Linux时间服务管理

1、linux时间服务管理文档副标题dev-07-001versio n 1.0 2015-03-011文档控制页面编写/修改日期编写/修改人版本记录2015-09-01许建非ver 1.0创建审阅日期审阅人版本密级状态意见ver 1.0内部公开发布无概述首先来介绍一下ntp服务ntp ( network time protocol )网络时钟协议，是用于同步计算机时钟的 协议，他可以使计算即与其他服务器或者时钟源进行时间同步，进行高精度时间 校正，ntp支持使用加密确认的方式防止恶意的协议攻击ntp提供精确时间，首先需要一个准确的utc时间的来源。ntp获得utc的时 间来源可以是原子钟，天文台

2、，卫星，也可以从internet上获取。时间按ntp 服务器的等级传播，根据外部utc源距离的远近将所有服务器归入不同的层 (stratum yt3.stratum-1 在顶层由外部 utc 接入，而 stratum-2 则是从 stratum-1 获得时间的,stratum-3从stratum-2获取时间，次类推,大师stratum层的 总数限制在15内。所有这些服务器都是在逻辑上形成层次架构相互连接，而stratum-1时间服务器是整个系统的基础。服务器可以同时和多个时间服务器连接，利用统计学的算法来过滤来自不同服务 器的时间已选择最佳的路径和来源校正主机时间。即使主机在长时间无法与某一

3、时间服务器相联系的情况下，ntp服务依然有效运行。时间服务器可以利用如下三种方式来与其他服务器进行时间校对broadcast/multicast:该方式主要适用于局域网的环境，时间服务器周期性的 以广播的方式将时间信息传递给其他网络中的服务器，其时间仅会少许延迟，而 且配置非常简单，但是该方式的精度并不高，对时间精度要求不是很高的情况下 可以采用2、symmetric ;该方式一台服务器可以从远端时间服务器获取时钟，如果需要 也可以提供时间信息传递给远端的时间服务器。此方式适用于配置冗余的时间服 务器，可以提供更高的精确度给主机3、client/server:该方式与symmetric方式比较

4、相似，只是不提供给其他时间服 务器时间信息，该方式适用于一台时间服务器接受上层时间服务器的时间信息，并提供时间信息给下层的用户。上面的三种方式都使用udp协议123端口下面来介绍时间服务器的安装首先安装ntp服务器所需要的软件，通过yum安装或者rpm安装roctserverloo i yum install ntp*loaced plugins: product-id/ subscription-nianager updating red hat repositories.higtavaliability12.0kb00:00loacbalancer12.0kb00:00packages12

5、.7kb00:00resilientstorage12.0kb00:00sea jablefilesys tern12.0kb00:00server12.0kb00:00setting up install processpackage ntp42.4p82.el6x86_64 already installed and latest versionpackage ntpdate-4.2.4p8-2.el6.x86_64 already installed and latest version nothing to dorocteserverloo # |2、设置为开机自启动时间服务器(roo

6、tserverl00 、# service ntpd restartshunting down ntpd:(0k starting ntpd:0k (rootserverl00chkconfig ntpd on(rootserverl00 *#启动时间服务器可以通过service ntpd restart3、ntp服务器的主配置文件/etc/ntp.conf文件，进行配置下面首先介绍/etc/ntp.conf文件中的相关参数(1) 、 restrict <ip> v子网掩码>|v网段v子网掩码 ignore|nomodify|noquery|notrap|notrust|no

7、kod:指定可以进行 ntp 通信的网 段ignore :关闭所有的ntp服务nomodify:表示客户端不能更改ntp服务器的时间参数，但可以通过ntp服务器 进行时间校正noquery:不提供ntp服务notrap:不提供trap远程事件登陆的功能notrust :拒绝没有通过认证的客户端kod:kod技术可以阻止"kiss of death"包(一种dos攻击)对服务器的破坏，使 用此参数表示启用该功能nopeer:不与同层的ntp服务器进行时间同步如果没有指定选项，那就表示指定的客户端在访问ntp服务器时没有任何限制(2)、serverip|fqdn perfer:

8、指定该ntp服务器上层ntp服务器，也就是该 服务器对自身进行时间校正的ntp服务器。如果指定多个上层ntp服务器时， 使用perfer参数的服务器优先级最高，在没有perfer参数时，上层ntp服务器 的优先级根据在配置文件的顺序从上道下，依次由高到底。在指定上层ntp服 务器后，默认情况下至少15min分钟才会与上层ntp服务器进行时间校正、fudge:修改ntp服务器相关参数(4) 、driftfile文件名，默认情况下ntp服务器的时间是依据bios的芯片震动周 期频率来计算的，但是这个值与上层ntp服务器可能不一致，所以ntp服务器会 自动计算ntp服务器的频率与上层不服务器的频率，

9、并且将将两个频率的误差记 录在driftfile参数指定的文件中，该参数一般不修改，默认即可。(5) 、broadcast网段 子网掩码：指定进行ntp时间广播的网段，在不指定此 参数时，ntp服务器会对所有能访问的网段广播(6) 、logfile文件名：指定ntp服务器日志文件中国可以利用的时间服务器的地址以下是引用的：中国大概能用的ntp时间服务器地址server preferserver 4server 6server 0server server 3server 13

10、1server 46server server 0server server 0server server server server 6server ntp-sop.inria.frserver 4（中国国家授时中心服务器 ip 地址）server （上海交通大学网络中心ntp服务器地址）其他高校ntp地址：服务器列表：北京邮电大学010清华大学/p>

11、8-6105北京大南大学309清华大学6105清华大学6105清华大学6105北京邮电大8003西南地区网络中心西北地区网络中东北地区网络中心华东南地区网络中心021629329018101 四川大学网络管理中大连理工大学网络中cernet 桂林主节点 07735845246 北京大学4、下面的配置实例rootserver

12、l00 # cat /etc/ntp.conf# for more information about this file, see the man pages# ntpconf(5), ntp_acc(5j ntp_auth'ntp_clock(5), ntp_misc(5), ntp_mon(5).driftfile /var/lib/ntp/drift# permit time synchronization with our time source, but do not# permit the source to query or modify the service on

13、this system. 默认拒绝所有的ntp客户端的操作，并打开kod功能 restrict default kod nomodify notrap nopeer noqueryrestrict -6 default kod nomodify notrap nopeer noquery# permit all access over the loopback interface this could# be tightened as well, but to do so would effect some of# the administrative functions.允许本地操作rest

14、rict restrict 6 :1restrict mask nomodify notraprestrict mask nomodify notrap指定internet服务器restrict 4 mask m nomodify notrap noqueryserver 4# hosts on local network are less restricted.#restrict 192.168.

15、1.0 mask nomodify notrap# use public servers from the project.# please consider joining the pool (/join.html). server o.server 1.server 2.#server #server #broadcast 55 a

16、utokey # broadcast server#broadcastclient# broadcast client#broadcast autokey# multicast server#multicastclient # multicast client#manycastserver 54# manycast server#manycastclient 54 autokey # manycast client# undisciplined local clock. this is a fake dr

17、iver intended for backup# and when no outside source of synchronized time is available.server # local clock本地时间服务器fudge stratum 10 指定为第 10 层# enable public key cryptography.# cryptoincludefile /etc/ntp/crypto/pw# key file containing the keys and key identifiers used when oper

18、ating# w让h symmetric key cryptography.keys /etc/ntp/keys# specify the key identifiers which are trusted.#trustedkey 4 8 42# specify the key identifier to use with the ntpdc utility.#requestkey 8# specify the key identifier to use with the ntpq utility.#controlkey 8# enable writing of statistics reco

19、rds.#statistics clockstats cryptostats loopstats peerstatslogfile /var/log/ntp 指定日志rootserverl00 #5、修改/etc/ntp/step-ticker文件，内容如下（当启动时ntpd时，会自动与该文 件中的记录上的上层ntp服务器进行时间校对）rootserverloo log# vim /etc/ntp/step-tickers|46. 修改/etc/sysconfig/ntpd 这个文件rootserverl00 log# vim /etc/syscon

20、fig/ntpdoptions:.*'|ync_hwclock=yes允许bios与系统时间同步，也可以是用hwclock -w完成7、重新启动ntp服务器，然后通过ntpstat命令显示本机上一层次与上层ntp 时间同步的情况，也可以使用ntpq -p查看本机与上才能服务器之间的通信，由 于我这个是局域网，所以本时间服务器不能与上层服务器通信。root0serverloolog】2 service ntpd restartshuttingdown ntpd:(ok startingntpd:i ok jrootserverloolog1 netstat -tunlplgrep 123

21、udp0000:1:*1976/ntudp00:1:*1976/ntudp00:1：*1976/ntudp00fe80:20c:29ff:fe7d:382:123 * 1976/ntudp00:1:123 1976/ntudp00:123 * 1976/ntrooteserverlloqlntpstat的三行信息 进行时间校对的ntp服务器本地主机与上层ntp服务器的时间差 下次同步时间rootserverl00 log# ntpstatsynchronised to local ne

22、t at stratum 11 time correct to within 953 ms polling server every 64 srootserverl00 log#root©server100log# ntpq -premoterefidstmb wt when pollreachdelayoffsetjitter4.init.<0flbo 16 obb u-6400.0000.0000.000local(0)locl.10132643770.0000.0000.000root0serverloologj# |ntpq -p这个命令的输出，

23、各字段的含义remote本地主机所连接的上层服务器。refid 指定的是上层ntp服务器4提供时间校对的服务器st指定的是上层ntp服务器的级别when上一次与上层ntp服务器进行时间校对的时间poll下次本地主机与上层ntp服务器进行时间校对的时间,o在ntp服务运行之 初poll值会比较小，之后poll值就会逐渐增大reach 一个八进制值记录与上层ntp服务器进行校对的时间delay从本地主机发送同步要求到上层ntp服务器的循环时间offset时间补偿结果,offset越接近0.表示与上层时间就越接近。jitter 一个做统计的值，该值统计在特定个连续的连接数里o

24、ffset的分布情况， 这个值越小本地时间就越精确。下面我们来设置客户端编辑文件/etc/ntp.conf,添加如下行。设置上层时间服务器server 0. server 1. server 2. server 192-168.72.100设置与上层时间服务器进行时间校对rootstation20 # vim /etc/ntp/step-tickers000将bios时间与系统时间同步rootstation20vim /etc/sysconfig/ntpdoptions:

25、，、h .|ync_hwclock=yes这样就完成客户端的自动同步时间了在客户端station20这台机器上测试通过ntpstat来查看rootstation20 # ntpstatsynchronised to ntp server (00) at stratum 12 time correct to within 950 ms polling server every 64 srootstation20 t# ntpq premoterefidst t when poll reach delay offset jitter*00 local (0)11 u 26477c.5040.6250.222rootstation20 如果没有配置可以通过ntpdate来手动完成同步rcot0station2o ntpdate 0031 oct 22:41:36 ntpdate1987: the ntp socket is in use, exiting rcotstation20 # "f面就是在windows 7来同步时间root6station20 f ntpq ntpq> help ntpq commands:addva