NTP:修订间差异

来自Ubuntu中文
跳到导航跳到搜索
Fei3ban留言 | 贡献
无编辑摘要
Fei3ban留言 | 贡献
无编辑摘要
第189行: 第189行:
ciscoswitch# exit  
ciscoswitch# exit  
</pre>  
</pre>  
NTP server命令与其他系统,形成了服务关联,set nip client enable 设置激活NTP客户端
NTP server命令与其他系统,形成了服务关联,"set ntp client enable"设置激活NTP客户端


= <br>NTP安全  =
= <br>NTP安全  =

2008年6月23日 (一) 17:17的版本

{{#ifexist: :NTP/zh | | {{#ifexist: NTP/zh | | {{#ifeq: {{#titleparts:NTP|1|-1|}} | zh | | }} }} }} {{#ifeq: {{#titleparts:NTP|1|-1|}} | zh | | }}





简介

网络时间协议(NTP)是用来帮助Linux系统时钟与准确的时间源同步的协议.允许让网上所有站点同步时间.分为两类:


*第1类: NTP站点使用的原子钟计时.
*第2类: NTP站点和较小的准确时间源.( NTP sites with slightly less accurate time sources)

这个做法好处是至少有一个服务器在您的网络上成为本地时间服务器,为其他设备服务。(This makes the correlation of system events on different systems much easie)这使得在不同的系统上的系统事件相关性对比变得容易。它也降低了由于NTP的通讯需要的互联网带宽使用量,并减少为每个NTP的客户端配置防火墙规则.而且并非所有服务器将有因特网接入.在这种情况下,您需要一个中央服务器处理所有访问.

查询可用的第1类和第2类服务器清单,清请访问http://www.ntp.org/


下载和安装NTP包

最版RedHat和Fedora Linux软件产品都可以用RPM的格式.从RPMS中下载并安装并不难.如果您需要复修,参考第6章"安装Linux软件"("Installing Linux Software")有所有的细节。

当寻找该文件,记住NTP RPMs的文件名通常用NTP加版本号,如:NTP - 4.1.2 - 5.i386.rpm

/etc/ntp.conf 文件

/etc/ntp.conf 文件是Linux NTP的主要配置文件,你可以设置NTP服务器的ip地址.下面是建立互联网基础的NTP服务器的步骤

1) 首先指定有兴趣的服务器:

server  otherntp.server.org     # A stratum 1 server at server.org
server  ntp.research.gov        # A stratum 2 server at research.gov 


2)限制你允许的这些服务器的访问类型,在这个例子中的服务器是不容许修改运行时配置或查询您的Linux NTP服务器:

restrict otherntp.server.org mask 255.255.255.255 nomodify notrap noquery
restrict ntp.research.gov mask 255.255.255.255 nomodify notrap noquery 


The mask 255.255.255.255 statement is really a subnet mask limiting access to the single IP address of the remote NTP servers.

3)如果此服务器也是要提供时间给其他计算机,如PC,其他Linux服务器和网络设备,那么您必须界定网络从这个服务器接受NTP同步的请求。你要修改restric语句,去掉noquery关键字,让网络查询您的NTP服务器。语法是:

restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap 


在这种情况下,mask包括所有255个在本地网络内可能的IP地址.

4) 还要确保localhost(这个常用的IP地址用来指Linux服务器本身)有足够权限.使用没有任何限制关键词的语法: 

restrict 127.0.0.1 


5) 保存文件并重新启动NTP,这些设置才会生效.现在,您可以用相似的方式设定您的网络上其他的Linux主机与这个新的主NTP服务器同步.

怎样开始NTP

当你修改了配置信息,你必须重新启动NTP进程以取得及时的效果.

开始配置NTP,用下面的命令:

[root@bigboy tmp]# chkconfig ntpd on 

启动,停止,重启NTP,用下面的命令:

[root@bigboy tmp]# service ntpd start
[root@bigboy tmp]# service ntpd stop
[root@bigboy tmp]# service ntpd restart 

测试和解决NTP问题

在配置和启动NTP后,你应该测试以确定NTP是否在工作,参考下面的指引去检测NTP的工作.

检查NTP运行

使用下面的命令检查NTP服务是否运行

[root@bigboy tmp]# pgrep ntpd 


这时你应该能得到一个进程ID.


同步初始化

如果本地主机的时间和主时间服务器的不同,你的NTP的进程可能会终止,并且在/var/log/messages 留下错误信息.你应该在同步服务器时间之前,运行ntpdate -u命令预先得道时间.不过ntpdate命令不会一直运行,你仍然需要运行ntpd后台进程去自动同步时间.

下面的范例中,服务器最初的时间是在午夜,然后同步时间到am 8:03.

  • 先检查自己的服务器的时间
[root@smallfry tmp]# date
Thu Aug 12 00:00:00 PDT 2004
[root@smallfry tmp]# 
  • ntpdate 命令在smallfry机器上运行了3次去同步192.168.1.100服务器的时间,不过它必须在ntpd进程停止的时候运行,所以你要先停止ntpd,运行ntpdate,然后再运行ntpd.
[root@smallfry tmp]# service ntpd stop
[root@smallfry tmp]# ntpdate -u 192.168.1.100
Looking for host 192.168.1.100 and service ntp
host found : bigboy.my-site.com
12 Aug 08:03:38 ntpdate[2472]: step time server 192.168.1.100 offset 28993.084943 sec
[root@smallfry tmp]# ntpdate -u 192.168.1.100
Looking for host 192.168.1.100 and service ntp
host found : bigboy.my-site.com
12 Aug 08:03:40 ntpdate[2472]: step time server 192.168.1.100 offset 2.467652 sec
[root@smallfry tmp]# ntpdate -u 192.168.1.100
Looking for host 192.168.1.100 and service ntp
host found : bigboy.my-site.com
12 Aug 08:03:42 ntpdate[2472]: step time server 192.168.1.100 offset 0.084943 sec
[root@smallfry tmp]# service ntpd start
[root@smallfry tmp]# 
  • 现在时间改正过来了.
[root@smallfry tmp]# date
Thu Aug 12 08:03:45 PDT 2004
[root@smallfry tmp]# 


检定NTP 同步

使用ntpq命令查看与您同步的服务器.它提供你一份时间服务器配置清单,包括延误值(delay),偏差值(offset)和抖动值(jitter).为了能正确同步,延迟值和偏移值应该不为零,抖动值(jitter)应小于100 .

[root@bigboy tmp]# ntpq -p 

这是命令输出的结果:

remote refid st t when poll reach delay offset jitter
==============================================================================
-jj.cs.umb.edu gandalf.sigmaso 3 u 95 1024 377 31.681 -18.549 1.572 
milo.mcs.anl.go ntp0.mcs.anl.go 2 u 818 1024 125 41.993 -15.264 1.392
-mailer1.psc.edu ntp1.usno.navy. 2 u 972 1024 377 38.206 19.589 28.028
-dr-zaius.cs.wis ben.cs.wisc.edu 2 u 502 1024 357 55.098 3.979 0.333
+taylor.cs.wisc. ben.cs.wisc.edu 2 u 454 1024 347 54.127 3.379 0.047
-ntp0.cis.strath harris.cc.strat 3 u 507 1024 377 115.274 -5.025 1.642
*clock.via.net .GPS. 1 u 426 1024 377 107.424 -3.018 2.534
ntp1.conectiv.c 0.0.0.0 16 u - 1024 0 0.000 0.000 4000.00 


Linux NTP 客户端无法同步

下表的迹象表明你没有得到适当的同步,因为所有远程服务器的jitter值为4000,delay和reach值为0

remote refid st t when poll reach delay offset jitter
 =============================================================================
LOCAL(0) LOCAL(0) 10 l - 64 7 0.000 0.000 0.008
ntp-cup.externa 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
snvl-smtp1.trim 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
nist1.aol-ca.tr 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00 

可能的原因:

  • 如果您使用的DNS名称做为NTP服务器时旧版本的的NTP包会工作不正常.在这样的情况下,您要使用的实际IP地址代替.
  • 防火墙阻止访问NTP服务器.这可能是NTP服务器和它的时间源之间有防火墙软件如iptables的限制.
  • 在NTP客户端的restrict字段里面有notrust nomodify notrap的关键字.Fedora Core 2的某些版本中除非NTP客户端的restrict字段里面删除notrust nomodify notrap的关键字,否则不能执行NTP同步.

在下面例子中,restrict字段只是客户端网络的定义而没有任何关键字:

#-- CLIENT NETWORK -------
#restrict 172.16.1.0 mask 255.255.255.0 notrust nomodify notrap
restrict 172.16.1.0 mask 255.255.255.0



Fedora Core 2 文件权限

所有的Fedora/RedHat的NTP后台进程要写临时文件到/etc/NTP这个目录.不幸的是,Fedora Core 2这个目录不容许的保存临时文件.所以你要设定组,所有者等权限给NTP.

[root@bigboy tmp]# chown ntp:ntp /etc/ntp 

如果你没有那样做,我会在/var/log/messages得到错误信息.

Aug 12 00:29:45 smallfry ntpd[2097]: can't open /etc/ntp/drift.TEMP: Permission denied

配置Cisco 设备去使用NTP服务器

您可以使用的NTP对各种设备同步时间,包括网络设备。我已概括必要的用于多种思科系统公司产品的NTP命令,因为这是一个最热门的网络设备制造商,可能用于的许多家庭办公/小型办公室( SOHO )环境和企业部门

Cisco IOS

使您的路由器与IP地址 192.168.1.100和192.168.1.201 的NTP服务器同步,使用命令:


ciscorouter> enable
password: *********
ciscorouter# config t
ciscorouter(config)# ntp update-calendar
ciscorouter(config)# ntp server 192.168.1.100
ciscorouter(config)# ntp server 192.168.1.201
ciscorouter(config)# exit
ciscorouter# wr mem 

NTP server 命令结合其他系统,形成了一个服务关联,ntp update-calendar配置系统从软件时钟更新其硬件时钟.

CATOS

使您的路由器与IP地址 192.168.1.100和192.168.1.201 的NTP服务器同步,使用命令:

ciscoswitch> enable
password: *********
ciscoswitch# set ntp client enable
ciscoswitch# ntp server 192.168.1.100
ciscoswitch# ntp server 192.168.1.201
ciscoswitch# exit 

NTP server命令与其他系统,形成了服务关联,"set ntp client enable"设置激活NTP客户端


NTP安全

你应该知道NTP如何受到您的网络安全政策影响。这里有一些共同关注的领域.

防火墙和NTP

NTP服务器使用UDP的123目的端口通讯.不同于大多数UDP协议,源端口不是一个高端口(1023以上).您必须允许UDP源/目的端口123在您的服务器和straum1/2类服务器之间通讯.

Linux iptables 防火墙脚本片段样本在附录 II, "Codes, Scripts, and Configurations".

NTP认证

有可能的情况下,你不仅想限制的NTP同步到指定的网络,还需要一个同步密码。但这是本书范围以外的,所涵盖的详细信息可以去NTP网站www.ntp.org

配置windows NTP 客户端

作为Active Directory(活动目录)域一部分的Windows客户端会自动从域服务器获得时间同步,如果您的客户端不是某个域的一部分,您可以添加新的NTP服务器到Windows客户端.在这里的:

1 。在屏幕右下角按一下时间图标.
2 。点击"Internet时间"标签的对话框.
3 。点击复选框标记为“自动同步与Internet时间服务器”并输入名称或IP地址.
4 。点击“立即更新”按钮.

当操作完成你会得到一个讯息说:"你的时间已成功地同步".

结尾

在您的控制下的所有系统具有相同的准确时间,这是很重要的.它可以帮助你在多种设备下很清楚的了解一连串的事件,它也可以协助对时间敏感的交易的同步.

在您的本地网络有一个NTP服务器,可以很容易做这些事.有时,您的所有NTP的客户都有机会在互联网上获得与1类2类服务器同步,这不是合意的办法,如果中央到Internet的连接丢失,就有风险,失去同步.并且为多个NTP服务连接到互联网维护防火墙规则,也是艰巨的,特别是如果管理防火墙的是其他部门。

本地的NTP服务器,甚至当网际网路连线暂时丢失,也可确保客户端均拥有相同的时间,从而减少的问题.防火墙规则也可以大大简化。设置本地的NTP服务器也是经常基于这些原因。