時間同步服務器NTP

NTP服務器

       NTP(Network Time Protocol)【網絡時間協議】，它是用來同步網絡中各個計算機的時間的協議，它能夠提供高精準度的時間校訂（LAN上與標準間差小於1毫秒，WAN上幾十毫秒），且可介由加密確認的方式來防止惡毒的協議攻擊。NTP服務的端口是123,使用的是UDP協議，因此NTP服務器的防火牆必須對外開放UDP 123這個端口。

iptables -A INPUT -p udp -m udp --dport 123 -j ACCEPT

特徵介紹

       NTP提供準確時間，首先要有準確的時間來源，這一時間應該是國際標準時間UTC。 NTP得到UTC的時間來源能夠是原子鐘、天文臺、衛星，也能夠從Internet上獲取。這樣就有了準確而可靠的時間源。時間按NTP服務器的等級傳播。按照離外部UTC 源的遠近將全部服務器納入不一樣的Stratum（層）中。Stratum-1在頂層，有外部UTC接入，而Stratum-2則從Stratum-1獲取時間，Stratum-3從Stratum-2獲取時間，以此類推，但Stratum層的總數限制在15之內。全部這些服務器在邏輯上造成階梯式的架構相互鏈接，而Stratum-1的時間服務器是整個系統的基礎。
       計算機主機通常同多個時間服務器鏈接， 利用統計學的算法過濾來自不一樣服務器的時間，以選擇最佳的路徑和來源來校訂主機時間。即便主機在長時間沒法與某一時間服務器相聯繫的狀況下，NTP服務依然有效運轉。

NTP的層次stratum

       本地設備的時間和遠程時間服務器即便可以同步，也會存在毫秒級的偏差，若是本身和遠程時間服務器同步，那麼別人再和本身同步，就意味着別人的時間偏差可能更大。在這裏，時間的精準度就會有高低，Cisco設備的NTP把這樣的精準度高低稱爲stratum，若是stratum值越大，就表示精準度越差，stratum值越小表示精準度就越好。好比遠程一臺時間服務器的stratum是2，本地設備和它同步後，本身的stratum就是3，精準度就差了一些，若是這時別的設備再和本身同步，那麼它獲得的stratum就是4，精準度就意味着更差，而做爲局域網的time service provider，一般將stratum設置爲10 （Stratum 10 is conventional for unsynchronized local clocks; it is high enough that nobody is likely to mistake it for a desirable clock to synchronize with.）。

時區介紹

GMT: 格林威治時間，（舊譯格林尼治平均時間或格林威治標準時間；英語：Greenwich Mean Time，GMT）是指位於英國倫敦郊區的皇家格林尼治天文臺的標準時間，由於本初子午線被定義在經過那裏的經線。
UTC：標準時間，又稱世界標準時間或世界協調時間，簡稱UTC，從英文「Coordinated Universal Time」／法文「Temps Universel Cordonné」而來。協調世界時是以原子時秒長爲基礎，在時刻上儘可能接近於世界時的一種時間計量系統。
ISO： 標準時間
CST：北京時間，又名中國標準時間，是中國的標準時間。在時區劃分上，屬東八區，比協調世界時早8小時，記爲UTC+8，與中華民國國家標準時間（舊稱「中原標準時間」）、香港時間和澳門時間和相同。當格林威治時間為凌晨0:00時，中國標準時間剛好為上午8:00。

時區關係

CET=UTC/GMT + 1小時
CST=UTC/GMT +8 小時
CST=CET+9
例如： Thursday 03/17/2011 between 0:30am and 6:00am CET (UTC/GMT +1 hour)
CET=03/17/2011 0:30am and 6:00am
CST=03/17/2011 9:30am and 15:00am
UTC/GMT =03/17/2011 1:30am and 7:00am

NTP服務器搭建

服務器 ip 10.10.10.11/24
客戶機 ip 10.10.10.0/24

一、服務端配置

[root@NTP ~]# yum -y install ntp
[root@NTP ~]# vim /etc/ntp.conf
restrict 10.10.10.0 mask 255.255.255.0 nomodify notrap
server 127.127.1.0
fudge 127.127.1.0 stratum 10
[root@NTP ~]# date -s 20160202          修改時間
[root@NTP ~]# ntpdate cn.pool.ntp.org       或者同步網絡時間
[root@NTP ~]# /etc/init.d/ntpd restart      啓動服務CentOS 6
[root@NTP ~]# systemctl restart ntpd        啓動服務CentOS 7
[root@NTP ~]# ntpdate -u cn.pool.ntp.org

二、客戶機配置

[root@Test ~]# yum -y install ntpdate
同步時間，指定ip時間同步服務器
[root@Test ~]# ntpdate -u 10.10.10.11       
客戶機寫入定時任務,自動每分鐘同步一次時間
[root@Test ~]# echo '* * * * * root /usr/sbin/ntpdate -u 10.10.10.11 &>/dev/null' >> /etc/crontab

配置文件

-rw-r--r-- 1 root root 2000 9月  23 2017 /etc/ntp.conf

#在與上級時間服務器聯繫時所花費的時間，記錄在driftfile參數後面的文件內
driftfile /var/lib/ntp/drift 
#咱們對於默認的客戶端拒絕全部的操做
restrict default kod nomodify notrap nopeer noquery  
restrict -6 default kod nomodify notrap nopeer noquery
#開啓內部遞歸網絡接口lo 即容許本機地址一切的操做
restrict 127.0.0.1  
restrict -6 ::1
#容許局域網內全部客戶端鏈接到這臺服務器同步時間.可是拒絕讓他們修改服務器上的時間
restrict 10.10.10.0 mask 255.255.255.0 nomodify notrap
#指明局域網中做爲NTP服務器的IP
service 10.10.10.11
#互聯網上的三個ntp服務器
server 0.rhel.pool.ntp.org   
server 1.rhel.pool.ntp.org
server 2.rhel.pool.ntp.org
#當服務器與公用的時間服務器失去聯繫時（連不上網），以局域網的時間服務器爲客戶端提供時間同步服務　
server  127.127.1.0    
fudge   127.127.1.0 stratum 10
*****restrict參數*****
#kod 使用kod技術防範「kiss of death」攻擊
#ignore 拒絕任何NTP鏈接
#nomodify 用戶端不能使用ntpc,ntpq修改時間服務器參數，可是能夠進行網絡校時
#noquery 用戶端不能使用ntpc,ntpq查詢時間服務器參數，不能夠進行網絡校時
#notrap 不提供遠程日誌功能
#notrust 拒絕沒有認證的客戶端