商业源码 linux配置ntp时钟源
(一)确认ntp的安装
1)确认是否已安装ntp
命令rpm –qa | grep ntp
若只有ntpdate而未见ntp,则需删除原有ntpdate。如:
ntpdate-426p5-22el7_0x86_64
fontpackages-filesystem-144-8el7noarch
python-ntplib-032-1el7noarch
2)删除已安装ntp
命令yum –y remove ntpdate-426p5-22el7x86_64
3)重新安装ntp
命令yum –y install ntp
(二)配置ntp服务
1)修改所有节点的/etc/ntpconf
命令vi /etc/ntpconf
内容
restrict 19216863 nomodify notrap nopeer noquery //当前节点IP地址
restrict 19216862 mask 2552552550 nomodify notrap //集群所在网段的网关(Gateway),子网掩码(Genmask)
2)选择一个主节点,修改其/etc/ntpconf
命令vi /etc/ntpconf
内容在server部分添加一下部分,并注释掉server 0 ~ n
server 12712710
Fudge 12712710 stratum 10
3)主节点以外,继续修改/etc/ntpconf
命令vi /etc/ntpconf
内容在server部分添加如下语句,将server指向主节点。
server 19216863
Fudge 19216863 stratum 10
===修改前===
image
===修改后===
节点1(19216863):
image
节点2(19216864):
image
节点3(19216865):
image
(三)启动ntp服务、查看状态
1)启动ntp服务
命令service ntpd start
2)查看ntp服务器有无和上层ntp连通
命令ntpstat
image
查看ntp状态时,可能会出现如下所示情况
① unsynchronised time server re-starting polling server every 8 s
image
② unsynchronised polling server every 8 s
image
这种情况属于正常,ntp服务器配置完毕后,需要等待5-10分钟才能与/etc/ntpconf中配置的标准时间进行同步。
等一段时间之后,再次使用ntpstat命令查看状态,就会变成如下正常结果:
image
3)查看ntp服务器与上层ntp的状态
命令ntpq -p
image
remote:本机和上层ntp的ip或主机名,“+”表示优先,“”表示次优先
refid:参考上一层ntp主机地址
st:stratum阶层
when:多少秒前曾经同步过时间
poll:下次更新在多少秒后
reach:已经向上层ntp服务器要求更新的次数
delay:网络延迟
offset:时间补偿
jitter:系统时间与bios时间差
4)查看ntpd进程的状态
命令watch "ntpq -p"
终止按 Ctrl+C 停止查看进程。
image
第一列中的字符指示源的质量。星号 ( ) 表示该源是当前引用。
remote:列出源的 IP 地址或主机名。
when:指出从轮询源开始已过去的时间(秒)。
poll:指出轮询间隔时间。该值会根据本地时钟的精度相应增加。
reach:是一个八进制数字,指出源的可存取性。值 377 表示源已应答了前八个连续轮询。
offset:是源时钟与本地时钟的时间差(毫秒)。
(四)设置开机启动
命令chkconfig ntpd on
(五)从其他博客的一些参考摘录
===/etc/ntpconf 配置内容===
[
复制代码
](javascript:void(0); "复制代码")
<pre style="margin: 0px; padding: 0px; white-space: pre-wrap; word-wrap: break-word; font-family: "Courier New" !important; font-size: 12px !important;"># 1 先处理权限方面的问题,包括放行上层服务器以及开放局域网用户来源:
restrict default kod nomodify notrap nopeer noquery <==拒绝 IPv4 的用户
restrict -6 default kod nomodify notrap nopeer noquery <==拒绝 IPv6 的用户
restrict 22013015871 <==放行 tockstdtimegovtw 进入本 NTP 的服务器
restrict 5912419683 <==放行 tickstdtimegovtw 进入本 NTP 的服务器
restrict 5912419684 <==放行 timestdtimegovtw 进入本 NTP 的服务器
restrict 127001 <==底下两个是默认值,放行本机来源
restrict -6 ::1 restrict 1921681000 mask 2552552550 nomodify <==放行局域网用户来源,或者列出单独IP
2 设定主机来源,请先将原本的 [0|1|2]centospoolntporg 的设定批注掉:
server 22013015871 prefer <==以这部主机为最优先的server
server 5912419683 server 5912419684 # 3默认的一个内部时钟数据,用在没有外部 NTP 服务器时,使用它为局域网用户提供服务:
server 12712710 # local clock
fudge 12712710 stratum 10 # 4预设时间差异分析档案与暂不用到的 keys 等,不需要更动它:
driftfile /var/lib/ntp/drift
keys /etc/ntp/keys </pre>
[
复制代码
](javascript:void(0); "复制代码")
===restrict选项格式===
restrict [ 客户端IP ] mask [ IP掩码 ] [参数]
“客户端IP” 和 “IP掩码” 指定了对网络中哪些范围的计算机进行控制,如果使用default关键字,则表示对所有的计算机进行控制,参数指定了具体的限制内容,常见的参数如下:
◆ ignore:拒绝连接到NTP服务器
◆ nomodiy: 客户端不能更改服务端的时间参数,但是客户端可以通过服务端进行网络校时。
◆ noquery: 不提供客户端的时间查询
◆ notrap: 不提供trap远程登录功能,trap服务是一种远程时间日志服务。
◆ notrust: 客户端除非通过认证,否则该客户端来源将被视为不信任子网 。
◆ nopeer: 提供时间服务,但不作为对等体。
◆ kod: 向不安全的访问者发送Kiss-Of-Death报文。
===server选项格式===
server host [ key n ] [ version n ] [ prefer ] [ mode n ] [ minpoll n ] [ maxpoll n ] [ iburst ]
其中host是上层NTP服务器的IP地址或域名,随后所跟的参数解释如下所示:
◆ key: 表示所有发往服务器的报文包含有秘钥加密的认证信息,n是32位的整数,表示秘钥号。
◆ version: 表示发往上层服务器的报文使用的版本号,n默认是3,可以是1或者2。
◆ prefer: 如果有多个server选项,具有该参数的服务器有限使用。
◆ mode: 指定数据报文mode字段的值。
◆ minpoll: 指定与查询该服务器的最小时间间隔为2的n次方秒,n默认为6,范围为4-14。
◆ maxpoll: 指定与查询该服务器的最大时间间隔为2的n次方秒,n默认为10,范围为4-14。
◆ iburst: 当初始同步请求时,采用突发方式接连发送8个报文,时间间隔为2秒。
===查看网关方法===
命令1route -n
命令2ip route show
命令3netstat -r
===层次(stratum)===
stratum根据上层server的层次而设定(+1)。
对于提供network time service provider的主机来说,stratum的设定要尽可能准确。
而作为局域网的time service provider,通常将stratum设置为10
image
0层的服务器采用的是原子钟、GPS钟等物理设备,stratum 1与stratum 0 是直接相连的,
往后的stratum与上一层stratum通过网络相连,同一层的server也可以交互。
ntpd对下层client来说是service server,对于上层server来说它是client。
ntpd根据配置文件的参数决定是要为其他服务器提供时钟服务或者是从其他服务器同步时钟。所有的配置都在/etc/ntpconf文件中。
[上传失败(image-f2dcb9-1561634142658)]
===注意防火墙屏蔽ntp端口===
ntp服务器默认端口是123,如果防火墙是开启状态,在一些操作可能会出现错误,所以要记住关闭防火墙。ntp采用的时udp协议
sudo firewall-cmd --zone=public --add-port=123/udp --permanent
===同步硬件时钟===
ntp服务,默认只会同步系统时间。
如果想要让ntp同时同步硬件时间,可以设置/etc/sysconfig/ntpd文件,
在/etc/sysconfig/ntpd文件中,添加SYNC_HWCLOCK=yes这样,就可以让硬件时间与系统时间一起同步。
允许BIOS与系统时间同步,也可以通过hwclock -w 命令。
===ntpd、ntpdate的区别===
下面是网上关于ntpd与ntpdate区别的相关资料。如下所示所示:
使用之前得弄清楚一个问题,ntpd与ntpdate在更新时间时有什么区别。
ntpd不仅仅是时间同步服务器,它还可以做客户端与标准时间服务器进行同步时间,而且是平滑同步,
并非ntpdate立即同步,在生产环境中慎用ntpdate,也正如此两者不可同时运行。
时钟的跃变,对于某些程序会导致很严重的问题。
许多应用程序依赖连续的时钟——毕竟,这是一项常见的假定,即,取得的时间是线性的,
一些操作,例如数据库事务,通常会地依赖这样的事实:时间不会往回跳跃。
不幸的是,ntpdate调整时间的方式就是我们所说的”跃变“:在获得一个时间之后,ntpdate使用settimeofday(2)设置系统时间,
这有几个非常明显的问题:
一这样做不安全。
ntpdate的设置依赖于ntp服务器的安全性,攻击者可以利用一些软件设计上的缺陷,拿下ntp服务器并令与其同步的服务器执行某些消耗性的任务。
由于ntpdate采用的方式是跳变,跟随它的服务器无法知道是否发生了异常(时间不一样的时候,唯一的办法是以服务器为准)。
二这样做不精确。
一旦ntp服务器宕机,跟随它的服务器也就会无法同步时间。
与此不同,ntpd不仅能够校准计算机的时间,而且能够校准计算机的时钟。
三这样做不够优雅。
由于是跳变,而不是使时间变快或变慢,依赖时序的程序会出错
(例如,如果ntpdate发现你的时间快了,则可能会经历两个相同的时刻,对某些应用而言,这是致命的)。
因而,唯一一个可以令时间发生跳变的点,是计算机刚刚启动,但还没有启动很多服务的那个时候。
其余的时候,理想的做法是使用ntpd来校准时钟,而不是调整计算机时钟上的时间。
NTPD在和时间服务器的同步过程中,会把BIOS计时器的振荡频率偏差——或者说Local Clock的自然漂移(drift)——记录下来。
这样即使网络有问题,本机仍然能维持一个相当精确的走时。
===国内常用NTP服务器地址及IP===
2107214544 (国家授时中心服务器IP地址)
133100118 日本 福冈大学
time-anistgov 12961528 NIST, Gaithersburg, Maryland
time-bnistgov 12961529 NIST, Gaithersburg, Maryland
time-atimefreqbldrdocgov 1321634101 NIST, Boulder, Colorado
time-btimefreqbldrdocgov 1321634102 NIST, Boulder, Colorado
time-ctimefreqbldrdocgov 1321634103 NIST, Boulder, Colorado
utcnistcoloradoedu 12813814044 University of Colorado, Boulder
timenistgov 1924324418 NCAR, Boulder, Colorado
time-nwnistgov 131107110 Microsoft, Redmond, Washington
nist1symmetricomcom 69259613 Symmetricom, San Jose, California
nist1-dcglasseycom 216200938 Abovenet, Virginia
nist1-nyglasseycom 208184499 Abovenet, New York City
nist1-sjglasseycom 20712698204 Abovenet, San Jose, California
nist1aol-catruetimecom 20720081113 TrueTime, AOL facility, Sunnyvale, California
nist1aol-vatruetimecom 642369653 TrueTime, AOL facility, Virginia
————————————————————————————————————
ntpsjtueducn 2021202101 (上海交通大学网络中心NTP服务器地址)
s1atimeeducn 北京邮电大学
s1btimeeducn 清华大学
s1ctimeeducn 北京大学
s1dtimeeducn 东南大学
s1etimeeducn 清华大学
s2atimeeducn 清华大学
s2btimeeducn 清华大学
s2ctimeeducn 北京邮电大学
s2dtimeeducn 西南地区网络中心
s2etimeeducn 西北地区网络中心
s2ftimeeducn 东北地区网络中心
s2gtimeeducn 华东南地区网络中心
s2htimeeducn 四川大学网络管理中心
s2jtimeeducn 大连理工大学网络中心
s2ktimeeducn CERNET桂林主节点
s2mtimeeducn 北京大学</pre>
Linux自带了ntp服务 -- /etc/initd/ntpd,这个服务不仅可以设置让本机和某台/某些机器做时间同步,他本身还可以扮演一个time server的角色,让其他机器和他同步时间。
配置文件就是/etc/ntpconf。
为了测试,设置让node2 -- 1921681102和node1 -- 1921681101做时间同步。
第一步,
node1做time server,node1本身不和其他机器时间同步,就是取本地时间。
所以,先把node1机器的时间调准了:
[root@node1 ~]date -s 08/03/2011
[root@node1 ~]date -s 11:12:00
[root@node1 ~]clock -w
[root@node1 ~]hwclock --systohc
后两个命令是把设置的时间写到硬件时间中去(也就是CMOS里面的时间)。
第二步,
然后将node1配置成一个time server,修改/etc/ntpconf,
[root@node1 ~]vi /etc/ntpconf
其他的配置不怎么需要改,只需要关注restrict的配置:
1 注释掉原来的restrict default ignore这一行,这一行本身是不响应任何的ntp更新请求,其实也就是禁用了本机的ntp server的功能,所以需要注释掉。
2 加入:restrict 19216810 mask 2552552550 -- 让19216810/24网段上的机器能和本机做时间同步
3 这样就可以了,记得下面的:
server 12712710 # local clock
fudge 12712710 stratum 10
这两行需要,这是让本机的ntpd和本地硬件时间同步。
当然,我们也可以添加server xxxxxxxxxxxx,让他和其他的time server时间同步。
4 /etc/initd/ntpd restart
5 chkconfig ntpd on
6 修改iptables配置,将tcp和udp 123端口开放,这是ntp需要的端口,在/etc/services中可以查到这个端口。
第三步,
这样node1就成为一台time server了,现在我们配置node2这台机器,也是修改/etc/ntpconf ,
[root@node2 ~]vi /etc/ntpconf
1 restrict default ignore这行保留为注释状态,因为sales不需要做time server
2 注释掉server 12712710, fudge 12712710 stratum 10这两行,因为这台机器不需要和本地硬件时钟同步了。
3 加入server 1921681101这行,和node1机器同步。
这样就OK了。看看时间,已经和node1同步了。往后默认配置好像是5分钟和time server同步一次。ntpdate命令是显式的和某台机器做时间同步,以前将ntpdate放到crontab中定期同步也是可以的,但是既然ntpd本身就可以做这个时间
第四步,将ntpdate放到crontab中定期步也是可以的
[root@node2 ~]#vi ntpupdatesh
/usr/sbin/ntpdate 1921681101
[root@node2 ~]#chmod 755 ntpupdatesh
[root@node2 ~]#crontab -e
/1 /root/ntpupdatesh
[root@node2 ~]#/etc/initd/crond restart
至少需要两台linux服务器,其中一台是NTP Server, 另一台是NTP client
Linux NTP配置详解 (Network Time Protocol)
LINUX绝大多数的发行版本都已经自带了NTP程序,只须按以下配置即可。
相关配置文件
/etc/ntpconf
NTP服务的主要配置文件,所有的更改全部在这里。
/usr/share/zoneinfo
由 tzdata 所提供,规定了各主要时区的时间设定文件,例如中国的时区设置文件是/usr/share/zoneinfo/Asia/Chongqing。
/etc/sysconfig/clock
Linux的主要时区设定文件。每次启动后Linux操作系统会自动读取这个文件来设定系统预设要显示的时间。如这个文件内容为”ZONE=Asia/Chongqing”,则表示Linux操作系统的时间设定使用/usr/share/zoneinfo/Asia/Chongqing这个文件。
/etc/localtime
本地系统的时间设定文件,如果clock文件中规定了使用的时间设定文件为/usr/share/zoneinfo/Asia/Chongqing,Linux操作系统就会将Chongqing那个文件复制一份为/etc/localtime,所以系统的时间显示就会以Chongqing那个时间设定文件为准。
相关的命令
/bin/date
这个我们最经常使用了,更改及输出日期与时间命令。
/sbin/hwclock
使用hwclock才能将修改过后的时间写入BIOS 。
/usr/sbin/ntpd
NTP服务的守护进程,配置文件为/etc/ntpconf 。
/usr/sbin/ntpdate
用来连接NTP服务器命令,比如ntpdate 192168651 。
/usr/sbin/ntpq
NTP查询命令。
设置NTP服务器
就如前边说的NTP配置文档只有一个 /etc/ntpconf,看看我的ntpconf
#红字的是我添加的,其它为默认!
grep -Ev '^$|^#' /etc/ntpconf
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
restrict 13110713100 //允许该NTP服务器进入
restrict 11480811 //没有任何何参数的话,这表示『该 IP或网段不受任何限制』
restrict 2021181199
restrict 127001
restrict -6 ::1
restrict 19216800 mask 25525500 nomodify //该网段可以进行校时
restrict 0000 mask 0000 notrust //拒绝没有认证的用户端
server time-nwnistgov prefer //prefer 该服务器优先
server 0rhelpoolntporg
server 1rhelpoolntporg
server 2rhelpoolntporg
fudge 12712710 stratum 10
driftfile /var/lib/ntp/drift
keys /etc/ntp/keys
别忘了启动NTP服务器
/etc/initd/ntp start
客户端测试
对了客户端只需要是用ntpdate命令即可,192168651 为ntp 服务器ip 地址,就这么就简单!
相关命令
ntpstat //列出我们的NTP 服务器是否与上层连接。
synchronised to NTP server (13110713100) at stratum 2
time correct to within 461 ms
polling server every 64 s
ntpq -p //列出目前我们的NTP服务器 与上层NTP服务器 的状态, 代表目前正在使用的上层 NTP服务器
remote refid st t when poll reach delay offset jitter
==============================================================================
13110713100 ACTS 1 u 30 64 67 237165 1539 20382
2021181199 20211231197 2 u 33 64 63 163526 91844 10208
上边只是简单设置,没有考虑安全方面如认证等等,如需更详细请参考这里。
权限管理使用 restrict 公式如下:
restrict IP mask [参数] / restrict 19216800 mask 25525500 nomodify
其中参数主要有底下这些:
ignore:拒绝所有类型的NTP的连线;
nomodfiy:用户端不能使用NTPC与ntpq这两支程式来修改伺服器的时间参数,但使用者端仍可透过这部主机来进行网路校时的;
noquery:用户端不能够使用ntpq,NTPC等指令来查询发表伺服器,等于不提供的NTP的网路校时幂;
notrap:不提供陷阱这个远端事件邮箱(远程事件日志)的功能。
notrust:拒绝没有认证的用户端。
0条评论