ubuntu 時間同步-安裝ntp服務器

 

原文鏈接： https://www.idcyunwei.org/post/235.html

 

姊妹篇：ubuntu 時間同步- systemd-timesyncd配置

 

 

在Ubuntu 18.04服務器上安裝和配置NTP服務器

下面是安裝NTP服務器並進行必要修改以在網絡中實現所需時間同步的分步過程。

第1步：更新系統存儲庫

首先，讓我們從更新系統包開始：

apt update -y	//更新Ubuntu系統

第2步：在Ubuntu 18.04上安裝NTP服務器

在已安裝系統軟件包的情況下，通過運行在Ubuntu 18.04 LTS上安裝NTP協議。

apt install ntp //出現提示時，鍵入y並按Enter以完成安裝過程。

第3步：在Ubuntu 18.04上配置NTP服務器池

默認情況下， NTP協議附帶已在其配置文件中配置的默認NTP池服務器

vim /etc/ntp.conf
pool 0.ubuntu.pool.ntp.org iburst	//默認NTP服務器池
pool 1.ubuntu.pool.ntp.org iburst
pool 2.ubuntu.pool.ntp.org iburst
pool 3.ubuntu.pool.ntp.org iburst

這些通常一樣好。 但是，您可以考慮更改為距離您所在位置最近的NTP服務器池 。 

 

 

下面的鏈接會將您引導至一個頁面，您可以在其中選擇最喜歡的NTP池列表。

https://www.ntppool.org/	//使用Europe/United Kingdom地區，可以發現有這么幾個。

要替換默認的NTP池服務器 ，請使用您文本編輯器打開NTP配置文件。

vim /etc/ntp.conf
server 0.uk.pool.ntp.org 
server 1.uk.pool.ntp.org 
server 2.uk.pool.ntp.org 
server 3.uk.pool.ntp.org
要使更改生效，請重新啟動NTP服務並使用命令驗證其狀態。
systemctl restart ntp 
systemctl status ntp	//驗證NTP狀態

查看ntp運行狀態


命令：ntpq -p
ntp參數含義
remote	：	本地機器所連接的遠程NTP服務器 
refid	：	指的是參考的上一層NTP主機的地址 
st	：	遠程服務器的級別。
由於NTP是層型結構，有頂端的服務器,多層的Relay Server再到客戶端.
所以服務器從高到低級別可以設定為1-16.為了減緩負荷和網絡堵塞,原則上應該避免直接連接到級別為1的服務器的 
when	：	用做計時，用來告訴我們還有多久本地機器就需要和遠程服務器進行一次時間同步 
poll	：	本地主機和遠程服務器多少時間進行一次同步（單位為秒） 
reach	：	這是一個八進制值，表示已經向上層NTP服務器要求更新的次數。每成功連接一次，它的值就加1 
delay	：	網絡傳輸過程中延遲的時間，單位為微秒 
offset	：	我們本地機和服務器之間的時間差別。單位為毫秒 
jitter	：	Linux系統時間與BIOS硬件時間的差異時間，單位為微秒
服務器狀態參數
*	:	它告訴我們遠端的服務器已經被確認為我們的主NTP Server,我們系統的時間將由這台機器所提供 
+	:	它將作為輔助的NTP Server和帶有*號的服務器一起為我們提供同步服務.當*號服務器不可用時它就可以接管 
-	:	遠程服務器被clustering algorithm認為是不合格的NTP Server 
x	:	遠程服務器不可用

NTP安全設置

運行一個NTP Server不需要占用很多的系統資源，
所以也不用專門配置獨立的服務器，就可以給很多client提供時間同步服務，
但是一些基本的安全設置還是很有必要的，提供一種思路：
只允許局域網內一部分的用戶連接到我們的服務器
這些client不能修改我們服務器上的時間

安全設置

在/etc/ntp.conf文件中我們可以用restrict關鍵字來配置上面的要求 ：
[restrict]參數設定方式： restrict [your ip] mask [netmask_ip] [parameter] 
其中parameter的參數主要有： 
ignore	：	拒絕所有類型的ntp連接 
nomodify	：	客戶端不能使用ntpc與ntpq兩支程式來修改服務器的時間參數 
noquery	：	客戶端不能使用ntpq、ntpc等指令來查詢服務器時間，等於不提供ntp的網絡校時 
notrap	：	不提供trap這個遠程時間登錄的功能 
notrust	：	拒絕沒有認證的客戶端 
nopeer	：	不與其他同一層的ntp服務器進行時間同步
參考配置
對於默認的client拒絕所有的操作  
restrict default kod nomodify notrap nopeer noquery
然后允許本機地址一切的操作  
restrict 127.0.0.1
最后允許局域網內指定的client連接到這台服務器同步時間，但是拒絕他們修改服務器時間  
restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap

如果啟用了UFW防火牆

我們需要在其上允許NTP服務，以便客戶端計算機可以訪問NTP服務器。

ufw allow ntp OR ufw allow 123/udp	//要實施更改，請如圖所示重新加載防火牆。
ufw reload	//要驗證所做的更改，請執行命令。
ufw status	//驗證UFW防火牆上的NTP訪問權限

完善！ 我們已經在Ubuntu 18.04 LTS系統上成功設置了NTP服務器。 現在讓我們在客戶端系統上設置NTP 。