Linux：NTP配置.docx

NTP 服务器的安装与设定NTP服务器也是一个很容易就可以架设成功的玩意儿，你要作的其实就是将他安装起来之后，规定一部上层NTP服务器来同步化你的时间即可啊。如果你只是想要进行你自己单部主机的时间同步化，别架设NTP，直接使用NTP客户端软件即可喔。1. 所需软件与软件结构在CentOS6.x上头，你所需要的软件其实仅有ntp这个玩意儿而已，请自行使用rpm去找找看，若没有安装，请利用yum installntp即可啊。不过，我们还需要时区相关的数据文件，所以你需要的软件有： ntp：就是NTP服务器的主要软件啦，包括配置文件以及执行档等等。 tzdata：软件名称为TimeZonedata的缩写，提供各时区对应的显示格式。与时间及NTP服务器设定相关的配置文件与重要数据文件有底下几个： /etc/ntp.conf：就是NTP服务器的主要配置文件，也是唯一的一个； /usr/share/zoneinfo/：由tzdata所提供，为各时区的时间格式对应档。例如台湾地区的时区格式对应档案在/usr/share/zoneinfo/Asia/Taipei就是了。这个目录里面的档案与底下要谈的两个档案(clock与localtime)是有关系的喔。 /etc/sysconfig/clock：设定时区与是否使用UTC时间钟的配置文件。每次开机后Linux会自动的读取这个档案来设定自己系统所默认要显示的时间说。举个例子来说，在我们台湾地区的本地时间设定中，这个档案内应该会出现一行ZONE=Asia/Taipei的字样，这表示我们的时间配置文件案要取用/usr/share/zoneinfo/Asia/Taipei那个档案的意思。 /etc/localtime：这个档案就是本地端的时间配置文件啦。刚刚那个clock档案里面规定了使用的时间配置文件(ZONE)为/usr/share/zoneinfo/Asia/Taipei，所以说这就是本地端的时间了，此时Linux系统就会将Taipei那个档案复制一份成为/etc/localtime，所以未来我们的时间显示就会以Taipei那个时间配置文件案为准。至于在常用于时间服务器与修改时间的指令方面，主要有底下这几个： /bin/date：用于Linux时间(软件时钟)的修改与显示的指令； /sbin/hwclock：用于BIOS时钟(硬件时钟)的修改与显示的指令。这是一个root才能执行的指令，因为Linux系统上面BIOS时间与Linux系统时间是分开的，所以使用date这个指令调整了时间之后，还需要使用hwclock才能将修改过后的时间写入BIOS当中。 /usr/sbin/ntpd：主要提供NTP服务的程序啰。配置文件为/etc/ntp.conf /usr/sbin/ntpdate：用于客户端的时间校正，如果你没有要启用NTP而仅想要使用NTPClient功能的话，那么只会用到这个指令而已啦。例题：假设你的笔记本电脑安装CentOS这套系统，而且选择的时区为台湾。现在，你将有一个月的时间要出差到美国的纽约去，你会带着这个笔电，那么到了美国之后，时间会不一致啊。你该如何手动的调整时间参数呢？答：因为时区数据文件在/usr/share/zoneinfo内，在该目录内会找到/usr/share/zoneinfo/America/New_York这个时区档。而时区配置文件在/etc/sysconfig/clock，且目前的时间格式在/etc/localtime，所以你应该这样做：rootwww # dateThu Jul 28 15:08:39 CST 2011 =重點是 CST 這個時區喔！rootwww # vim /etc/sysconfig/clockZONE=America/New_York =改的是這裡啦！rootwww # cp /usr/share/zoneinfo/America/New_York /etc/localtimerootwww # dateThu Jul 28 03:09:21 EDT 2011 =時區與時間都改變了！这个范例做完之后，记得将这两个档案改回来。不然以后你的时间都是美国时间啦。2. 主要配置文件ntp.conf的处理由于NTP服务器的设定需要有上游服务器的支持才行，我假设俺的NTP服务器所需要设定的架构如下： 我的上层NTP服务器有.tw， .tw，.tw三部，其中以.tw最优先使用(prefer)； 不对Internet提供服务，仅允许来自内部网域/24的查询而已； 侦测一些BIOS时钟与Linux系统时间的差异并写入/var/lib/ntp/drift档案当中。好了，先让我们谈一谈如何在ntp.conf里面设定权限控制吧。利用restrict来管理权限控制在ntp.conf档案内可以利用restrict来控管权限，这个参数的设定方式为：restrict 你的IP mask netmask_IP parameter其中parameter的参数主要有底下这些： ignore：拒绝所有类型的NTP联机； nomodify：客户端不能使用ntpc与ntpq这两支程序来修改服务器的时间参数，但客户端仍可透过这部主机来进行网络校时的； noquery：客户端不能够使用ntpq,ntpc等指令来查询时间服务器，等于不提供NTP的网络校时啰； notrap：不提供trap这个远程事件登录(remoteeventlogging)的功能。 notrust：拒绝没有认证的客户端。那如果你没有在parameter的地方加上任何参数的话，这表示该IP或网段不受任何限制的意思喔。一般来说，我们可以先关闭NTP的权限，然后再一个一个的启用允许登入的网段。利用server设定上层NTP服务器上层NTP服务器的设定方式为：server IPorhostname prefer在server后端可以接IP或主机名，鸟哥个人比较喜欢使用IP来设定说。至于那个perfer表示优先使用的服务器啰有够简单吧。以driftfile记录时间差异设定的方式如下：driftfile 可以被ntpd写入的目录与档案因为预设的NTPServer本身的时间计算是依据BIOS的芯片震荡周期频率来计算的，但是这个数值与上层TimeServer不见得会一致啊。所以NTP这个daemon(ntpd)会自动的去计算我们自己主机的频率与上层Timeserver的频率，并且将两个频率的误差记录下来，记录下来的档案就是在driftfile后面接的完整档名当中了。关于档名你必须要知道： driftfile后面接的档案需要使用完整路径文件名； 该档案不能是连结档； 该档案需要设定成ntpd这个daemon可以写入的权限。 该档案所记录的数值单位为：百万分之一秒(ppm)。driftfile后面接的档案会被ntpd自动更新，所以他的权限一定要能够让ntpd写入才行。在CentOS6.x预设的NTP服务器中，使用的ntpd的owner是ntp，这部份可以查阅/etc/sysconfig/ntpd就可以知道啦。keyskey_file除了以restrict来限制客户端的联机之外，我们也可以透过密钥系统来给客户端认证，如此一来可以让主机端更放心了。不过在这个章节里面我们暂不讨论这个部分，有兴趣的朋友可以参考ntp-keygen这个指令的相关说明喔。根据上面的说明，我们最终可以取得这样的配置文件案内容喔(底下仅修改部分数据，保留大部分的设定值喔)。rootwww#vim /etc/ntp.conf#1.先处理权限方面的问题，包括放行上层服务器以及开放区网用户来源：restrict default kod nomodify notrap nopeer noquery=拒绝IPv4的用户restrict -6 default kod nomodify notrap nopeer noquery=拒绝IPv6的用户restrict 2=放行.tw进入本NTP服务器restrict 3=放行.tw进入本NTP服务器restrict 4=放行.tw进入本NTP服务器restrict =底下两个是默认值，放行本机来源restrict -6:1restrict mask nomodify=放行区网来源#2.设定主机来源，请先将原本的0|1|2.的设定批注掉：server 1 prefer=以这部主机为最优先server 3server 4#3.预设时间差异分析档案与暂不用到的keys等，不需要更动它：driftfile /var/lib/ntp/driftkeys /etc/ntp/keys这样就设定妥当了，准备来启动NTP服务吧。NTP的启动与观察设定完ntp.conf之后就可以启动ntp服务器了。启动与观察的方式如下：# 1. 啟動 NTP rootwww # /etc/init.d/ntpd startrootwww # chkconfig ntpd onrootwww # tail /var/log/messages /dev/null使用crontab之后，每天5:10Linux系统就会自动的进行网络校时啰。相当的简易吧。不过，这个方式仅适合不要启动NTP的情况。如果你的机器数量太多了，那么客户端最好也启动一下NTP服务。透过NTP去主动的更新时间吧。如何达成这个动作呢？也很简单啊，修改/etc/ntp.conf即可：rootclientlinux # ntpdate 54# 由於 ntpd 的 server/client 之間的時間誤差不允許超過 1000 秒，# 因此你得先手動進行時間同步，然後再設定與啟動時間伺服器呦！rootclientlinux # vim /etc/ntp.conf#server 0.#server 1.#server 2.restrict 54 =放行伺服器來源！server 54 =這就是伺服器！# 很簡單，就是將原本的 server 項目註解，加入我們要的伺服器即可rootclientlinux # /etc/init.d/ntpd startrootclientlinux # chkconfig ntpd on然后取消掉crontab的更新程序，这样你的client计算机就会主动的到NTP服务器去更新啰。也是轻松愉快啊。不过针对客户端来说，鸟哥还是比较习惯使用crontab的方式来处理就是了。4. 重点回顾 地球共有24个时区，而以格林威治时间(GMT)为标准时间； 台湾本地时间为GMT+8小时； 最准确的时间为使用原子钟(Atomicclock)所计算的，例如UTC(CoordinatedUniversalTime)就是一例； Linux系统本来就有两种时间，一种是Linux以1970/01/01开始计数的系统时间，一种则是BIOS记载的硬件时间； Linux可以透过网络校时，最常见的网络校时为使用NTP服务器，这个服务启动在udp port123； 时区档案放置于/usr/share/zoneinfo/目录下，而本地时区参考/etc/localtime； NTP服务器为一种阶层式的服务，所以NTP服务器本来就会与上层时间服务器作时间的同步化，因此nptd与ntpdate两个指令不可同时使用； NTP服务器的联机状态可以使用ntpstat及ntpq-p来查询； NTP提供的客户端软件为ntpdate这个指令； 在Linux下想要手动处理时间时，需以date设定时间后，以hwclock-w来写入BIOS所记录的时间。 NTP服务器之间的时间误差不可超过1000秒，否则NTP服务会自动关闭。5. NTP时间同步总结1、/etc/ntp.conf内的server是对上一级服务器的设置 ，restrict是对客户端的设置2、NTP服务器要在服务启动几分钟后才能正常工作3、配置NTP要注意开放UDP 123端口_【NTP时间服务器搭建简略步骤：】1、安装ntp服务：yum install ntp.i* -y2、修改/etc/ntp.confrestrict default kod nomodify notrap nopeer noquery #拒绝所有IP的所有操作restrict -6 default kod nomodify notrap nopeer noquery #针对ipv6设置# 允许本地所有操作restrict restrict -6 :1# 允许的局域网络段restrict mask nomodify motraprestrict mask nomodify motrap# 使用上层的internet ntp服务器restrict 82 mask 55 nomodify notrap noqueryserver 82# 如果无法与上层ntp server通信以本地时间为标准时间server # local clockfudge stratum 10 # 计算本ntp server 与上层ntpserver的频率误差driftfile /var/lib/ntp/drift# Key file containing the keys and key identifiers used when operating# with symmetric key cryptography. keys /etc/ntp/keys#日志文件logfile /var/log/ntp.log#说明：restrict | ignore|noquery|notrap|nomodiy|notrust|nokodignore :关闭所有ntp服务noquery：不提供ntp服务notrap：不提供trap远程事件登录的功能nomodiy：表示客户端不能更改ntp服务器的时间参数，但可以通过ntp服务器进行时间矫正notrust：拒绝没有通过认证的客户端nokod：kod技术可以组织一种dos攻击在修改/etc/ntp/step-tickers文件82#当ntp服务器启动时自动与这个文件中的记录ip进行时间校对3、修改/etc/sysconfig/ntpdSYNC_HWCLOCK=YES #允许BIOS与系统时间同步4、客户端设置略。6