一,NTP服务器概念
一般用于局域网服务器时间同步使用的,可以保证局域网所有的服务器与时间服务器的时间保持一致,某些应用对时间实时性要求高的必须统一时间。
通俗的来说,一个机房需要保持一致的时间来进行管理。
二,NTP服务器的搭建(局域网内使用)
1,NTP服务器端口为UDP的123,需在本地防火墙添加规则或直接关闭防火墙(建议同时修改SELinux模式为permissive):
关闭防火墙:service iptables stop
添加本地防火墙规则:iptables -I INPUT 1 -p udp --dport 123 -j ACCEPT
vim /etc/selinux/config 修改SELINUX=disabled
(建议先关闭防火墙,实验成功之后,再设置防火墙)
2,NTP服务器的安装:yum install ntp
3,配置文件/etc/ntp.conf
如图所示,添加一个网段。表示这个网段内的ip可以通过我的NTP服务器同步时间。
如图所示,添加一个主机来源。就是同步时间的来源。这里用的是阿里的同步源。
4,重启ntp服务,在这里还可以通过ntpq -p 来查看主机源状态。
至此,服务器端的配置完成。
开始配置客户端
1,同样需要yum安装ntp
2, ntpdate 192.168.66.128(这里是我服务器的IP地址)
3,将原先的注释掉。替换
其实,客户端的配置还有第二种方式!
ntpdate 服务端ip
查看时间和BIOS时间
date; hwclock–r
vim /etc/crontab
# 加入这一行
10 5 * * * root (/usr/sbin/ntpdatexxx.xxx.xxx.xxx&& /sbin/hwclock-w) &> /dev/null
使用crontab之后,每天5:10 Linux 系统就会自动的进行网络校时,不过,这个方式仅适合不要启动NTP 的情况。如果你的机器数量太多了,那么客户端最好也启动一下NTP 服务 !通过NTP 去主动的更新时间
三,解读/etc/ntp.conf配置文件
restrict 控制相关权限。
语法为:restrict IP地址mask 子网掩码参数
其中IP地址也可以是default ,default 就是指所有的IP
参数有以下几个:
ignore :关闭所有的NTP 联机服务
nomodify:客户端不能更改服务端的时间参数,但是客户端可以通过服务端进行网络校时。
notrust:客户端除非通过认证,否则该客户端来源将被视为不信任子网
noquery:不提供客户端的时间查询:用户端不能使用ntpq,ntpc等命令来查询ntp服务器,等于不提供NTP 的网络校时.
notrap:不提供trap远端登陆:拒绝为匹配的主机提供模式6 控制消息陷阱服务。陷阱服务是ntpdq控制消息协议的子系统,用于远程事件日志记录程序。
nopeer:用于阻止主机尝试与服务器对等,并允许欺诈性服务器控制时钟
restrict -6 表示IPV6地址的权限设置。
[root@www~]# vim /etc/ntp.conf
# 1. 先处理权限方面的问题,包括放行上层服务器以及开放区网用户来源:
restrict default kod nomodify notrap nopeer noquery<==拒绝IPv4 的用户
restrict -6 default kod nomodify notrap nopeer noquery<==拒绝IPv6 的用户
restrict 59.124.196.84 <==放行time.stdtime.gov.tw 进入本NTP 服务器
restrict 127.0.0.1 <==底下两个是默认值,放行本机来源
restrict -6 ::1
restrict 192.168.100.0 mask 255.255.255.0 nomodify<==放行区网来源
# 2. 设定主机来源
server 220.130.158.71 prefer <==以这部主机为最优先
server 59.124.196.83
server 59.124.196.84
# 3.预设时间差异分析档案与暂不用到的keys 等,不需要更动它:
driftfile/var/lib/ntp/drift
keys /etc/ntp/keys
栗子:
从192.168.0.1-192.168.0.254的服务器都可以使用我们的NTP服务器来同步时间
restrict 192.168.0.0 mask 255.255.255.0 notrustnomodifynotrap
限制向从192.168.0.1-192.168.0.254这些IP段的服务器提供NTP服务
restrict 192.168.0.0 mask 255.255.255.0 notrustnomodifynotrapnoquery
设置默认策略为允许任何主机进行时间同步
restrict default ignore
确保localhost(这个常用的IP地址用来指Linux服务器本身)有足够权限.使用没有任何限制关键词的语法:
restrict 127.0.0.1
restrict -6 ::1
添加下面两行,表示将本地的硬件时间也作为同步的时间源之一,这样在不联网的时候可以把本机时间作为同步时间源,在内网环境下,可以把配置文件中其他的server都删除掉。
server 127.127.1.0 # local clock
fudge 127.127.1.0 stratum 10
stratum为服务器的层级,如果要向别的NTP服务器更新时间,请不要把它设为0,其取值范围为0-15
附 (NTP 服务器列表等相关信息)
适用于国内的 NTP 服务器地址,可用于时间同步或 Android 加速 GPS 定位
https://blog.csdn.net/maxsky/article/details/53866475