상태이면, 당연히 원격지에서 접속이 안될 것이다. 아래 명령어를 통해서, 데몬을 상태를 확인할 수 있다.

1) telnet 상태 확인

 [ibm_aix:root] / > lssrc -ls inetd |grep telnetd           <- telnet 데몬 확인

   telnet       /usr/sbin/telnetd        telnetd -a               active


2) ssh 상태 확인

 [ibm_aix:root] / > lssrc -a |grep sshd                    <- ssh 데몬 확인

    sshd             ssh              7209074      active


 1) telnet 같은 경우, inetd 데몬에 의해 제어되기때문에 만약 위의 검색 방법으로 조회가 되지 않는다면, /etc/inetd.conf에 telnet 부분이 주석처리되어있는 지 확인해봐야 한다. 주석처리 이후에,  
   #refresh -s inetd  or stopsrc -s inetd -> startsrc -s inetd 
     를 통해 inetd 데몬을 재기동해줘야 한다.

 2) ssh 데몬이 inactive 상태일 경우, startsrc -s sshd 를 통해 데몬을 활성화 해줘야 한다.


반응형
저작자표시 비영리 변경금지

'GENERAL > Login' 카테고리의 다른 글

AIX Login 절차  (0) 2015.05.15
Posted by 정병욱

티스토리툴바