https://doc.ycharbi.fr/index.php?action=history&feed=atom&title=ChronyChrony - Historique des versions2026-04-25T14:28:21ZHistorique des versions pour cette page sur le wikiMediaWiki 1.40.0https://doc.ycharbi.fr/index.php?title=Chrony&diff=1521&oldid=prevYcharbi : Voir modifs2024-04-24T15:46:24Z<p>Voir modifs</p>
<a href="https://doc.ycharbi.fr/index.php?title=Chrony&diff=1521&oldid=1520">Voir les modifications</a>Ycharbihttps://doc.ycharbi.fr/index.php?title=Chrony&diff=1520&oldid=prevYcharbi : Écriture d'une première ébauche à compléter plus tard car il est tard2024-04-21T22:31:31Z<p>Écriture d'une première ébauche à compléter plus tard car il est tard</p>
<p><b>Nouvelle page</b></p><div>[[Category:Service_temps]]<br />
<br />
{{chantier}}<br />
<br />
[https://chrony-project.org Chrony] est, comme sont homologue [[Ntp - linux|éponyme]], une implémentation libre du protocole [https://fr.wikipedia.org/wiki/Network_Time_Protocol NTP] (Network Time Protocol). Il peut synchroniser l'horloge système avec d'autres serveurs ''NTP'', des horloges de référence matériel comme des récepteurs GPS ainsi que manuellement. L'outil embarque un client permettant la synchronisation avec des sources externes ainsi qu'un serveur pouvant accepter les requêtes de temps de clients autorisés.<br />
<br />
''Chrony'' supporte, depuis la version 4.0, le protocole [https://datatracker.ietf.org/doc/rfc8915/ NTS] (Network Time Security) permettant d'authentifier les serveurs via une couche de sécurité [https://fr.wikipedia.org/wiki/Transport_Layer_Security TLS] (Transport Layer Security).<br />
<br />
{{info|La présente documentation est réalisée sous ''GNU/Linux Debian 12'' et ''chrony 4.3-2''.}}<br />
<br />
=Serveur=<br />
==Installation==<br />
Installation du service<br />
apt install --no-install-recommends chrony<br />
<br />
==Configuration de base==<br />
L'outil se base sur un unique fichier <code>/etc/chrony/chrony.conf</code> (changeable via un <code>-f</code>) pouvant être atomisé dans <code>/etc/chrony/conf.d/</code>. Les directives des serveurs peuvent quand à elle (et elles seules) être atomisées dans <code>/etc/chrony/sources.d/</code>. Il n'est cependant généralement intéressant d'utiliser cette atomicité que dans des configurations complexes.<br />
<br />
Voici le contenu de ce fichier pour une configuration simple en mode serveur pour deux réseaux clients<br />
<br />
<syntaxhighlight lang="bash"><br />
# Bienvenu dans le fichier de configuration de chrony. Veuillez voir la page de<br />
# manuel chrony.conf(5) pour plus d'informations sur les directives utilisables.<br />
<br />
# Inclure les fichiers de configurations trouvés dans /etc/chrony/conf.d.<br />
confdir /etc/chrony/conf.d<br />
<br />
# Utiliser les serveurs de temps de Debian.<br />
# Use Debian vendor zone.<br />
pool 2.debian.pool.ntp.org iburst<br />
<br />
# Utiliser les serveurs de temps fournis par les baux DHCP.<br />
# sourcedir /run/chrony-dhcp<br />
<br />
# Utiliser les serveurs NTP trouvés dans /etc/chrony/sources.d.<br />
sourcedir /etc/chrony/sources.d<br />
<br />
# Cette directive spécifie la localisation du fichier contenant le couple ID/clé<br />
# pour l'authentification NTP.<br />
keyfile /etc/chrony/chrony.keys<br />
<br />
# Cette directive spécifie le fichier dans lequel chrony va stocker les<br />
# informations de ratios.<br />
driftfile /var/lib/chrony/chrony.drift<br />
<br />
# Sauvegarder les les clés et cookies du protocole NTS dans /var/lib/chrony.<br />
ntsdumpdir /var/lib/chrony<br />
<br />
# Dé-commenter la ligne suivant pour activer la journalisation.<br />
#log tracking measurements statistics<br />
<br />
# Localisation des fichiers de journaux<br />
logdir /var/log/chrony<br />
<br />
# Arrêter de considérer la source RTC matériel comme fiable au bout du seuil définit.<br />
maxupdateskew 100.0<br />
<br />
# Cette directive active la synchronisation RTC du noyau (toute les 11 minutes).<br />
# Notez l'incompatibilité de cette option avec la directive 'rtcfile'.<br />
rtcsync<br />
<br />
# Ajuster d'une traite l'horloge au lieu de modifier la vitesse du temps pour<br />
# ajuster le décalage lorsque celui-ci est supérieur à 1 seconde mais<br />
# seulement pour les 3 premières synchronisations.<br />
makestep 1 3<br />
<br />
# Obtenir le décalage TAI-UTC et les secondes intercalaires à partir de la<br />
# base de données tz du système. Cette directive doit être commentée lors de<br />
# l'utilisation de sources de temps qui utilisent des secondes intercalaires.<br />
leapsectz right/UTC<br />
<br />
# Désactiver l'usage de chronyc via IP (port par défaut : UDP/323)<br />
cmdport 0<br />
<br />
# Autoriser les clients NTP des réseaux suivants à se synchroniser au serveur<br />
allow 192.168.1.0/24<br />
allow 10.0.2.0/23<br />
</syntaxhighlight><br />
<br />
Les directives <code>allow</code> sont responsables du comportement en mode serveur de ''Chrony''. En l'absence de paramètre, tous les clients sont autorisés à requêter le serveur (''NTP'' publique'').<br />
<br />
==Authentification==<br />
Deux modes d'authentification sont pris en charge :<br />
* authentification ''NTP''<br />
* NTS<br />
<br />
===Authentification NTP===<br />
<br />
<br />
===NTS===<br />
''NTS'' est un mécanisme normalisé en septembre 2020 ([https://www.rfc-editor.org/info/rfc8915 RFC 8915]) permettant d’utiliser ''TLS'' pour assurer l'authentification cryptographique du mode client-serveur du ''NTP''.<br />
<br />
Génération des clés du serveur<br />
mkdir /etc/chrony/nts<br />
openssl req -x509 -nodes -days 5000 -newkey rsa:4096 -out /etc/chrony/nts/chrony.crt -keyout /etc/chrony/nts/chrony.key -subj "/CN=nts1.exemple.fr/"<br />
<br />
Le service s'exécutant avec des privilèges restreints, il est important que l'utilisateur l'exécutant est la propriété sur les éléments générés<br />
chown _chrony:_chrony /etc/chrony/nts/chrony.*<br />
<br />
Il convient enfin d'ajouter les directive demandant au serveur de les utiliser dans la configuration du service<br />
<br />
<syntaxhighlight lang="bash"><br />
cat > /etc/chrony/chrony.conf << _EOF_<br />
<br />
# Configuration du NTS<br />
ntsservercert /etc/chrony/nts/chrony.crt<br />
ntsserverkey /etc/chrony/nts/chrony.key<br />
_EOF_<br />
</syntaxhighlight><br />
<br />
=Client=<br />
<br />
=Sources=<br />
* Pages de manuelles https://chrony-project.org/documentation.html :<br />
** https://chrony-project.org/doc/4.4/chrony.conf.html<br />
** https://chrony-project.org/doc/4.4/chronyd.html<br />
** https://chrony-project.org/doc/4.4/chronyc.html<br />
* https://ubuntu.com/server/docs/how-to-serve-the-network-time-protocol-with-chrony<br />
* https://mpolinowski.github.io/docs/DevOps/Linux/2022-09-29--build-an-chrony-nts-client-from-source/2022-09-29/<br />
* https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/9/html/configuring_basic_system_settings/using-chrony-to-configure-ntp_configuring-basic-system-settings<br />
* https://www.it-connect.fr/ntp-la-synchronisation-temporelle-avec-chrony/#V_Securisation_de_chrony</div>Ycharbi