在Guard Pro上NTP 的設定

基本上，這是Linux，直接有ntpdate可以用
不過雖然我在內網之FreeBSD可以用
ntpdate pool.ntp.org
來改時間，然而在我試Guard Pro時，我卻發現有no server suitable for synchronization found
經過詢問，前任負責人跟我說，Guard Pro上面有防火牆，是iptables；所以我要手動加入規則
allow udp 123
才可以執行（採用停下iptables, /etc/init.d/iptables stop, 之後測試通過）。所以我現在的重責大任就是要去改iptables的rule了。預定的參考書是 Linux Security Cookbook ( O'Reilly)。

另外一個撇步則是要加在crontab。本來我用crontab -l以及atq兩個命令都沒有辦法找到定時的東西，所以我以為這個定時是用別的做法（man ntpdate中有ntpdate -r rate的選項，有空看一下）。不過原負責人跟我說，是直接修改/etc/crontab；果然我在另外設定好的機器上看到
30 * * * * root run-parts /usr/sbin/synctime
的內容。至此我終於開始有信心可以設定好了…（我的信心真是脆弱啊）

歸納一下：
一、修改iptables的rule（這說不定在KB上面會有，等一下去看一下==>結果沒有，爛公司！）
二、用ntpdate直接測試
三、在/etc/crontab下設定/usr/sbin/synctime（內容可能要參考一下已經設好的）


○設定iptables的rule
在Linux Security Cookbook的第二章，recipe 2.19, 2.20, 2.21有Firewall Configuration之save/load/test，看起來很像可以直接利用的樣子
==>測試結果：可以。我用iptables-save > fw.txt，再用scp fw.txt host2:fw.txt傳到主機上；再用iptables-restore < fw.txt，就將規則套用上去了。iptables是不是會隨時偵測？立刻測試ntpdate就可以了耶…
==>怪事發生了，在我用/etc/init.d/iptables restart之後，和ntp有關的設定還有另外一個設定都不見了？？？是iptables有自己的資料庫嗎？找找去…
/etc/init.d/iptables的設定資料在/etc/sysconfig/iptables中（直接看/etc/init.d/iptables的內容就看到了），回過頭用/etc/init.d/iptables save就可以更新rule了。

○用ntpdate測試，不會在syslog中有記錄；那會不會是crontab寫進去的？
==>弄錯了，如果用ntpdate -v -s pool.ntp.org 的話就會在/var/log/messages裡面有兩行記錄；-v是version，-s就是指定採用syslog facility。就這樣。

○設定synctime
在/usr/sbin/synctime裡面看到，在UserDefined目錄下好像有設定檔的樣子，看看去…
果然是設定 NTP_SERVER="140.113.1.1"；不過我現在希望設定成 pool.ntp.org 哩。在這些config的東西弄好之後，我已經可以在command line直接下synctime，然後看/var/log/messages中的記錄確定work了。

○在/etc/crontab中加上設定（每30秒啟動一次）
驗證的話就看/var/log/messages吧