Linux系统管理：ntp服务器设置自动更新

会计考友

配置服务器端：
" P" k7 j8 I# R* n# i& q   
    1）。 架设一个NTP Relay Server其实非常简单，我们先把需要的RPM包装上
   
9 w8 g+ t) P  r9 n5 g    # rpm -ivh ntp-4.2.2p1-5.el5.rpm
/ ^& Y  Y" V2 u. N0 N: {   
    2）。找到在互联网上给我们提供同步服务的NTP Server ,在这上面我们可以找到离我们城市最近的NTP Server. NTP建议我们为了保障时间的准确性，最少找两个个NTP Server
   
    那么比如在英国的话就可以选择下面两个服务器
( b& u7 ]5 `* w) F0 y! q4 M   
    0.uk.pool.ntp.org
+ D8 L) G2 n- Z   
) f) m* T0 u; \3 g( B5 _    1.uk.pool.ntp.org
0 H1 j6 w# b% {) G   
; ]: i7 l" V7 w2 o    它的一般格式都是number.country.pool.ntp.org
   
    中国的ntp服务器地址：
5 w9 t. C6 P/ y% o9 k& X! e. H   
    server 133.100.11.8 prefer
   
    server 210.72.145.44
" R# P7 I2 K: v7 b9 R9 [$ F   
- U, j: I  A; a* r0 ?. t3 R% ]9 ?    server 203.117.180.36
. x' h5 U: n7 O# j, L' Z   
6 d8 o9 B4 x* L7 \$ r    server 131.107.1.10
   
    server time.asia.apple.com
/ c$ Z6 F7 }& \% x' s: f9 X) ^: x: c. d   
+ A3 d6 m' }" M9 c    server 64.236.96.53
1 }( `% S" W4 m   
    server 130.149.17.21
   
; K* _& X& V% S* @4 Z3 E4 u    server 66.92.68.246
  e* \7 g  S+ y2 O1 F( V  b# j   
    server www.freebsd.org
   
/ E, |; ?; H7 b7 x0 Q6 j    server 18.145.0.30
   
    server clock.via.net
   
! b) Y6 V& u  S9 `7 {    server 137.92.140.80
   
    server 133.100.9.2
   
    server 128.118.46.3
   
    server ntp.nasa.gov
- O9 o. }+ R4 R6 D3 u$ \   
. W  s" I7 J* ]* n* q$ ~% {7 O- }    server 129.7.1.66
   
7 w( a: T/ t! s* k: R    server ntp-sop.inria.fr
   
! u7 I, N/ X: n    server （国家授时中心服务器IP地址）

会计考友

3）。在打开NTP服务器之前先和这些服务器做一个同步，使得我们机器的时间尽量接近标准时间。 这里我们可以用ntpdate命令
' @# Y# V0 P2 _+ y   
    # ntpdate 0.uk.pool.ntp.org
   
  C0 }5 |9 `0 t1 Q1 {" y4 \    6 Jul 01:21:49 ntpdate[4528]: step time server 213.222.193.35 offset -38908.575181 sec
   
7 A. d* [( k1 g9 P, j  F    # ntpdate 0.pool.ntp.org
   
    6 Jul 01:21:56 ntpdate[4530]: adjust time server 213.222.193.35 offset -0.000065 sec
5 b- E/ x" ^8 B   
    假如你的时间差的很离谱的话第一次会看到调整的幅度比较大，所以保险起见可以运行两次。 那么为什么在打开NTP服务之前先要手动运行同步呢？
   
% D( n0 P3 _3 d" o( z& F6 ~$ G    1. 因为根据NTP的设置，如果你的系统时间比正确时间要快的话那么NTP是不会帮你调整的，所以要么你把时间设置回去，要么先做一个手动同步
* b3 v& m$ z/ F9 o. ^# T   
) Y  E4 q* Z9 r& D    2. 当你的时间设置和NTP服务器的时间相差很大的时候，NTP会花上较长一段时间进行调整。所以手动同步可以减少这段时间
0 k5 m/ V) A+ R9 l$ A   
) y, v/ n; p* I" i0 W9 c3 d/ k    5. 配置和运行NTP Server
, f; l9 V! W! B+ M" x* H2 G   
    现在我们就来创建NTP的配置文件了， 它就是/etc/ntp.conf. 我们只需要加入上面的NTP Server和一个driftfile就可以了
   
    # vi /etc/ntp.conf
   
    server 0.uk.pool.ntp.org
   
7 @0 o) N. U) z9 }- f. t" R8 L    server 1.uk.pool.ntp.org
   
: @( Q: ^5 k3 u) i    driftfile /var/lib/ntp/ntp.drift
   
+ a) z! L) V/ z" J" r    非常的简单。 接下来我们就启动NTP Server,并且设置其在开机后自动运行
   
    # /etc/init.d/ntpd start
   
% S$ w3 N% X' s4 U# d3 I1 A1 z# V& @    # chkconfig --level 35 ntpd on
" _" ^% x  `1 `' K0 S; u5 f/ a   
$ x0 S. y; T* l. G9 \    6. 查看NTP服务的运行状况
) U  N: B: o1 Y  F7 N/ L   
    现在我们已经启动了NTP的服务，但是我们的系统时间到底和服务器同步了没有呢？ 为此NTP提供了一个很好的查看工具： ntpq （NTP query）
- m! ~, l! n% N9 v8 L   
7 B& J0 ?. v  j* V7 z    我建议大家在打开NTP服务器后就可以运行ntpq命令来监测服务器的运行。这里我们可以使用watch命令来查看一段时间内服务器各项数值的变化

会计考友

# watch ntpq -p
1 L( I# I1 P6 d, m   
    Every 2.0s: ntpq -p                                  Sat Jul 7 00:41:45 2007
3 P7 K' L" I2 d* J) z8 R. ~   
7 u# z; d# c% u. H, x8 \: d    remote           refid      st t when poll reach   delay   offset jitter
* z- M! p# @1 g" ?/ A% U1 S   
$ N0 K( ?  W, ~& {% ^9 A6 D$ j7 Y    +193.60.199.75   193.62.22.98     2 u   52   64 377    8.578   10.203 289.032
% t! t  i$ R# l0 }   
  |3 z) R5 m7 `0 Z1 \1 k6 m    *mozart.musicbox 192.5.41.41      2 u   54   64 377   19.301 -60.218 292.411
: Z0 u/ \( T  Z. ], D; Q7 g8 o. l- I   
    现在我就来解释一下其中的含义
   
    remote: 它指的就是本地机器所连接的远程NTP服务器
" @. R* i: q2 I+ A) C   
5 T9 D. J) M4 T; M- a    refid: 它指的是给远程服务器（e.g. 193.60.199.75）提供时间同步的服务器
  L  }; r8 q' C   
9 I' o% T( C. o2 i    st: 远程服务器的级别。 由于NTP是层型结构，有顶端的服务器，多层的Relay Server再到客户端。 所以服务器从高到低级别可以设定为1-16. 为了减缓负荷和网络堵塞，原则上应该避免直接连接到级别为1的服务器的。
   
    t: 这个……我也不知道啥意思^_^
   
5 K1 p' Y, F4 j) d: o/ h6 r: @    when: 我个人把它理解为一个计时器用来告诉我们还有多久本地机器就需要和远程服务器进行一次时间同步
% P4 O& _6 W" M   
5 U6 k- p( E- a$ }    poll: 本地机和远程服务器多少时间进行一次同步（单位为秒）。 在一开始运行NTP的时候这个poll值会比较小，那样和服务器同步的频率也就增加了，可以尽快调整到正确的时间范围。之后poll值会逐渐增大，同步的频率也就会相应减小
: K( S: o- G1 z! D% P% G# g4 a   
    reach: 这是一个八进制值，用来测试能否和服务器连接。每成功连接一次它的值就会增加
   
    delay: 从本地机发送同步要求到服务器的round trip time
   
    offset: 这是个最关键的值， 它告诉了我们本地机和服务器之间的时间差别。 offset越接近于0,我们就和服务器的时间越接近
" b9 C. h; V- S1 R   
    jitter: 这是一个用来做统计的值。 它统计了在特定个连续的连接数里offset的分布情况。 简单地说这个数值的绝对值越小我们和服务器的时间就越精确
, K* {0 y0 D9 t; Y* n% W   
; V5 H9 f2 D1 g8 \5 ^5 y- G2 S    那么大家细心的话就会发现两个问题： 第一我们连接的是0.uk.pool.ntp.org为什么和remote server不一样？ 第二那个最前面的+和*都是什么意思呢？
# d# m" S5 R( `1 D" X% c   
    第一个问题不难理解，因为NTP提供给我们的是一个cluster server所以每次连接的得到的服务器都有可能是不一样。同样这也告诉我们了在指定NTP Server的时候应该使用hostname而不是IP
8 S1 C& Y9 d" X   
, n6 j/ i) o8 [    第二个问题和第一个相关，既然有这么多的服务器就是为了在发生问题的时候其他的服务器还可以正常地给我们提供服务。那么如何知道这些服务器的状态呢？ 这就是第一个记号会告诉我们的信息
0 u3 M5 [/ A) P1 J   
, W5 R. ~( o. e    *
   
0 Q' J# E: ]$ c  g5 h" t/ U/ ?    它告诉我们远端的服务器已经被确认为我们的主NTP Server,我们系统的时间将由这台机器所提供
   
    +
   
4 d# g  s4 d4 @    它将作为辅助的NTP Server和带有*号的服务器一起为我们提供同步服务。 当*号服务器不可用时它就可以接管
$ A+ v6 j( f. o# E3 t   
/ z5 W2 `$ p8 T% J" f. y    -
" f# n* I9 Q; m+ h   
    远程服务器被clustering algorithm认为是不合格的NTP Server
   
- H" X. ~& j2 X0 d. e9 l    x
   
/ G4 [1 ~! a- n    远程服务器不可用
   
    了解这些之后我们就可以实时监测我们系统的时间同步状况了
& Y1 M) h+ Y% x% v8 g   
    7. NTP安全设置
   
    运行一个NTP Server不需要占用很多的系统资源，所以也不用专门配置独立的服务器，就可以给许多client提供时间同步服务， 但是一些基本的安全设置还是很有必要的
   
/ O" l7 U9 X: c/ x    那么这里一个很简单的思路就是第一我们只允许局域网内一部分的用户连接到我们的服务器。 第二个就是这些client不能修改我们服务器上的时间

会计考友

在/etc/ntp.conf文件中我们可以用restrict关键字来配置上面的要求
   
4 X6 ~: j* e' l    首先我们对于默认的client拒绝所有的操作
! Y, X- n0 A! u6 M   
; D# F5 a7 W( [- S+ E9 c& ^8 r1 [3 z    restrict default kod nomodify notrap nopeer noquery
   
    然后允许本机地址一切的操作
   
) Y5 x/ |# |, Y2 }" ]" V* L: j5 q    restrict 127.0.0.1
2 X; ?7 F3 ^6 D, Z/ i   
1 U/ R, E" `' }3 d8 O( U% p    最后我们允许局域网内所有client连接到这台服务器同步时间。但是拒绝让他们修改服务器上的时间
& h! Z0 q9 t- J2 J   
    restrict 192.168.1.0 mask 255.255.255.0 nomodify
   
    把这三条加入到/etc/ntp.conf中就完成了我们的简单配置。 NTP还可以用key来做authenticaiton,这里就不详细介绍了
' h6 Y# n! K0 E) o' Z7 M   
! j$ I% V  y& l& o$ w    8. NTP client的设置
   
  t8 l- ?. k' t. l" S    做到这里我们已经有了一台自己的Relay Server.如果我们想让局域网内的其他client都进行时间同步的话那么我们就都应该照样再搭建一台Relay Server,然后把所有的client都指向这两台服务器（注意不要把所有的client都指向Internet上的服务器）。 只要在client的ntp.conf加上这你自己的服务器就可以了
4 t0 e" I1 |0 d; k  v' n: o   
: E5 t- e" M! z; h    代码：
   
    server ntp1.leonard.com
   
    server ntp2.leonard.com
   
2 f& E, R. e. p4 z! |/ H% I    server 10.1.0.41
8 t  s7 Z- J7 U+ z2 x4 j   
0 G! y+ V- q! n    9. 一些补充和拾遗
   
    1. 配置文件中的driftfile是什么？
/ x0 E- B: X; p3 Q   
    我们每一个system clock的频率都有小小的误差，这个就是为什么机器运行一段时间后会不精确。 NTP会自动来监测我们时钟的误差值并予以调整。但问题是这是一个冗长的过程，所以它会把记录下来的误差先写入driftfile.这样即使你重新开机以后之前的计算结果也就不会丢失了
   
* E4 Z; [9 c( ]  R' }    2. 如何同步硬件时钟？
0 H( m, @. {% B) D9 J% Y   
    NTP一般只会同步system clock. 但是如果我们也要同步RTC的话那么只需要把下面的选项打开就可以了
4 j6 p( D& m! e/ M  J  j7 p2 K   
    可以通过ps –ef |grep ntp或者使用pgrep –lf ntp查看一下你的ntp服务是否启动了。然后可以通过snoop命令进行ntp的检测。
   
8 y' M+ N, f; v5 }( Q8 V1 Z    Snoop |grep –i ntp进行检测。
   
    在建立好ntp服务以后，可以用2个工具命令对ntp服务进行管理。
9 ^5 g* r# ?  I   
    一个是ntpq是一个交互式应用命令，在它的下面有很多的子命令可以供大家使用。使用peers可以查看同步进程。如果还需要其他的命令可以输入help 进行查看。还有一个工具命令是ntpdate这个命令一般用于ntp的客户端使用。可以在/var/adm/messages中看到ntp的同步信息的情况。如果需要更加详细的ntpq和ntpdate的信息可以使用man帮助进行查询。