2023年6月30日发(作者：)

LINUX上实现SNTP（时间同步）Network Time Protocol (NTP) 也是RHCE新增的考试要求. 学习的时候也顺便复习了⼀下如何设置Linux的时间,现在拿出来和⼤家分享设置NTP服务器不难但是NTP本⾝是⼀个很复杂的协议. 这⾥只是简要地介绍⼀下实践⽅法和上次⼀样,下⾯的实验都在RHEL5上运⾏1. 时间和时区如果有⼈问你说现在⼏点? 你看了看表回答他说晚上8点了. 这样回答看上去没有什么问题,但是如果问你的这个⼈在欧洲的话那么你的回答就会让他很疑惑,因为他那⾥还太阳当空呢.这⾥就有产⽣了⼀个如何定义时间的问题. 因为在地球环绕太阳旋转的24个⼩时中,世界各地⽇出⽇落的时间是不⼀样的.所以我们才有划分时区(timezone) 的必要,也就是把全球划分成24个不同的时区. 所以我们可以把时间的定义理解为⼀个时间的值加上所在地的时区(注意这个所在地可以精确到城市)地理课上我们都学过格林威治时间(GMT), 它也就是0时区时间. 但是我们在计算机中经常看到的是UTC. 它是Coordinated Universal Time的简写. 虽然可以认为UTC和GMT的值相等(误差相当之⼩),但是UTC已经被认定为是国际标准,所以我们都应该遵守标准只使⽤UTC那么假如现在中国当地的时间是晚上8点的话,我们可以有下⾯两种表⽰⽅式20:00 CST12:00 UTC这⾥的CST是Chinese Standard Time,也就是我们通常所说的北京时间了. 因为中国处在UTC+8时区,依次类推那么也就是12:00 UTC了.为什么要说这些呢(呵呵这⾥不是地理论坛吧...)第⼀,不管通过任何渠道我们想要同步系统的时间,通常提供⽅只会给出UTC+0的时间值⽽不会提供时区(因为它不知道你在哪⾥).所以当我们设置系统时间的时候,设置好时区是⾸先要做的⼯作第⼆,很多国家都有夏令时(我记得⼩时候中国也实⾏过⼀次),那就是在⼀年当中的某⼀天时钟拨快⼀⼩时(⽐如从UTC+8⼀下变成UTC+9了),那么同理到时候还要再拨慢回来.如果我们设置了正确的时区,当需要改变时间的时候系统就会⾃动替我们调整现在我们就来看⼀下如何在Linux下设置时区,也就是time zone

2. 如何设置Linux Time Zone在Linux下glibc提供了我们事先编译好的许多timezone⽂件, 他们就放在/usr/share/zoneinfo这个⽬录下,这⾥基本涵盖了⼤部分的国家和城市代码:# ls -F /usr/share/zoneinfo/Africa/ Chile/ Factory Iceland Mexico/ posix/ UniversalAmerica/ CST6CDT GB Indian/ Mideast/ posixrules US/Antarctica/ Cuba GB-Eire Iran MST PRC UTCArctic/ EET GMT MST7MDT PST8PDT WETAsia/ Egypt GMT0 Israel Navajo right/ W-SUAtlantic/ Eire GMT-0 Jamaica NZ ROC tralia/ EST GMT+0 Japan NZ-CHAT ROK ZuluBrazil/ EST5EDT Greenwich Kwajalein Pacific/ SingaporeCanada/ Etc/ Hongkong Libya Poland TurkeyCET Europe/ HST MET Portugal UCT在这⾥⾯我们就可以找到⾃⼰所在城市的time zone⽂件. 那么如果我们想查看对于每个time zone当前的时间我们可以⽤zdump命令代码:# zdump HongkongHongkong Fri Jul 6 06:13:57 2007 HKT那么我们⼜怎么来告诉系统我们所在time zone是哪个呢? ⽅法有很多,这⾥举出两种第⼀个就是修改/etc/localtime这个⽂件,这个⽂件定义了我么所在的local time zone.我们可以在/usr/share/zoneinfo下找到我们的time zone⽂件然后拷贝去到/etc/localtimezone(或者做个symbolic link)假设我们现在的time zone是BST(也就是英国的夏令时间,UTC+1)代码:# dateThu Jul 5 23:33:40 BST 2007我们想把time zone换成上海所在的时区就可以这么做代码:# ln -sf /usr/share/zoneinfo/posix/Asia/Shanghai /etc/localtime# dateFri Jul 6 06:35:52 CST 2007这样时区就改过来了(注意时间也做了相应的调整)第⼆种⽅法也就设置TZ环境变量的值. 许多程序和命令都会⽤到这个变量的值. TZ的值可以有多种格式,最简单的设置⽅法就是使⽤tzselect命令代码:# TZ='America/Los_Angeles';export TZtzselect会让你选择所在的国家和城市(我省略了这些步骤),最后输出相应的TZ变量的值.那么如果你设置了TZ的值之后时区就⼜会发⽣变化代码:# dateThu Jul 5 15:48:11 PDT 2007通过这两个例⼦我们也可以发现TZ变量的值会override /etc/localtime. 也就是说当TZ变量没有定义的时候系统才使⽤/etc/localtime来确定time zone. 所以你想永久修改time zone的话那么可以把TZ变量的设置写⼊/etc/profile⾥好了现在我们知道怎么设置时区了,下⾯我们就来看看如何设置Linux的时间吧

3. Real Time Clock(RTC) and System Clock说道设置时间这⾥还要明确另外⼀个概念就是在⼀台计算机上我们有两个时钟:⼀个称之为硬件时间时钟(RTC),还有⼀个称之为系统时钟(System Clock)硬件时钟是指嵌在主板上的特殊的电路, 它的存在就是平时我们关机之后还可以计算时间的原因系统时钟就是操作系统的kernel所⽤来计算时间的时钟. 它从1970年1⽉1⽇00:00:00 UTC时间到⽬前为⽌秒数总和的值 在Linux下系统时间在开机的时候会和硬件时间同步(synchronization),之后也就各⾃独⽴运⾏了那么既然两个时钟独⾃运⾏,那么时间久了必然就会产⽣误差了,下⾯我们来看⼀个例⼦代码:# dateFri Jul 6 00:27:13 BST 2007# hwclock --showFri 06 Jul 2007 12:27:17 AM BST -0.968931 seconds

通过hwclock --show 命令我们可以查看机器上的硬件时间(always in local time zone), 我们可以看到它和系统时间还是有⼀定的误差的, 那么我们就需要把他们同步如果我们想要把硬件时间设置成系统时间我们可以运⾏以下命令代码:# hwclock --hctosys

反之,我们也可以把系统时间设置成硬件时间代码:# hwclock --systohc

那么如果想设置硬件时间我们可以开机的时候在BIOS⾥设定.也可以⽤hwclock命令代码:# hwclock --set --date="mm/dd/yy hh:mm:ss"

如果想要修改系统时间那么⽤date命令就最简单了代码:# date -s "dd/mm/yyyy hh:mm:ss"

现在我们知道了如何设置系统和硬件的时间. 但问题是如果这两个时间都不准确了怎么办? 那么我们就需要在互联⽹上找到⼀个可以提供我们准确时间的服务器然后通过⼀种协议来同步我们的系统时间,那么这个协议就是NTP了. 注意接下去我们所要说的同步就都是指系统时间和⽹络服务器之间的同步了4. 设置NTP Server前的准备其实这个标题应该改为设置"NTP Relay Server"前的准备更加合适. 因为不论我们的计算机配置多好运⾏时间久了都会产⽣误差,所以不⾜以给互联⽹上的其他服务器做NTP Server. 真正能够精确地测算时间的还是原⼦钟. 但由于原⼦钟⼗分的昂贵,只有少部分组织拥有, 他们连接到计算机之后就成了⼀台真正的NTP Server. ⽽我们所要做的就是连接到这些服务器上同步我们系统的时间,然后把我们⾃⼰的服务器做成NTPRelay Server再给互联⽹或者是局域⽹内的⽤户提供同步服务好了,前⾯讲了⼀⼤堆理论,现在我们来动⼿实践⼀下吧. 架设⼀个NTP Relay Server其实⾮常简单,我们先把需要的RPM包装上是否已经安装了NTP包可以⽤这条命令来确定：[root@NTPser ~]# rpm -qa | grep 5_4.1chkfontpath-1.10.1-1.1出现以上代码则表⽰已安装NTP包，否则⽤下⾯⽅法安装：代码:# rpm -ivh

那么第⼀步我们就要找到在互联⽹上给我们提供同步服务的NTP Server它的⼀般格式都是第⼆步要做的就是在打开NTP服务器之前先和这些服务器做⼀个同步,使得我们机器的时间尽量接近标准时间.

这⾥我们可以⽤ntpdate命令⼿动更新时间代码:# ntpdate 6 Jul 01:21:49 ntpdate[4528]: step time server 213.222.193.35 offset -38908.575181 sec# ntpdate 6 Jul 01:21:56 ntpdate[4530]: adjust time server 213.222.193.35 offset -0.000065 sec假如你的时间差的很离谱的话第⼀次会看到调整的幅度⽐较⼤,所以保险起见可以运⾏两次. 那么为什么在打开NTP服务之前先要⼿动运⾏同步呢?1. 因为根据NTP的设置,如果你的系统时间⽐正确时间要快的话那么NTP是不会帮你调整的,所以要么你把时间设置回去,要么先做⼀个⼿动同步2. 当你的时间设置和NTP服务器的时间相差很⼤的时候,NTP会花上较长⼀段时间进⾏调整.所以⼿动同步可以减少这段时间5. 配置和运⾏NTP Server现在我们就来创建NTP的配置⽂件了, 它就是/etc/. 我们只需要加⼊上⾯的NTP Server和⼀个driftfile就可以了代码:# vi /etc/rver 210.72.145.44 #这是中国国家授时中⼼的IPserver ver

fudge 127.127.1.0 stratum 0 stratum 这⾏是时间服务器的层次。设为0则为顶级，如果要向别的NTP服务器更新时间，请不要把它设为0driftfile /var/lib/ntp/ ⾮常的简单. 接下来我们就启动NTP Server,并且设置其在开机后⾃动运⾏代码:# /etc/init.d/ntpd start# chkconfig --level 35 ntpd on

6. 查看NTP服务的运⾏状况现在我们已经启动了NTP的服务,但是我们的系统时间到底和服务器同步了没有呢? 为此NTP提供了⼀个很好的查看⼯具: ntpq (NTP query)我建议⼤家在打开NTP服务器后就可以运⾏ntpq命令来监测服务器的运⾏.这⾥我们可以使⽤watch命令来查看⼀段时间内服务器各项数值的变化代码:# watch ntpq -pEvery 2.0s: ntpq -p Sat Jul 7 00:41:45 2007 remote refid st t when poll reach delay offset jitter===========================================================+193.60.199.75 193.62.22.98 2 u 52 64 377 8.578 10.203 289.032*ox 192.5.41.41 2 u 54 64 377 19.301 -60.218 292.411

现在我就来解释⼀下其中的含义 remote: 它指的就是本地机器所连接的远程NTP服务器 refid: 它指的是给远程服务器(e.g. 193.60.199.75)提供时间同步的服务器 st: 远程服务器的层级别（stratum）. 由于NTP是层型结构,有顶端的服务器,多层的Relay Server再到客户端. 所以服务器从⾼到低级别可以设定为1-16. 为了减缓负荷和⽹络堵塞,原则上应该避免直接连接到级别为1的服务器的. t: 这个.....我也不知道啥意思^_^ when: 我个⼈把它理解为⼀个计时器⽤来告诉我们还有多久本地机器就需要和远程服务器进⾏⼀次时间同步 poll: 本地机和远程服务器多少时间进⾏⼀次同步(单位为秒). 在⼀开始运⾏NTP的时候这个poll值会⽐较⼩,那样和服务器同步的频率也就增加了,可以尽快调整到正确的时间范围.之后poll值会逐渐增⼤,同步的频率也就会相应减⼩ reach: 这是⼀个⼋进制值,⽤来测试能否和服务器连接.每成功连接⼀次它的值就会增加 delay: 从本地机发送同步要求到服务器的round trip time offset: 这是个最关键的值, 它告诉了我们本地机和服务器之间的时间差别. offset越接近于0,我们就和服务器的时间越接近 jitter: 这是⼀个⽤来做统计的值. 它统计了在特定个连续的连接数⾥offset的分布情况. 简单地说这个数值的绝对值越⼩我们和服务器的时间就越精确那么⼤家细⼼的话就会发现两个问题: 第⼀我们连接的是为什么和remote server不⼀样? 第⼆那个最前⾯的+和*都是什么意思呢?第⼀个问题不难理解,因为NTP提供给我们的是⼀个cluster server所以每次连接的得到的服务器都有可能是不⼀样.同样这也告诉我们了在指定NTP Server的时候应该使⽤hostname⽽不是IP第⼆个问题和第⼀个相关,既然有这么多的服务器就是为了在发⽣问题的时候其他的服务器还可以正常地给我们提供服务.那么如何知道这些服务器的状态呢? 这就是第⼀个记号会告诉我们的信息* 它告诉我们远端的服务器已经被确认为我们的主NTP Server,我们系统的时间将由这台机器所提供+ 它将作为辅助的NTP Server和带有*号的服务器⼀起为我们提供同步服务. 当*号服务器不可⽤时它就可以接管－ 远程服务器被clustering algorithm认为是不合格的NTP Serverx 远程服务器不可⽤

了解这些之后我们就可以实时监测我们系统的时间同步状况了

7. NTP安全设置运⾏⼀个NTP Server不需要占⽤很多的系统资源,所以也不⽤专门配置独⽴的服务器,就可以给许多client提供时间同步服务, 但是⼀些基本的安全设置还是很有必要的那么这⾥⼀个很简单的思路就是第⼀我们只允许局域⽹内⼀部分的⽤户连接到我们的服务器. 第⼆个就是这些client不能修改我们服务器上的时间关于权限设定部分

权限的设定主要以 restrict 这个参数来设定，主要的语法为：

restrict IP地址 mask ⼦⽹掩码 参数

其中 IP 可以是IP地址，也可以是 default ，default 就是指所有的IP

参数有以下⼏个：

ignore　：关闭所有的 NTP 联机服务

nomodify：客户端不能更改服务端的时间参数，但是客户端可以通过服务端进⾏⽹络校时。

notrust ：客户端除⾮通过认证，否则该客户端来源将被视为不信任⼦⽹

noquery ：不提供客户端的时间查询

注意：如果参数没有设定，那就表⽰该 IP (或⼦⽹)没有任何限制！在/etc/⽂件中我们可以⽤restrict关键字来配置上⾯的要求⾸先我们对于默认的client拒绝所有的操作代码:restrict default kod nomodify notrap nopeer noquery然后允许本机地址⼀切的操作代码:restrict 127.0.0.1最后我们允许局域⽹内所有client连接到这台服务器同步时间.但是拒绝让他们修改服务器上的时间代码:restrict 192.168.1.0 mask 255.255.255.0 nomodify把这三条加⼊到/etc/中就完成了我们的简单配置. NTP还可以⽤key来做authentication,这⾥就不详细介绍了

8. NTP client的设置做到这⾥我们已经有了⼀台⾃⼰的Relay Server.如果我们想让局域⽹内的其他client都进⾏时间同步的话那么我们就都应该照样再搭建⼀台Relay Server,然后把所有的client都指向这两台服务器(注意不要把所有的client都指向Internet上的服务器). 只要在client的/etc/加上这你⾃⼰的服务器就可以了代码:server ver

LINUX客户端使⽤ntpdate 172.30.218.114

来向NTP服务器同步⾃⼰的时间其它LINUX如果仅作为只客户端的话,则不能启动ntpd服务!否则⽆法运⾏ntpdata 服务器地址 来同步时间之后可以使⽤cron或修改crontab⽂件定期向NTP服务器更新时间,并⽤# hwclock --systohc

将系统时间设置为硬件时间9. ⼀些补充和拾遗（挺重要）1. 配置⽂件中的driftfile是什么?我们每⼀个system clock的频率都有⼩⼩的误差,这个就是为什么机器运⾏⼀段时间后会不精确. NTP会⾃动来监测我们时钟的误差值并予以调整.但问题是这是⼀个冗长的过程,所以它会把记录下来的误差先写⼊driftfile.这样即使你重新开机以后之前的计算结果也就不会丢失了2. 如何同步硬件时钟?NTP⼀般只会同步system clock. 但是如果我们也要同步RTC(hwclock)的话那么只需要把下⾯的选项打开就可以了代码:# vi /etc/sysconfig/ntpdSYNC_HWCLOCK=yes

3、利⽤crontab让LINUX NTP定时更新时间注：让linux运⾏ntpdate更新时间时，linux不能开启NTP服务，否则会提⽰端⼝被占⽤：如下[root@ESXI ~]# ntpdate

20 May 09:34:14 ntpdate[6747]: the NTP socket is in use, exitingcrontab⽂件配置简要说明命令格式的前⼀部分是对时间的设定，后⾯⼀部分是要执⾏的命令。时间的设定我们有⼀定的约定，前⾯五个*号代表五个数字，数字的取值范围和含义如下：分钟　(0-59)⼩時　(0-23)⽇期　(1-31)⽉份　(1-12)星期　(0-6)//0代表星期天除了数字还有⼏个个特殊的符号就是“*”、“/”和“-”、“,”，“*”代表所有的取值范围内的数字，“/”代表每的意思,“*/5”表⽰每5个单位，“-”代表从某个数字到某个数字,“,”分开⼏个离散的数字。以下举⼏个例⼦说明问题：每天早上6点：0 6 * * * command每两个⼩时：0 */2 * * * command晚上11点到早上8点之间每两个⼩时，早上⼋点：0 23-7/2,8 * * * command每个⽉的4号和每个礼拜的礼拜⼀到礼拜三的早上11点：0 11 4 * 1-3 command

1⽉1⽇早上4点：0 4 1 1 * command3.3、设置开机⾃动启动服务运⾏setup或其它服务设置⼯具，将crond服务勾选上

chkconfig --level 2345 crond on 定义在这⼏个系统运⾏级别上启⽤crond (系统安装完默认就是这个设置)__________________________________________

客户端的设置⼀、LINUX做为客户端⾃动同步时间如果想定时进⾏时间校准，可以使⽤crond服务来定时执⾏。编辑 /etc/crontab ⽂件加⼊下⾯⼀⾏：30 8 * * * root /usr/sbin/ntpdate 192.168.0.1; /sbin/hwclock -w #192.168.0.1是NTP服务器的IP地址然后重启crond服务service crond restart

这样，每天 8:30 Linux 系统就会⾃动的进⾏⽹络时间校准。

⼆、WINDOWS 需要打开windows time服务和RPC的⼆个服务如果在打开windows time 服务，时报 错误1058，进⾏下⾯操作

1.运⾏ cmd 进⼊命令⾏，然后键⼊w32tm /register 进⾏注册正确的响应为：W32Time 成功注册。2.如果上⼀步正确，⽤ net start "windows time" 或 net start w32time 启动服务。

11.其它造成⽆法成功更新的原因：1、客户端的⽇期必须要设置正确，不能超出正常时间24⼩时，不然会因为安全原因被拒绝更新。其次客户端的时区必须要设置好，以确保不会更新成其它时区的时间。2、fudge 127.127.1.0 stratum 10 如果是LINUX做为NTP服务器，stratum(层级)的值不能太⼤，如果要向上级NTP更新可以设成23、LINUX的NTP服务器必须记得将从上级NTP更新的时间从系统时间写到硬件⾥去 hwclock --systohc

NTP⼀般只会同步system clock. 但是如果我们也要同步RTC(hwclock)的话那么只需要把下⾯的选项打开就可以了 代码: # vi /etc/sysconfig/ntpd SYNC_HWCLOCK=yes4、Linux如果开启了NTP服务，则不能⼿动运⾏ntpdate更新时间（会报端⼝被占⽤），它只能根据/etc/ ⾥server 字段后的服务器地址按⼀定时间间隔⾃动向上级NTP服务器更新时间。可以运⾏命令 ntpstat 查看每次更新间隔如：[root@ESXI ~]# ntpstatsynchronised to NTP server (210.72.145.44) at stratum 2 #本NTP服务器层次为2，已向210.72.145.44 NTP同步过 time correct to within 93 ms #时间校正到相差93ms之内 polling server every 1024 s #每1024秒会向上级NTP轮询更新⼀次时间

在内⽹中，让⼏台Linux时间同步1，安装好ntp 可以⽤ rpm -aq | grep ntp 看是否安好，⼀般⾃带安好。2，⽤⼀台作为服务端配置： 配置： Vim /etc/ restrict default mask 255.255.255.0 nomodify #权限设置，default 表⽰所有ip ，客户端可以同步该服务器时间，但不能修改。 server 127.127.1.0 # local clock (LCL) 读取本机时间 fudge 127.127.1.0 stratum 1 # LCL is unsynchronized 设置级别

启动ntp服务 service ntp start chkconfig ntp on 开机启动服务 修改配置⽂件后须要从启： service ntp restart

查看是否成功启动： netstat -tlunp | grep ntp

3，多个客户端配置： 配置： Vim /etc/ restrict 10.100.213.156 # 权限设置，允许这个服务器，对本机的所有操作 server 10.100.213.156

fudge 10.100.213.156 stratum 2 # LCL is unsynchronized

启动ntp服务 service ntp start chkconfig ntp on 开机启动服务 查看是否正常与10.100.213.156进⾏时间同步： ntpq -p

可⼿动同步看看： sntp 10.100.213.156