第10章 配置与管理时间服务器

第10章

配置与管理时间服务器本章导读在现代计算机网络环境中，精确的时间同步对于系统日志记录、安全审计、分布式计算以及各种基于时间的服务（如金融交易、网络监控等）至关重要。时间服务器，特别是基于网络时间协议（NetworkTimeProtocol,NTP）的时间服务器，是实现网络中各节点时间同步的核心组件。本章将深入探讨NTP协议的原理、工作过程及其工作模式，帮助读者理解如何在RockyLinux系统上配置和管理时间服务器，确保网络内各设备的时间一致性，为后续的网络服务与安全管理打下坚实基础。学习目标1.知识目标了解NTP的基本原理、工作过程和工作模式。知道如何选择合适的NTP服务器。掌握NTP服务器安装、启动的基本流程。熟悉NTP服务器配置文件的结构和常用配置选项。了解监控NTP服务器的常用方法。了解在Linux和Windows系统中进行时间同步的原理和方式。2.技能目标能够根据需求选择并安装合适的NTP服务器。能够独立完成NTP服务器的配置，包括配置文件的修改和常用选项的设置。能够监控NTP服务器的运行状态，及时发现并解决常见问题。能够在Linux和Windows客户端上进行时间同步配置，确保系统时间准确。3.素养目标培养严谨、细致的系统时间管理意识，知道时间同步对系统稳定运行的重要性。提升自主学习和解决问题的能力，面对时间同步相关问题时能独立思考并解决。强化团队协作意识，能在多系统环境中确保时间同步的一致性，保障整体系统的正常运行。目录-CONTENTS10.1NTP概述10.2NTP服务器的安装与启动10.3配置NTP服务器10.4配置NTP客户端10.1NTP概述1NTP简介2NTP的工作模式10.1NTP概述1．NTP简介

NTP用于在互联网上同步计算机系统的时间，它通过一套复杂的算法来补偿网络延迟和时钟漂移，从而在广泛的网络环境中实现毫秒级甚至更高精度的时间同步。NTP利用层次结构的时间源（称为层）来组织时间服务器，从最精确的原子钟或GPS接收器（层0）开始，逐层向下传递时间信息。每增加一层，时间精度可能略有下降，但仍能满足大多数应用的需求。NTP的工作过程涉及客户端与服务器之间的时间信息交换。如图10-1所示，客户端向一个或多个NTP服务器发送时间请求包，服务器接收到请求后，会回复包含当前时间戳的信息包；客户端通过比较发送请求与接收回复之间的时间差，并结合网络延迟分析，计算出与服务器之间的时间偏差，并据此调整本地时钟。这一过程可能重复多次，以实现更高精度的时间同步。10.1NTP概述2．NTP的工作模式

NTP支持多种工作模式，以适应不同的网络环境和需求：（1）客户端/服务器模式客户端/服务器模式是最常见的NTP工作模式，客户端主动向服务器请求时间信息，并据此调整自身时钟。此模式适用于需要从外部时间源获取时间的网络节点。（2）对等体模式对等体模式是指两个或多个NTP节点互相作为对等体，交换时间信息。在这种模式下，每个节点既可作为客户端，也可作为服务器，适用于需要相互同步时间且没有明确主从关系的网络环境。（3）广播模式广播模式是指服务器定期向指定子网广播时间信息，客户端监听这些广播并据此调整自身时钟。此模式适用于局域网内大量客户端需要同步时间的场景，但精度可能略低于客户端/服务器模式。（4）多播模式多播模式与广播模式类似，但使用多播地址而非广播地址，减少了不必要的网络流量。这种模式适用于需要高效时间同步的大型网络环境。10.2NTP服务器的安装与启动1选择NTP服务器2安装NTP服务器3启动NTP服务器10.2NTP服务器的安装与启动1．选择NTP服务器

NTP服务器用于提供高精度的时间同步服务，需根据应用场景选择合适的实现方案。（1）NTP服务类型选择①

标准NTP服务标准NTP服务适用于需要长期稳定同步的场景，如数据中心、企业内网。它能够支持多层级时间源（Stratum1～15），可通过restrict配置访问权限。②

轻量级Chrony服务轻量级Chrony服务多用于网络不稳定的环境，如云服务器、移动设备等。它能够动态调整轮询间隔，支持混合网络（IPv4/IPv6）和睡眠模式唤醒。（2）时间源选择策略①

公网时间源：优先选择权威机构提供的NTP服务器，如阿里云或国际NTP池项目等公共可靠源。②

内网时间源：可在局域网内部署Stratum1或Stratum2级别的时间服务器，并使用GPS接收器或原子钟作为基准。③

高可用性配置：应在ntp.conf中配置多个上游服务器（如serveriburstprefer），同时使用fudge指令指定本地时钟为后备时间源（如serverfudgestratum10），避免出现单点故障。10.2NTP服务器的安装与启动2．安装NTP服务器dnfinstallntp-y但在RockyLinux9环境中，ntp软件包可能已被弃用或不再包含在默认仓库中。RockyLinux9推荐使用chrony作为默认的时间同步服务器，安装chrony软件包的命令如下：dnfinstallchrony-y3．启动NTP服务器

（1）启动并启用服务启动NTP服务：systemctlenable--nowntpdsystemctlenable--nowchronyd启动Chrony服务：systemctlstatusntpd#Chrony服务服务运行状态：systemctlstatuschronyd（2）验证服务状态①

检查服务运行状态：②

查看时间同步状态：ntpq-pn#显示NTP服务器连接状态10.3配置NTP服务器10.3.1配置文件10.3.2/etc/ntp.conf配置实例10.3.3监控NTP服务器10.3配置NTP服务器NTP服务的主配置文件为/etc/ntp.conf，其核心功能如下。①

定义时间源服务器：通过server指令指定上游NTP服务器的地址，如阿里云或国际NTP池项目。②

控制访问权限：通过restrict指令限制客户端的同步行为，如仅允许内网IP访问。③

日志与漂移记录：配置日志文件路径（如/var/log/ntp.log）和时钟漂移记录文件（如/var/lib/ntp/drift）。④

认证与安全：启用NTP认证（需配置密钥文件/etc/ntp/keys）。10.3.1配置文件选项作用示例server指定上游NTP服务器地址，iburst选项可加速初始同步。serveriburstpreferrestrict控制客户端访问权限，支持IPv4/IPv6及子网掩码。restrictmasknomodifynotrapdriftfile记录时钟漂移量的文件路径。driftfile/var/lib/ntp/driftlogfile指定日志文件路径（需手动创建目录）。logfile/var/log/ntp.logfudge配置本地时钟参数（如层级stratum）。serverfudgestratum10tinker调整NTP算法参数（如关闭panic行为）。tinkerpanic0broadcast/multicast启用广播或多播模式（需网络支持）。broadcastNTP常用的配置选项10.3配置NTP服务器场景1：内网时间服务器

下面是为内网部署时间服务器的配置示例，该配置实现了双机热备与本地时钟后备的高可用架构：10.3.2/etc/ntp.conf配置实例#全局配置driftfile/var/lib/ntp/drift#指定时钟漂移记录文件logfile/var/log/ntp.log#设置日志文件路径（需手动创建目录）#默认限制规则（拒绝所有外部访问）restrictdefaultkodnomodifynotrapnopeernoquery#允许本地回环地址（

和::1）restrictrestrict::1#上游NTP服务器（阿里云双机热备）serveriburstprefer#优先使用，使用iburst选项加速初始同步serveriburst#备用服务器，用于提供冗余保障

#本地时钟后备（当无外部源时启用，Stratum设为10）server#启用本地参考时钟fudgestratum10#手动设置本地时钟层级#允许内网客户端同步（/24）restrictmasknomodifynotrap①iburst：首次连接NTP服务器时发送8个数据包（而非默认的1个），以加速初始同步。②fudgestratum10：将本地时钟的层级设为10。层级越高，表示时间精度越低。该时钟仅作为后备时间源。③nomodifynotrap：允许客户端同步时间，但禁止修改NTP服务器配置或调用ntpdc陷阱命令。10.3配置NTP服务器场景2：公共NTP服务器

以下配置适用于面向公共网络提供时间同步服务的场景，重点设置了升级同步策略和日志监控功能：10.3.2/etc/ntp.conf配置实例#全局配置driftfile/var/lib/ntp/driftlogfile/var/log/ntp.logstatsdir/var/log/ntpstats/#统计日志目录filegenpeerstatsfilepeerstatstypedayenable#每日生成对等体统计日志#默认限制规则（拒绝所有外部修改）restrictdefaultkodnomodifynotrapnopeernoquery#允许本地回环地址restrictrestrict::1#NTP池项目服务器（多地区混合）server0.iburstserver1.iburstserver2.iburst#限制客户端请求频率（每秒最多10次）restrict-6defaultkodlimitedkodnomodifynotrapnopeernoqueryrestrict-4defaultkodlimitedkodnomodifynotrapnopeernoquerylimitkod10#每秒最多处理10个错误响应#允许所有IPv4客户端同步（无限制）restrict-4defaultnomodifynotrap①kod：启用“Kiss-o'-Death”响应，当客户端请求频率过高时返回错误包。②limited：与kod参数配合使用，触发限流后自动返回KOD数据包。③filegen：生成统计日志，如peerstats文件将记录与NTP服务器之间的交互数据，用于监控和分析时间同步状态。10.3配置NTP服务器场景3：安全加固NTP服务器

以下配置适用于对安全性要求较高的环境，通过启用认证机制与严格的IP过滤策略来加固NTP服务器：10.3.2/etc/ntp.conf配置实例#全局配置driftfile/var/lib/ntp/driftlogfile/var/log/ntp.log#默认限制规则（拒绝所有外部访问）restrictdefaultkodnomodifynotrapnopeernoquery#允许本地回环地址restrictrestrict::1#启用NTP认证（密钥文件需提前生成）keys/etc/ntp/keys#密钥文件路径trustedkey123#定义受信任的密钥标识符requestkey1#设置用于对称密钥认证的密钥IDcontrolkey2#设置用于控制查询的密钥ID#上游NTP服务器（需配置相同密钥）serverkey1iburstserverkey1iburst#允许/8网段同步（需认证）restrictmaskkey1nomodifynotrap#拒绝所有其他IPv4请求（即使认证失败）restrict-4defaultignore①keys：指定NTP认证密钥文件的路径，该文件需通过ntp-keygen命令预先生成。②trustedkey：声明受信任的密钥标识符。客户端需使用相同密钥才能通过认证。③ignore：直接丢弃所有不符合条件的请求，比noquery更严格。1．命令行工具

（1）ntpq-p命令：查看NTP服务器的连接状态及时间偏移量。remoterefidsttwhenpollreachdelayoffsetjitter==============================================================================*.INIT.1u56643770.123-0.4560.789+.INIT.1u45643770.234-0.1230.456synchronisedtoNTPserver()atstratum2timecorrecttowithin47mspollingserverevery64s（2）ntpstat命令：快速检查NTP服务的同步状态。journalctl-untpd-fgrepntp/var/log/syslog2．日志分析

可通过journalctl或grep命令查看NTP日志：3．图形化监控工具

①Zabbix：通过模板监控NTP的时间偏移量、网络延迟及服务器状态。②Prometheus+Grafana：通过node_exporter采集基础指标，配合ntpd_exporter获取NTP专

有数据，并在Grafana中构建监控仪表盘。10.3配置NTP服务器10.3.3监控NTP服务器①*：当前首选NTP服务器。②+：备用NTP服务器。③offset：时间偏移量（毫秒级）。