Cómo configurar la sincronización horaria NTP en Linux

Uno: NTP es el Protocolo de sincronización de hora de red, que es un protocolo utilizado para sincronizar la hora de varias computadoras en la red.

Dos: configuración del servidor NTP

2.1 Comprobar si el paquete NTP está instalado en el sistema (los sistemas Linux generalmente vienen con NTP4.2, si no está instalado, podemos usarlo directamente). el comando yum para instalarlo en línea: yum install ntp

2.2, edición del archivo de configuración del servidor NTP: vim /etc/ntp.conf

Resultado:

# @3 Nueva configuración de permisos restringir 127.127.1.0 restringir 192.168.31.0 máscara 255.255.255.0 nomodificar notrap# @3 cambios - comentar la dirección del servidor de tiempo superior #servidor 0.centos.pool.ntp.org iburst#servidor 1.centos. pool.ntp.org iburst# server ?2.centos.pool.ntp.org iburst#server 3.centos.pool.ntp.org iburst# @4 Servidor de hora nuevo-avanzado servidor 127.127.1.0 # estrato clockfudge local 127.127.1.0 10

2.3. Inicie el servidor de hora NTP: service ntpd start

2.4 Configure NTP para que se inicie automáticamente en el arranque: chkconfig ntpd on

2.5. NTP se ejecuta normalmente: netstat -tlunp | grep ntp

2.6. Configure las reglas de filtrado del firewall: /sbin/iptables -I INPUT -p udp --dport 123 -j ACCEPT

Cómo para configurar: archivo /etc/sysconfig/iptables Configurar el puerto udp 123 abierto: -A INPUT -p udp --destination-port 123 -j ACCEPT

Explicación del archivo de configuración del servidor

①: Establezca la fuente del host NTP ((preferir indica el host preferido), y 192.168.31.134 es el servidor NTP local, por lo que la hora se sincroniza desde este host primero.

servidor 192.168.7.49 preferido

servidor 0.rhel.pool.ntp.org

servidor 1.rhel.pool.ntp.org

servidor 2.rhel.pool.ntp.org

servidor 3.rhel.pool.ntp.org

②: Limite los tipos de acceso que permite a estos servidores. El servidor en este ejemplo no puede modificar la configuración del tiempo de ejecución ni consultar su servidor NTP Linux

restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap

En el ejemplo anterior, mask La dirección del código se expande a 255, por lo que los servidores de 192.168.0.1-192.168.0.254 pueden usar nuestro servidor NTP para sincronizar la hora

#En este momento, significa que la dirección IP de 192.168.0.1-192.168 .0.254 está restringido. El servidor del segmento proporciona servicios NTP.

restringir 192.168.0.0 máscara 255.255.255.0 notrust nomodify notrap noquery

#Establecer la política predeterminada para permitir que cualquier host realice sincronización horaria

restringir el valor predeterminado ignorar tres : Configuración del cliente NTP

3.1. Compruebe si el servicio NTP está instalado. Si no, instálelo usted mismo

3.2. Edite el archivo de configuración del cliente NTP: vim /etc/ntp. conf

# @1Nueva configuración de permisos restringir 192.168.31.0 máscara 255.255.255.0 nomodify notrap# Utilice servidores públicos del proyecto pool.ntp.org.# Considere unirse al grupo (http://www. pool .ntp.org/join.html).# Comente la dirección original del servidor real #server 0.centos.pool.ntp.org iburst#server 1.centos.pool.ntp.org iburst#server 2.centos.pool ntp.org iburst#server 3.centos.pool.ntp.org iburst# @2 Agregado: servidor de dirección de tiempo propio 192.168.31.223 ¿prefiere? <== Dar a este host la máxima prioridad #broadcast 192.168.1.255 autokey # servidor de transmisión. #broadcastclient # cliente de transmisión#broadcast 224.0.1.1 autokey # servidor de multidifusión#multicastclient 224.0.1.1 # cliente de multidifusión#manycastserver 239.255.254.254 # servidor de manycast#manycastclient 239.255.254.254 autokey # cliente de manycast

3.3. la vez una vez: /usr/sbin/ntpdate192.168.31.134 (IP del host del servidor, primero debe desactivar el servicio NTP aquí)

3.4 Inicie el servicio NTP: servicio ntpd start

3.5 Observe el estado de sincronización de tiempo: ntpq -p

Resultado:

[root@localhost hct]# ntpq -p remoto refid st t cuando la encuesta alcanza el retraso del retraso. inquietud == ================================================= === ==========================*192.168.31.134?LOCAL(0) 11 u 64 128 377 0.202 73.980 412.834

⑥Ver resultados de sincronización horaria: ntpstat

[root@hct ~]# ntpstat

servidor de sondeo no sincronizado

cada 8 s

Error de sincronización, la sincronización también lleva tiempo, debe esperar entre 5 y 10 minutos para volver a realizar la consulta:

Cada 2,0 s: ntpstat martes 11 de julio a las 16:55:57 2017 sincronizado

al servidor NTP (10.10.11.247) en el estrato 12, hora correcta dentro de 605 ms, servidor de sondeo cada 128 s

Se completa la sincronización de la hora, verifique la fecha para ver si coincide con la hora del servidor host

B. Explicación detallada del archivo de configuración del cliente

Modifique el archivo /etc/ntp/stpe-tickers de la siguiente manera (cuando se inicia el servicio ntpd, verificará automáticamente la hora con el servicio NTP de capa superior registrado en el archivo

p>

Sincronización de la hora del sistema y del hardware

Si el tiempo del servicio maestro-esclavo supera los 1000 segundos, la sincronización ya no se realizará. En este momento, se requiere sincronización manual, es decir: comando /usr/sbin/ntpdate. Si teme que la diferencia horaria del servidor cambie con frecuencia, puede agregar tareas programadas en Linux, por ejemplo:

<. p>10 5 * * * root /usr/sbin/ntpdate 192.168.31.223 && /sbin/hwclock -w

El servicio NTP solo sincroniza la hora del sistema de forma predeterminada si desea que ntp sincronice la hora del hardware en el momento. Al mismo tiempo, puede configurar el archivo /etc/sysconfig/ntpd y agregar SYNC_HWCLOCK=yes en el archivo /etc/sysconfig/ntpd. De esta manera, la hora del hardware se puede sincronizar con la hora del sistema.

NTpq -p información relacionada con las opciones

restringir permisos relacionados con el control

La sintaxis es: restringir el parámetro de máscara de subred de la máscara de dirección IP

La dirección IP puede también será predeterminado, el valor predeterminado se refiere a todas las IP

Los parámetros son los siguientes:

¿ignorar?: cerrar todos los servicios NTP en línea

nomodificar: el cliente no puede cambiar los parámetros de tiempo del servidor, pero el cliente puede realizar ajustes de tiempo de la red a través del servidor

notrust: Cliente a menos que el cliente esté autenticado, la fuente del cliente se considerará una subred que no es de confianza

.

noquery: no se proporciona la consulta de tiempo del cliente: el cliente no puede usar ntpq, ntpc y otros comandos para consultar el servidor ntp

notrap: no proporciona inicio de sesión remoto trap: se niega a proporcionar control del modo 6 Servicio de captura de mensajes para hosts coincidentes. El servicio de captura es un subsistema del protocolo de mensajes de control ntpdq y se utiliza para programas de registro de eventos remotos.

nopeer: se utiliza para evitar que un host intente conectarse con el servidor. permitir que un servidor fraudulento controle el reloj

kod: envía un paquete KoD cuando se produce una infracción de acceso.

restringir -6 indica la configuración de permiso de la dirección IPV6.

root@www ~]#?vim /etc/ntp.conf# 1. Ocúpese primero de los problemas de permisos, incluida la liberación de servidores de capa superior y usuarios de redes de zona abierta Fuente: restringir kod predeterminado nomodify notrap nopeer noquery <==Rechazar usuarios IPv4 restringir -6 default kod nomodify notrap nopeer noquery <==Rechazar usuarios IPv6 restringir 220.130.158.71 <== Permitir que tock.stdtime.gov.tw ingrese a este servidor NTP restringir 59.124.196.83 <== Permitir tick .stdtime.gov.tw para ingresar a esta restricción de servidor NTP 59.124.196.84 <== Libere time.stdtime.gov.tw para ingresar a esta restricción de servidor NTP 127.0.0.1 <== Los dos siguientes son los valores predeterminados, permita esta fuente de máquina restringir -6 ::1restrict 192.168.100.0 máscara 255.255.255.0 nomodify <==Fuente de red de zona de liberación# 2. Para configurar la fuente del host, primero cambie el comentario original [0|1|2].centos.pool.ntp. saque la configuración de la organización: servidor 220.130.158.71 prefiere <== Tome este host como el servidor de mayor prioridad 59.124.196.83servidor 59.124.196.84# 3. No es necesario actualizar el archivo de análisis de diferencia horaria predeterminado y las claves no utilizadas. driftfile /var/lib/ntp/driftkeys /etc/ntp/keys

La diferencia entre ntpd y ntpdate

La siguiente es información relevante en Internet sobre la diferencia entre ntpd y ntpdate . Como se muestra a continuación:

Antes de usarlo, debe resolver un problema: cuál es la diferencia entre ntpd y ntpdate al actualizar la hora. ntpd no es solo un servidor de sincronización de hora, también se puede utilizar como cliente para sincronizar la hora con un servidor de hora estándar y es una sincronización fluida. No sincroniza ntpdate de inmediato. Utilice ntpdate con precaución en un entorno de producción. los dos no pueden correr al mismo tiempo.

Los saltos de reloj pueden causar serios problemas en algunos programas. Muchas aplicaciones dependen de relojes continuos; después de todo, es una suposición común que el tiempo necesario es lineal, y algunas operaciones, como las transacciones de bases de datos, a menudo se basan en el hecho de que el tiempo no retrocede. Desafortunadamente, la forma en que ntpdate ajusta la hora es lo que llamamos un "salto": después de obtener una hora, ntpdate usa settimeofday(2) para configurar la hora del sistema, lo que tiene varios problemas muy obvios:

Primero, no es seguro hacerlo. La configuración de ntpdate depende de la seguridad del servidor ntp. Un atacante puede aprovechar algunas fallas de diseño del software para desactivar el servidor ntp y hacer que el servidor sincronizado con él realice ciertas tareas de consumo. Dado que ntpdate utiliza un método de salto, el servidor que lo sigue no puede saber si se ha producido una excepción (cuando los tiempos son diferentes, la única forma es consultar el servidor).

En segundo lugar, esto es impreciso. Una vez que el servidor ntp deja de funcionar, los servidores que lo siguen tampoco podrán sincronizar la hora. A diferencia de esto, ntpd no solo puede calibrar la hora de la computadora, sino también calibrar el reloj de la computadora.

En tercer lugar, esto no es lo suficientemente elegante. Dado que es un salto, en lugar de hacer que el tiempo sea más rápido o más lento, los programas que dependen del tiempo funcionarán mal (por ejemplo, si ntpdate descubre que su tiempo es rápido, puede experimentar dos momentos idénticos. Para algunas aplicaciones, esto es fatal). Por lo tanto, el único punto en el que el tiempo puede saltar es cuando la computadora acaba de iniciarse pero muchos servicios aún no se han iniciado.

El resto del tiempo, es ideal utilizar ntpd para calibrar el reloj en lugar de ajustar la hora en el reloj de tu computadora.

Durante el proceso de sincronización con el servidor de hora, NTPD registrará la desviación de la frecuencia de oscilación del temporizador del BIOS, o la deriva natural del reloj local. De esta forma, incluso si hay un problema con la red, la máquina aún puede mantener un tiempo de viaje bastante preciso.