linux配置ntp時鐘源

（一）確認ntp的安裝

創(chuàng)新互聯(lián)憑借在網(wǎng)站建設(shè)、網(wǎng)站推廣領(lǐng)域領(lǐng)先的技術(shù)能力和多年的行業(yè)經(jīng)驗，為客戶提供超值的營銷型網(wǎng)站建設(shè)服務(wù)，我們始終認為：好的營銷型網(wǎng)站就是好的業(yè)務(wù)員。我們已成功為企業(yè)單位、個人等客戶提供了成都網(wǎng)站建設(shè)、做網(wǎng)站服務(wù)，以良好的商業(yè)信譽，完善的服務(wù)及深厚的技術(shù)力量處于同行領(lǐng)先地位。

1）確認是否已安裝ntp

【命令】rpm –qa | grep ntp

若只有ntpdate而未見ntp，則需刪除原有ntpdate。如：

ntpdate-4.2.6p5-22.el7_0.x86_64

fontpackages-filesystem-1.44-8.el7.noarch

python-ntplib-0.3.2-1.el7.noarch

2）刪除已安裝ntp

【命令】yum –y remove ntpdate-4.2.6p5-22.el7.x86_64

3）重新安裝ntp

【命令】yum –y install ntp

（二）配置ntp服務(wù)

1）修改所有節(jié)點的/etc/ntp.conf

【命令】vi /etc/ntp.conf

【內(nèi)容】

restrict 192.168.6.3 nomodify notrap nopeer noquery //當前節(jié)點IP地址

restrict 192.168.6.2 mask 255.255.255.0 nomodify notrap //集群所在網(wǎng)段的網(wǎng)關(guān)（Gateway），子網(wǎng)掩碼（Genmask）

2）選擇一個主節(jié)點，修改其/etc/ntp.conf

【命令】vi /etc/ntp.conf

【內(nèi)容】在server部分添加一下部分，并注釋掉server 0 ~ n

server 127.127.1.0

Fudge 127.127.1.0 stratum 10

3）主節(jié)點以外，繼續(xù)修改/etc/ntp.conf

【命令】vi /etc/ntp.conf

【內(nèi)容】在server部分添加如下語句，將server指向主節(jié)點。

server 192.168.6.3

Fudge 192.168.6.3 stratum 10

===修改前===

image

===修改后===

節(jié)點1（192.168.6.3）：

image

節(jié)點2（192.168.6.4）：

image

節(jié)點3（192.168.6.5）：

image

（三）啟動ntp服務(wù)、查看狀態(tài)

1）啟動ntp服務(wù)

【命令】service ntpd start

2）查看ntp服務(wù)器有無和上層ntp連通

【命令】ntpstat

image

查看ntp狀態(tài)時，可能會出現(xiàn)如下所示情況

① unsynchronised time server re-starting polling server every 8 s

image

② unsynchronised polling server every 8 s

image

這種情況屬于正常，ntp服務(wù)器配置完畢后，需要等待5-10分鐘才能與/etc/ntp.conf中配置的標準時間進行同步。

等一段時間之后，再次使用ntpstat命令查看狀態(tài)，就會變成如下正常結(jié)果：

image

3）查看ntp服務(wù)器與上層ntp的狀態(tài)

【命令】ntpq -p

image

remote：本機和上層ntp的ip或主機名，“+”表示優(yōu)先，“*”表示次優(yōu)先

refid：參考上一層ntp主機地址

st：stratum階層

when：多少秒前曾經(jīng)同步過時間

poll：下次更新在多少秒后

reach：已經(jīng)向上層ntp服務(wù)器要求更新的次數(shù)

delay：網(wǎng)絡(luò)延遲

offset：時間補償

jitter：系統(tǒng)時間與bios時間差

4）查看ntpd進程的狀態(tài)

【命令】watch "ntpq -p"

【終止】按 Ctrl+C 停止查看進程。

image

第一列中的字符指示源的質(zhì)量。星號 ( * ) 表示該源是當前引用。

remote：列出源的 IP 地址或主機名。

when：指出從輪詢源開始已過去的時間（秒）。

poll：指出輪詢間隔時間。該值會根據(jù)本地時鐘的精度相應(yīng)增加。

reach：是一個八進制數(shù)字，指出源的可存取性。值 377 表示源已應(yīng)答了前八個連續(xù)輪詢。

offset：是源時鐘與本地時鐘的時間差（毫秒）。

（四）設(shè)置開機啟動

【命令】chkconfig ntpd on

（五）從其他博客的一些參考摘錄

===/etc/ntp.conf 配置內(nèi)容===

[

復(fù)制代碼

](javascript:void(0); "復(fù)制代碼")

pre style="margin: 0px; padding: 0px; white-space: pre-wrap; word-wrap: break-word; font-family: "Courier New" !important; font-size: 12px !important;"# 1. 先處理權(quán)限方面的問題，包括放行上層服務(wù)器以及開放局域網(wǎng)用戶來源：

restrict default kod nomodify notrap nopeer noquery ==拒絕 IPv4 的用戶

restrict -6 default kod nomodify notrap nopeer noquery ==拒絕 IPv6 的用戶

restrict 220.130.158.71 ==放行 tock.stdtime.gov.tw 進入本 NTP 的服務(wù)器

restrict 59.124.196.83 ==放行 tick.stdtime.gov.tw 進入本 NTP 的服務(wù)器

restrict 59.124.196.84 ==放行 time.stdtime.gov.tw 進入本 NTP 的服務(wù)器

restrict 127.0.0.1 ==底下兩個是默認值，放行本機來源

restrict -6 ::1 restrict 192.168.100.0 mask 255.255.255.0 nomodify ==放行局域網(wǎng)用戶來源，或者列出單獨IP

2. 設(shè)定主機來源，請先將原本的 [0|1|2].centos.pool.ntp.org 的設(shè)定批注掉：

server 220.130.158.71 prefer ==以這部主機為最優(yōu)先的server

server 59.124.196.83 server 59.124.196.84 # 3.默認的一個內(nèi)部時鐘數(shù)據(jù)，用在沒有外部 NTP 服務(wù)器時，使用它為局域網(wǎng)用戶提供服務(wù)：

server 127.127.1.0 # local clock

fudge 127.127.1.0 stratum 10 # 4.預(yù)設(shè)時間差異分析檔案與暫不用到的 keys 等，不需要更動它：

driftfile /var/lib/ntp/drift

keys /etc/ntp/keys /pre

[

復(fù)制代碼

](javascript:void(0); "復(fù)制代碼")

===restrict選項格式===

restrict [ 客戶端IP ] mask [ IP掩碼 ] [參數(shù)]

“客戶端IP” 和 “IP掩碼” 指定了對網(wǎng)絡(luò)中哪些范圍的計算機進行控制，如果使用default關(guān)鍵字，則表示對所有的計算機進行控制，參數(shù)指定了具體的限制內(nèi)容，常見的參數(shù)如下：

◆ ignore：拒絕連接到NTP服務(wù)器

◆ nomodiy： 客戶端不能更改服務(wù)端的時間參數(shù)，但是客戶端可以通過服務(wù)端進行網(wǎng)絡(luò)校時。

◆ noquery： 不提供客戶端的時間查詢

◆ notrap： 不提供trap遠程登錄功能，trap服務(wù)是一種遠程時間日志服務(wù)。

◆ notrust： 客戶端除非通過認證，否則該客戶端來源將被視為不信任子網(wǎng) 。

◆ nopeer： 提供時間服務(wù)，但不作為對等體。

◆ kod： 向不安全的訪問者發(fā)送Kiss-Of-Death報文。

===server選項格式===

server host [ key n ] [ version n ] [ prefer ] [ mode n ] [ minpoll n ] [ maxpoll n ] [ iburst ]

其中host是上層NTP服務(wù)器的IP地址或域名，隨后所跟的參數(shù)解釋如下所示：

◆ key： 表示所有發(fā)往服務(wù)器的報文包含有秘鑰加密的認證信息，n是32位的整數(shù)，表示秘鑰號。

◆ version： 表示發(fā)往上層服務(wù)器的報文使用的版本號，n默認是3，可以是1或者2。

◆ prefer： 如果有多個server選項，具有該參數(shù)的服務(wù)器有限使用。

◆ mode： 指定數(shù)據(jù)報文mode字段的值。

◆ minpoll： 指定與查詢該服務(wù)器的最小時間間隔為2的n次方秒，n默認為6，范圍為4-14。

◆ maxpoll： 指定與查詢該服務(wù)器的最大時間間隔為2的n次方秒，n默認為10，范圍為4-14。

◆ iburst： 當初始同步請求時，采用突發(fā)方式接連發(fā)送8個報文，時間間隔為2秒。

===查看網(wǎng)關(guān)方法===

【命令1】route -n

【命令2】ip route show

【命令3】netstat -r

===層次（stratum）===

stratum根據(jù)上層server的層次而設(shè)定（+1）。

對于提供network time service provider的主機來說，stratum的設(shè)定要盡可能準確。

而作為局域網(wǎng)的time service provider，通常將stratum設(shè)置為10

image

0層的服務(wù)器采用的是原子鐘、GPS鐘等物理設(shè)備，stratum 1與stratum 0 是直接相連的，

往后的stratum與上一層stratum通過網(wǎng)絡(luò)相連，同一層的server也可以交互。

ntpd對下層client來說是service server，對于上層server來說它是client。

ntpd根據(jù)配置文件的參數(shù)決定是要為其他服務(wù)器提供時鐘服務(wù)或者是從其他服務(wù)器同步時鐘。所有的配置都在/etc/ntp.conf文件中。

[圖片上傳失敗...(image-f2dcb9-1561634142658)]

===注意防火墻屏蔽ntp端口===

ntp服務(wù)器默認端口是123，如果防火墻是開啟狀態(tài)，在一些操作可能會出現(xiàn)錯誤，所以要記住關(guān)閉防火墻。ntp采用的時udp協(xié)議

sudo firewall-cmd --zone=public --add-port=123/udp --permanent

===同步硬件時鐘===

ntp服務(wù)，默認只會同步系統(tǒng)時間。

如果想要讓ntp同時同步硬件時間，可以設(shè)置/etc/sysconfig/ntpd文件，

在/etc/sysconfig/ntpd文件中，添加【SYNC_HWCLOCK=yes】這樣，就可以讓硬件時間與系統(tǒng)時間一起同步。

允許BIOS與系統(tǒng)時間同步，也可以通過hwclock -w 命令。

===ntpd、ntpdate的區(qū)別===

下面是網(wǎng)上關(guān)于ntpd與ntpdate區(qū)別的相關(guān)資料。如下所示所示：

使用之前得弄清楚一個問題，ntpd與ntpdate在更新時間時有什么區(qū)別。

ntpd不僅僅是時間同步服務(wù)器，它還可以做客戶端與標準時間服務(wù)器進行同步時間，而且是平滑同步，

并非ntpdate立即同步，在生產(chǎn)環(huán)境中慎用ntpdate，也正如此兩者不可同時運行。

時鐘的躍變，對于某些程序會導(dǎo)致很嚴重的問題。

許多應(yīng)用程序依賴連續(xù)的時鐘——畢竟，這是一項常見的假定，即，取得的時間是線性的，

一些操作，例如數(shù)據(jù)庫事務(wù)，通常會地依賴這樣的事實：時間不會往回跳躍。

不幸的是，ntpdate調(diào)整時間的方式就是我們所說的”躍變“：在獲得一個時間之后，ntpdate使用settimeofday(2)設(shè)置系統(tǒng)時間，

這有幾個非常明顯的問題：

【一】這樣做不安全。

ntpdate的設(shè)置依賴于ntp服務(wù)器的安全性，攻擊者可以利用一些軟件設(shè)計上的缺陷，拿下ntp服務(wù)器并令與其同步的服務(wù)器執(zhí)行某些消耗性的任務(wù)。

由于ntpdate采用的方式是跳變，跟隨它的服務(wù)器無法知道是否發(fā)生了異常（時間不一樣的時候，唯一的辦法是以服務(wù)器為準）。

【二】這樣做不精確。

一旦ntp服務(wù)器宕機，跟隨它的服務(wù)器也就會無法同步時間。

與此不同，ntpd不僅能夠校準計算機的時間，而且能夠校準計算機的時鐘。

【三】這樣做不夠優(yōu)雅。

由于是跳變，而不是使時間變快或變慢，依賴時序的程序會出錯

（例如，如果ntpdate發(fā)現(xiàn)你的時間快了，則可能會經(jīng)歷兩個相同的時刻，對某些應(yīng)用而言，這是致命的）。

因而，唯一一個可以令時間發(fā)生跳變的點，是計算機剛剛啟動，但還沒有啟動很多服務(wù)的那個時候。

其余的時候，理想的做法是使用ntpd來校準時鐘，而不是調(diào)整計算機時鐘上的時間。

NTPD在和時間服務(wù)器的同步過程中，會把BIOS計時器的振蕩頻率偏差——或者說Local Clock的自然漂移(drift)——記錄下來。

這樣即使網(wǎng)絡(luò)有問題，本機仍然能維持一個相當精確的走時。

===國內(nèi)常用NTP服務(wù)器地址及IP===

210.72.145.44 (國家授時中心服務(wù)器IP地址)

133.100.11.8 日本 福岡大學

time-a.nist.gov 129.6.15.28 NIST, Gaithersburg, Maryland

time-b.nist.gov 129.6.15.29 NIST, Gaithersburg, Maryland

time-a.timefreq.bldrdoc.gov 132.163.4.101 NIST, Boulder, Colorado

time-b.timefreq.bldrdoc.gov 132.163.4.102 NIST, Boulder, Colorado

time-c.timefreq.bldrdoc.gov 132.163.4.103 NIST, Boulder, Colorado

utcnist.colorado.edu 128.138.140.44 University of Colorado, Boulder

time.nist.gov 192.43.244.18 NCAR, Boulder, Colorado

time-nw.nist.gov 131.107.1.10 Microsoft, Redmond, Washington

nist1.symmetricom.com 69.25.96.13 Symmetricom, San Jose, California

nist1-dc.glassey.com 216.200.93.8 Abovenet, Virginia

nist1-ny.glassey.com 208.184.49.9 Abovenet, New York City

nist1-sj.glassey.com 207.126.98.204 Abovenet, San Jose, California

nist1.aol-ca.truetime.com 207.200.81.113 TrueTime, AOL facility, Sunnyvale, California

nist1.aol-va.truetime.com 64.236.96.53 TrueTime, AOL facility, Virginia

————————————————————————————————————

ntp.sjtu.edu.cn 202.120.2.101 (上海交通大學網(wǎng)絡(luò)中心NTP服務(wù)器地址）

s1a.time.edu.cn 北京郵電大學

s1b.time.edu.cn 清華大學

s1c.time.edu.cn 北京大學

s1d.time.edu.cn 東南大學

s1e.time.edu.cn 清華大學

s2a.time.edu.cn 清華大學

s2b.time.edu.cn 清華大學

s2c.time.edu.cn 北京郵電大學

s2d.time.edu.cn 西南地區(qū)網(wǎng)絡(luò)中心

s2e.time.edu.cn 西北地區(qū)網(wǎng)絡(luò)中心

s2f.time.edu.cn 東北地區(qū)網(wǎng)絡(luò)中心

s2g.time.edu.cn 華東南地區(qū)網(wǎng)絡(luò)中心

s2h.time.edu.cn 四川大學網(wǎng)絡(luò)管理中心

s2j.time.edu.cn 大連理工大學網(wǎng)絡(luò)中心

s2k.time.edu.cn CERNET桂林主節(jié)點

s2m.time.edu.cn 北京大學/pre

Linux系統(tǒng)下的NTP配置

第一步，選擇最好的NTP服務(wù)地址

具體命令為ntpdate -q IP地址或域名

廣東地區(qū)NTP優(yōu)選結(jié)果如下：

①time4.cloud.tencent.com

②server time.asia.apple.com

③server cn.ntp.org.cn

④server ntp.aliyun.com

⑤server cn.pool.ntp.org

檢查BIOS主板時間的命令

hwclock -r

NTP服務(wù)啟停命令

sudo systemctl start/stop ntpd

檢查查看ntp服務(wù)器有無和上層ntp連通

ntpstat

查看ntp服務(wù)器與上層ntp的狀態(tài)

ntpq -pn

===server選項格式===

server host? [ key n ] [ version n ] [ prefer ] [ mode n ] [ minpoll n ] [ maxpoll n ] [ iburst ]

其中host是上層NTP服務(wù)器的IP地址或域名，隨后所跟的參數(shù)解釋如下所示：

◆ key： 表示所有發(fā)往服務(wù)器的報文包含有秘鑰加密的認證信息，n是32位的整數(shù)，表示秘鑰號。

◆ version： 表示發(fā)往上層服務(wù)器的報文使用的版本號，n默認是3，可以是1或者2。

◆ prefer： 如果有多個server選項，具有該參數(shù)的服務(wù)器優(yōu)先使用。

◆ mode： 指定數(shù)據(jù)報文mode字段的值。

◆ minpoll： 指定與查詢該服務(wù)器的最小時間間隔為2的n次方秒，n默認為6，范圍為4-14。

◆ maxpoll：? 指定與查詢該服務(wù)器的最大時間間隔為2的n次方秒，n默認為10，范圍為4-14。

◆ iburst： 當初始同步請求時，采用突發(fā)方式接連發(fā)送8個報文，時間間隔為2秒。

===同步硬件時鐘===

ntp服務(wù)，默認只會同步系統(tǒng)時間。

如果想要讓ntp同時同步硬件時間，可以設(shè)置/etc/sysconfig/ntpd文件，

在/etc/sysconfig/ntpd文件中，添加【SYNC_HWCLOCK=yes】這樣，就可以讓硬件時間與系統(tǒng)時間一起同步。

允許BIOS與系統(tǒng)時間同步，也可以通過hwclock -w 命令。

hwclock命令用來查詢和設(shè)置硬件時鐘。

hwclock -r 讀取并打印硬件時鐘

hwclock -s 將硬件時鐘同步到系統(tǒng)時鐘

hwclock -w? 將系統(tǒng)時鐘同步到硬件時鐘

系統(tǒng)時鐘與硬件時鐘

在Linux中有硬件時鐘與系統(tǒng)時鐘等兩種時鐘。硬件時鐘是指主機板上的時鐘設(shè)備，也就是通?？稍贐IOS畫面設(shè)定的時鐘。系統(tǒng)時鐘則是指kernel中的時鐘。當Linux啟動時，系統(tǒng)時鐘會去讀取硬件時鐘的設(shè)定，之后系統(tǒng)時鐘即獨立運作。所有Linux相關(guān)指令與函數(shù)都是讀取系統(tǒng)時鐘的設(shè)定。

參考文檔：

Linux服務(wù)器NTP客戶端配置——

NTP服務(wù)、客戶端配置詳解——

【ntpdate】CentOS7.x上使用ntpdate同步ntp服務(wù)器

NTP服務(wù)器顧名思義就是時間同步服務(wù)器(Network Time Protocol)，Linux下的ntp服務(wù)器配置相對來說都比較容易，但在Linux下有一個弊端， 不同時區(qū)或者說是時間相差太大的無法同步 ，所以在配置ntp服務(wù)器之前需要把時間配置成相同的。

NTP時鐘同步方式說明

NTP在linux下有兩種時鐘同步方式，分別為直接同步和平滑同步：

直接同步

使用ntpdate命令進行同步，直接進行時間變更。如果服務(wù)器上存在一個12點運行的任務(wù)，當前服務(wù)器時間是13點，但標準時間時11點，使用此命令可能會造成任務(wù)重復(fù)執(zhí)行。因此使用ntpdate同步可能會引發(fā)風險，因此該命令也多用于配置時鐘同步服務(wù)時第一次同步時間時使用。

平滑同步

使用ntpd進行時鐘同步，可以保證一個時間不經(jīng)歷兩次，它每次同步時間的偏移量不會太陡，是慢慢來的，這正因為這樣，ntpd平滑同步可能耗費的時間比較長。

標準時鐘同步服務(wù)

這個網(wǎng)站包含全球的標準時間同步服務(wù)，也包括對中國時間的同步，對應(yīng)的URL為：cn.pool.ntp.org

在其中也描述了ntp配置文件中的建議寫法：

server ?1.cn.pool.ntp.org

server ?2.asia.pool.ntp.org

server ?3.asia.pool.ntp.org

實驗室集群沒有聯(lián)網(wǎng)，我們需要搭建ntp服務(wù)器并進行時間同步。

現(xiàn)使用的系統(tǒng)為centos7.2，機器使用情況如下表所示，這里以192.168.1.102為ntp server，192.168.1.104為client對時間進行同步。

NTP server ? ? ? ? 192.168.1.102

NTP client ? ? ? ? ? 192.168.1.104

1.在集群中所有節(jié)點上安裝ntp

# yum ?-y ?install ntp

2.所有節(jié)點設(shè)置時區(qū)，這里設(shè)置為中國所用時間

# timedatectl set-timezone Asia/Shanghai?

3.在server節(jié)點上啟動ntp服務(wù)

# systemctl?startntpd

# systemctl enable ntpd

4.在server節(jié)點上設(shè)置現(xiàn)在的準確時間

# timedatectl set-time?HH:MM:SS?

5.在server節(jié)點上設(shè)置其ntp服務(wù)器為其自身，同時設(shè)置可以接受連接服務(wù)的客戶端，是通過更改/etc/ntp.conf文件來實現(xiàn)，其中server設(shè)置127.127.1.0為其自身，新增加一個 restrict 段為可以接受服務(wù)的網(wǎng)段

# vim ?/etc/ntp.conf

6.重啟ntpd服務(wù)?

# systemctl restart ntpd?

# timedatectl

NTP synchronized: yes

啟用ntpd后，服務(wù)器就開啟了ntpd自動同步，無法使用 timedatectl set-time HH:MM:SS重新設(shè)置時間。

如果要使用timedatectl set-time?HH:MM:SS?重新設(shè)置時間：

# ?systemctl stop ?ntpd?

# timedatectl set-ntp ?false

# timedatectl set-time HH:MM:SS

# hwclock ?-w

# ?systemctl start ?ntpd?

1.客戶端時區(qū)需要和服務(wù)端保持一致，否則無法同步時間

# timedatectl set-timezone ??

Asia/Shanghai?

2.安裝同步軟件包

# yum ? -y install ?ntpdate

3. 修改/etc/sysconfig/ntpdate，讓ntpdate每次同步時間之后把時間寫入hwclock，相當于命令hwclock -w

將最后一行SYNC_HWCLOCK=no修改為：SYNC_HWCLOCK=yes

# ?vim? /etc/sysconfig/ntpdate

4.客戶端定時任務(wù)配置

# crontab ?-e

59 ?23 ?* ?* ?* ? /sbin/ntpdate ?192.168.1.102

設(shè)置為每天23:59分執(zhí)行，重啟crond服務(wù)

######################

定時任務(wù)基本格式 :?

***** command?

分　時　日　月　周　命令?

第1列表示分鐘1～59 每分鐘用*或者 */1表示?

第2列表示小時1～23（0表示0點）?

第3列表示日期1～31?

第4列表示月份1～12?

第5列標識號星期0～6（0表示星期天）?

第6列要運行的命令

################################?

5.重啟定時任務(wù)

# systemctl ?restart crond.service