Linux 上設置本身的公共時間服務器

導讀	最重要的公共服務之一就是報時timekeeping，可是不少人並無意識到這一點。大多數公共時間服務器都是由志願者管理，以知足不斷增加的需求。這裏學習一下如何運行你本身的時間服務器，爲基礎公共利益作貢獻。（查看 在 Linux 上使用 NTP 保持精確時間 去學習如何設置一臺局域網時間服務器）

著名的時間服務器濫用事件

就像現實生活中任何一件事情同樣，即使是像時間服務器這樣的公益項目，也會遭受不稱職的或者惡意的濫用。

消費類網絡設備的供應商因製造了大混亂而臭名昭著。我回想起的第一件事發生在 2003 年，那時，NetGear 在它們的路由器中硬編碼了威斯康星大學的 NTP 時間服務器地址。使得時間服務器的查詢請求忽然增長，隨着 NetGear 賣出愈來愈多的路由器，這種狀況愈加嚴重。更有意思的是，路由器的程序設置是每秒鐘發送一次請求，這將使服務器難堪重負。後來 Netgear 發佈了升級固件，可是，升級他們的設備的用戶不多，而且他們的其中一些用戶的設備，到今天爲止，還在不停地每秒鐘查詢一次威斯康星大學的 NTP 服務器。Netgear 給威斯康星大學捐獻了一些錢，以幫助彌補他們帶來的成本增長，直到這些路由器所有淘汰。相似的事件還有 D-Link、Snapchat、TP-Link 等等。

對 NTP 協議進行反射和放大，已經成爲發起 DDoS 攻擊的一個選擇。當攻擊者使用一個僞造的目標受害者的源地址向時間服務器發送請求，稱爲反射攻擊；攻擊者發送請求到多個服務器，這些服務器將回復請求，這樣就使僞造的源地址受到轟炸。放大攻擊是指一個很小的請求收到大量的回覆信息。例如，在 Linux 上，ntpq 命令是一個查詢你的 NTP 服務器並驗證它們的系統時間是否正確的頗有用的工具。一些回覆，好比，對端列表，是很是大的。組合使用反射和放大，攻擊者能夠將 10 倍甚至更多帶寬的數據量發送到被攻擊者。

那麼，如何保護提供公益服務的公共 NTP 服務器呢？從使用 NTP 4.2.7p26 或者更新的版本開始，它們能夠幫助你的 Linux 發行版不會發生前面所說的這種問題，由於它們都是在 2010 年之後發佈的。這個發行版都默認禁用了最多見的濫用攻擊。目前，最新版本是 4.2.8p10，它發佈於 2017 年。

你能夠採用的另外一個措施是，在你的網絡上啓用入站和出站過濾器。阻塞宣稱來自你的網絡的數據包進入你的網絡，以及攔截髮送到僞造返回地址的出站數據包。入站過濾器能夠幫助你，而出站過濾器則幫助你和其餘人。閱讀 BCP38.info 瞭解更多信息。

層級爲 0、一、2 的時間服務器

NTP 有超過 30 年的歷史了，它是至今還在使用的最老的因特網協議之一。它的用途是保持計算機與世界標準時間（UTC）的同步。NTP 網絡是分層組織的，而且同層的設備是對等的。層次Stratum 0 包含主報時設備，好比，原子鐘。層級 1 的時間服務器與層級 0 的設備同步。層級 2 的設備與層級 1 的設備同步，層級 3 的設備與層級 2 的設備同步。NTP 協議支持 16 個層級，現實中並無使用那麼多的層級。同一個層級的服務器是相互對等的。

過去很長一段時間內，咱們都爲客戶端選擇配置單一的 NTP 服務器，而如今更好的作法是使用 NTP 服務器地址池，它使用輪詢的 DNS 信息去共享負載。池地址只是爲客戶端服務的，好比單一的 PC 和你的本地局域網 NTP 服務器。當你運行一臺本身的公共服務器時，你不用使用這些池地址。

公共 NTP 服務器配置

運行一臺公共 NTP 服務器只有兩步：設置你的服務器，而後申請加入到 NTP 服務器池。運行一臺公共的 NTP 服務器是一種很高尚的行爲，可是你得先知道這意味着什麼。加入 NTP 服務器池是一種長期責任，由於即便你加入服務器池後，運行了很短的時間立刻退出，而後接下來的不少年你仍然會接收到請求。

你須要一個靜態的公共 IP 地址，一個至少 512Kb/s 帶寬的、可靠的、持久的因特網鏈接。NTP 使用的是 UDP 的 123 端口。它對機器自己要求並不高，不少管理員在其它的面向公共的服務器（好比，Web 服務器）上順帶架設了 NTP 服務。

配置一臺公共的 NTP 服務器與配置一臺用於局域網的 NTP 服務器是同樣的，只須要幾個配置。咱們從閱讀 協議規則 開始。遵照規則並注意你的行爲；幾乎每一個時間服務器的維護者都是像你這樣的志願者。而後，從 StratumTwoTimeServers 中選擇 4 到 7 個層級 2 的上游服務器。選擇的時候，選取地理位置上靠近（小於 300 英里的）你的因特網服務提供商的上游服務器，閱讀他們的訪問規則，而後，使用 ping和 mtr去找到延遲和跳數最小的服務器。

如下的 /etc/ntp.conf配置示例文件，包括了 IPv4 和 IPv6，以及基本的安全防禦：

# stratum 2 server list
server servername_1 iburst
server servername_2 iburst
server servername_3 iburst
server servername_4 iburst
server servername_5 iburst
# access restrictions
restrict -4default kod noquery nomodify notrap nopeer limited
restrict -6default kod noquery nomodify notrap nopeer limited
#Allow ntpq and ntpdc queries only from localhost
restrict 127.0.0.1
restrict ::1

啓動你的 NTP 服務器，讓它運行幾分鐘，而後測試它對遠程服務器的查詢：

$ ntpq -p
remote refid st t when poll reach delay offset jitter
=================================================================
+tock.no-such-ag 200.98.196.2122 u 3664798.65488.43965.123
+PBX.cytranet.ne 45.33.84.2083 u 3764772.419113.535129.313
*eterna.binary.n 199.102.46.702 u 3964792.93398.47556.778
+time.mclarkdev.132.236.56.2503 u 37645111.05988.02974.919

目前表現很好。如今從另外一臺 PC 上使用你的 NTP 服務器名字進行測試。如下的示例是一個正確的輸出。若是有不正確的地方，你將看到一些錯誤信息。

$ ntpdate -q yourservername
server 66.96.99.10, stratum 2, offset 0.017690, delay 0.12794
server 98.191.213.2, stratum 1, offset 0.014798, delay 0.22887
server 173.49.198.27, stratum 2, offset 0.020665, delay 0.15012
server 129.6.15.28, stratum 1, offset -0.018846, delay 0.20966
26Jan11:13:54 ntpdate[17293]: adjust time server 98.191.213.2 offset 0.014798 sec

一旦你的服務器運行的很好，你就能夠向 manage.ntppool.org 申請加入池中。

查看官方的手冊 分佈式網絡時間服務器（NTP） 學習全部的命令、配置選項、以及高級特性，好比，管理、查詢、和驗證。訪問如下的站點學習關於運行一臺時間服務器所須要的一切東西。

原文來自：https://www.linuxprobe.com/linux-time-service.html