网络时间协议 (NTP)列出公司同步的公司内的所有系统的时钟的独特能力。 时间同步对于许多原因是重要的,从应用时间戳到安全到正确的日志条目。 当组织的系统都维持不同的时钟时间时,从故障排除的角度来看,确定何时以及在什么条件下可能发生特定事件变得非常困难。
NTP提供了一种简单的方法,以确保所有的系统将保持正确的时间,这反过来又可以大大简化管理员/技术支持的负担。
NTP的工作在同步参考时钟,也被称为“ 层0”的服务器的前提。 所有其他NTP服务器随后将根据它们与参考服务器的距离,成为较低级别的层服务器。 NTP的链的起点是它总是直接连接到0层参考时钟层数1服务器。 从这里,较低级别的层服务器通过网络连接连接到较高的层级服务器。 有关更清晰的概念,请参阅下图。
NTP图
在建立一个阶层0或1层服务器可以做到的,这是做如此昂贵,因此本指南将集中在下层服务器设置。 youcl有一个基本的主机配置的NTP在以下链接:
本指南将有所不同,而不是网络上的所有主机查询公共NTP服务器,一个(或更好的做法,几个)服务器将联系公共NTP系统,然后为所有主机提供时间本地网络。
内部NTP服务器通常是理想的保存网络带宽,以及通过NTP限制和加密提供一些增加的安全性。 要了解它与第一个图的不同,请参见下面的第二个图。
内部NTP图
第1步:安装NTP服务器
1.第一步设置内部NTP结构是安装在NTP服务器软件。 该软件包Debian中所谓的“NTP”目前包含所有必要设置一个NTP层次结构中服务器的工具。 正如有关系统配置的所有教程,假设根或sudo访问。
# apt-get install ntp # dpkg --get-selections ntp [Can be used to confirm NTP is installed] # dpkg -s ntp [Can also be used to confirm NTP is installed]
第1步:配置NTP服务器
2.一旦安装了NTP,现在是时候来配置要高阶层的服务器来查询的时间。 NTP的配置文件存储在“ /etc/ntp.conf
',可以用任何文本编辑器进行修改。 此文件将包含更高级别服务器的完全限定域名,为此NTP服务器设置的限制以及查询此NTP服务器的主机的任何其他特殊参数。
要启动配置过程,需要配置更高级别的服务器。 Debian默认情况下将Debian NTP池放在配置文件中。 这是适合大多数的目的,但管理员可以访问NIST指定特定的服务器或使用所有的NIST的服务器以循环的方式(由NIST建议的方法)。
对于本教程,将配置特定的服务器。 配置文件分为几个主要部分,默认情况下配置为IPv4和IPv6(如果要禁用IPv6,稍后将提及此功能)。 要启动配置过程,必须使用文本编辑器打开配置文件。
# nano /etc/ntp.conf
第几节( 另外,driftfile,statsdir和统计 )的罚款设置为默认值。 下一部分包含此服务器应通过其请求时间的更高级服务器。 每个服务器条目的语法非常简单:
server <fully qualified domain name> <options> server time.nist.gov iburst â [sample entry]
通常,最好在此列表中选择几个较高的分层服务器。 此服务器将查询列表中的所有服务器,以确定哪一个是最可靠的。 :从得到了本例的服务器http://tf.nist.gov/tf-cgi/servers.cgi 。
NTP服务器
第3步:NTP限制的配置
3.下一步是配置NTP限制。 这些都是用来允许或DIS-允许主机与NTP服务器进行交互。 NTP的默认值是任何人的服务时间,但不允许在IPv4和IPv6连接上进行配置。
此服务器当前仅在IPv4网络上使用,因此通过两种方式禁用IPv6。 在NTP服务器上禁用IPv6的第一件事是更改守护程序启动的默认值。 这是通过改变行“来完成/etc/default/ntp
”。
# nano /etc/default/ntp
NTPD_OPTS='-4 -g' [Add the ' -4 ' to this line to tell NTPD to only listen to IPv4]
回到主配置文件( /etc/ntp.conf
),NTP后台程序会自动配置与所有的IPv4 / 6主机共享时间,但不允许配置。 这可以通过以下两行来看:
NTP限制配置
NTPD工作允许的,除非否认了基础。 由于IPv6的被禁用,则“ restrict -6
'线可以被删除或以'注释掉#
NTP网络限制
这将更改NTP的默认行为以忽略所有邮件。 这可能看起来很奇怪,但保持阅读作为限制条款将用于微调访问此NTP服务器的需要访问的主机。
现在服务器需要知道谁可以查询服务器的时间,以及允许他们使用NTP服务器做什么。 此服务器的172.27.0.0/16的专用网络将被用于构建限制节。
NTP启用网络
这条线通知服务器以允许从172.27.0.0/16网络的任何主机访问服务器的时间。 掩码后的参数有助于控制此网络上的任何主机在查询服务器时可以执行的操作。 让我们花一点时间来了解这些限制选项:
- 限制 :表示如果客户端应该滥用报文流量控制的数,数据包将被断绝丢弃。 如果启用Kiss of Death数据包,它将被发送回辱骂主机。 速率可由管理员配置,但这里假设为默认值。
- KOD:死亡之吻。 如果主机违反了到服务器的数据包的限制,则服务器将用违反主机的KoD数据包进行响应。
- Notrap:衰落模式6控制消息。 这些控制消息用于远程日志程序。
- NOMODIFY:防止和则ntpq查询ntpdc将修改服务器的配置,但信息查询仍然被允许。
- NOQUERY:此选项可以防止主机从查询的信息的服务器。 例如,如果没有此选项,主机可以使用ntpdc或ntpq来确定特定时间服务器从何处获取时间或与其可能正在进行通信的其他对等时间服务器。