NTP

Как решить эти две проблемы?

Если вопрос "как это решить", то у меня есть серьезное ощущение, что вторую никак не решить.
Первая решаема, openntpd например имеет ограничение.

>Первая решаема, openntpd например имеет ограничение.

http://www.openbsd.org/cgi-bin/man.cgi?query=ntpd.conf - не вижу.

Возможность удаленно менять время на машине - очень большая дырка. Но не могу же я позволить, чтобы время с каждым днем убегало вперед/назад...

гыыы тогда обновляй время со "своих" серверов ;)

А как мне на самом первом своем сервере обновлять? :)

Оно зашито в код, увы. Т.е. пересобрать прийдется.

А SSL'ный UDP ты уже имплементировал, нет?

>А SSL'ный UDP ты уже имплементировал, нет?

В OpenVPN SSL через UDP пускается, и?

и то, что SSL works above TCP/UDP layer. Найди NTP-over-SSL сервер и синхронизируйся на здоровье 8))) Шутник.

>Найди NTP-over-SSL сервер и синхронизируйся на здоровье

Ну так я и спрашиваю, что да как. Назови мне такие серверы. :)

Вот в этом и ирония 8)

есть такой протокол - ds/ntp

аффтар, купи сервачку гпс-приемник и бери время с него

> 1) нельзя ограничить максимальное изменение времени (например, 60 секунд);

в NTP можно устанавливать время через adjtime() и через settimeofday(), я не очень понимаю, зачем нужно ограничивать максимальную дельту времени.

> 2) нельзя использовать SSL (с проверкой подлинности сервера).

в NTPv4 есть свой протокол аутентификации на открытых ключах. Читать про autokey. В NTPv3 есть PSK-аутентификация.

>аффтар, купи сервачку гпс-приемник и бери время с него

Угу, только в серверной мобилки не берет, боюсь с GPS та же хрень будет.

>в NTP можно устанавливать время через adjtime() и через settimeofday(), я не очень понимаю, зачем нужно ограничивать максимальную дельту времени.

Чтобы при слете NTP-сервера или перехвате пакетов мне не выставили время на месяц вперед со всеми вытекающими последствиями.

Сделай traceroute xpen.3naet.4to.com и первый же хост провайдера опробуй в качестве ntp-сервера. Вероятнее всего он окажется вполне подходящим для тебя ntp-сервером. И кто там чего перехватит?

>Сделай traceroute xpen.3naet.4to.com и первый же хост провайдера опробуй в качестве ntp-сервера. Вероятнее всего он окажется вполне подходящим для тебя ntp-сервером. И кто там чего перехватит?

Соучастнеги по локалке подменят IP на рутеровский.

>Сделай traceroute xpen.3naet.4to.com и первый же хост провайдера опробуй в качестве ntp-сервера. Вероятнее всего он окажется вполне подходящим для тебя ntp-сервером. И кто там чего перехватит?

Кстати спасибо, у меня было до NTP-сервера 4 хопа, стало 2.

> Чтобы при слете NTP-сервера или перехвате пакетов мне не выставили время на месяц вперед со всеми вытекающими последствиями.

для этого ты делаешь более одного аплинка. вообще, не меньше 4. кури доки.

кстати, а если их допустим 3, и допустим такие ситуевины:

1. два дают одинаковое время, третий уходит вперед на полчаса
2. все три дают разное время ну хотя бы с разбросом +-5 минут.

внимание, вопрос: какой время будет установлено ? :)

s|какой|какое|

> а если их допустим 3

да, забыл добавить, если primary не доступен.

Если чужой сервер не поддельный, то при потере синхронизации с верхними серверами он сам перестанет отдавать тебе время.

Если все три сервера поддельные или 2 поддельные, а один нормальный, и в результате у всех трех время разное, то скорее всего твой сервер откажется синхронизироваться от такой тройки.

т.е. есть некий диапазон разброса полученного с серверов времени?

всмысле при котором время будет принято