NTP 协议面临无人维护的境地

NTP 是互联网的关键组成部分，几乎所有设备都运行 NTP 来保持时间一致的因果关系。它是由 David Mills 创造的。几十年来，他是决定 NTP 应该如何工作的人。但他对该协议的维护已经走向终点，他生来患有青光眼，如今已完全失明，生于 1938 年的他如今已经 84 岁高龄。而他的一位最忠实的合作者 Harlan Stenn 如今也有 66 岁了，而且退休储蓄已经耗尽了。Mills 对社区提交的代码要求严格，递交一个修复问题的补丁是不够的，还会要求给出数学分析和证明，这对于绝大多数开源贡献者来说很难。

消息来源：纽约客

老王点评：互联网的一个并不算不起眼的重要基石，如今看起来需要更多的关注和支持。

Plasma 5.27 将是 Plasma 5 系列的最后一个功能版本

由于 Qt 6 移植和 KDE 框架 6 的开发正在全速进行，KDE 开发者决定在今年 12 月底冻结 KDE 框架 5 的功能，已经存在了 8 年的 Plasma 5 的最后一个版本将是 5.27。KDE Plasma 5.26 将在下周发布，5.27 应该在明年 2 月发布。因此，KDE Plasma 6.0，如果不出意外将在明年六月发布。

消息来源：Phoronix

老王点评：不知不觉，KDE Plasma 5 居然都 8 年了啊！

Rust 成立新的团队来制定官方编码风格

每种语言都有风格指南，如果它们足够流行，可能会有来自主要用户的多种风格指南，比如谷歌有针对 C++ 的指南，Chrome 就是用这种语言风格编写的。Rust 已经有一个官方的风格指南，比如，使用空格而不是制表符，缩进必须是 4 个空格等等。但在 2016 年至 2018 年期间负责编写风格指南的团队已经“按设计”结束了，所以 Rust 现在决定创建新的风格团队。新的团队有三个目标：对新的 Rust 结构的样式进行确定；演化现有的 Rust 风格；定义发展 Rust 风格的机制，同时考虑到向后兼容。

消息来源：Rust

老王点评：良好的风格指南确实对语言的推广发展很有裨益。

许多计算机使用 网络时间协议 Network Time Protocol （NTP）通过互联网来同步系统时钟。NTP 是少数几个仍在普遍使用的不安全的互联网协议之一。攻击者如果能够观察到客户端和服务器之间的网络流量，就可以向客户端提供虚假的数据，并根据客户端的实现和配置，强迫其将系统时钟设置为任何时间和日期。如果客户端的系统时钟不准确，一些程序和服务就可能无法工作。例如，如果根据客户端的系统时钟，Web 服务器的证书似乎已经过期，Web 浏览器将无法正常工作。可以使用 网络时间安全 Network Time Security （NTS）来保证 NTP 的安全。

Fedora 33 ^[1] 是第一个支持 NTS 的 Fedora 版本。NTS 是一种新的 NTP 验证机制。它使客户端能够验证它们从服务器接收的数据包在传输过程中有没有被修改。当 NTS 启用时，攻击者唯一能做的就是丢弃或延迟数据包。关于 NTS 的更多细节，请参见 RFC8915。

使用对称密钥可以很好地保证 NTP 的安全。遗憾的是，服务器必须为每个客户端配备不同的密钥，而且密钥必须安全地分发才行。这对于本地网络上的私有服务器来说可能是实用的，但它不能扩展到有着数百万客户端的公共服务器上。

NTS 包括一个 密钥建立 Key Establishment （NTS-KE）协议，它可以自动创建服务器与其客户端之间使用的加密密钥。它在 TCP 端口 4460 上使用 传输层安全 Transport Layer Security （TLS）。它被设计成可以扩展到非常多的客户端，而对准确性的影响最小。服务器不需要保存任何客户端特定的状态。它为客户提供 cookie，cookie 是加密的，包含验证 NTP 数据包所需的密钥。隐私是 NTS 的目标之一。客户端在每次服务器响应时都会得到一个新的 cookie，所以它不必重复使用 cookie。这可以防止被动观察者跟踪在网络之间迁移的客户端。

Fedora 中默认的 NTP 客户端是 Chrony。Chrony 在 4.0 版本中增加了 NTS 支持，但并没有改变默认配置。Chrony 仍然使用 pool.ntp.org 项目中的公共服务器，而且默认情况下 NTS 没有启用。

目前，支持 NTS 的公共 NTP 服务器非常少。两个主要的提供商是 Cloudflare 和 Netnod。Cloudflare 服务器分布在世界各地的不同地方。他们使用的是 任播 anycast 地址，应该可以让大多数客户到达一个接近的服务器。Netnod 服务器位于瑞典。在未来，我们可能会看到更多支持 NTS 的公共 NTP 服务器。

为了获得最佳的可靠性，配置 NTP 客户端的一般建议是至少有三个工作的服务器。为了达到最好的精度，建议选择距离较近的服务器，以减少网络延迟和非对称网络路由造成的不对称性。如果你不关心细粒度的精度，你可以忽略这个建议，使用任何你信任的 NTS 服务器，无论它们位于哪里。

如果你确实想要高准确度，但又没有近距离的 NTS 服务器，你可以将远处的 NTS 服务器和近处的非 NTS 服务器混合使用。但是，这样的配置不如只使用 NTS 服务器的配置安全。攻击者仍然不能强迫客户机接受任意时间，但他们确实对客户机的时钟及其估计精度有更大的控制权，这在某些环境下可能是不可接受的。

在安装程序中启用客户端 NTS

安装 Fedora 33 时，你可以在“Time & Date”对话框的“Network Time”配置中启用 NTS。在点击“+”（添加）按钮之前，请输入服务器的名称并检查 NTS 支持情况。你可以添加一个或多个具有 NTS 的服务器或池。要删除默认的服务器池（2.fedora.pool.ntp.org），请取消选中“Use”列中的相应标记。

在配置文件中启用客户端 NTS

如果你从之前的 Fedora 版本升级，或者你没有在安装程序中启用 NTS，你可以直接在 /etc/chrony.conf 中启用 NTS。除了推荐的 iburst 选项外，还可以对指定服务器使用 nts 选项。例如：

server time.cloudflare.com iburst nts
server nts.sth1.ntp.se iburst nts
server nts.sth2.ntp.se iburst nts

你还应该允许客户端将 NTS 密钥和 cookie 保存到磁盘上，这样它就不必在每次启动时重复 NTS-KE 会话。在 chrony.conf 中添加以下一行，如果还没有的话：

ntsdumpdir /var/lib/chrony

如果不想让 DHCP 提供的 NTP 服务器与你指定的服务器混在一起，请在 chrony.conf 中删除或注释以下一行：

sourcedir /run/chrony-dhcp

当你完成编辑 chrony.conf 后，保存你的更改并重新启动 chronyd 服务：

systemctl restart chronyd

检查客户端状态

在 root 用户下运行以下命令，检查 NTS 密钥建立是否成功：

# chronyc -N authdata
Name/IP address             Mode KeyID Type KLen Last Atmp  NAK Cook CLen
=========================================================================
time.cloudflare.com          NTS     1   15  256  33m    0    0    8  100
nts.sth1.ntp.se              NTS     1   15  256  33m    0    0    8  100
nts.sth2.ntp.se              NTS     1   15  256  33m    0    0    8  100

KeyID、Type 和 KLen 列应该有非零值。如果它们为零，请检查系统日志中是否有来自 chronyd 的错误信息。一个可能的故障原因是防火墙阻止了客户端与服务器的 TCP 端口（端口 4460）的连接。

另一个可能的故障原因是由于客户机的时钟错误而导致证书无法验证。这是 NTS 的先有鸡还是先有蛋的问题。你可能需要手动修正日期或暂时禁用 NTS，以使 NTS 正常工作。如果你的电脑有实时时钟，几乎所有的电脑都有，而且有好的电池做备份，这种操作应该只需要一次。

如果计算机没有实时时钟或电池，就像一些常见的小型 ARM 计算机（如树莓派）那样，你可以在 /etc/sysconfig/chronyd 中添加 -s 选项来恢复上次关机或重启时保存的时间。时钟会落后于真实时间，但如果电脑没有关机太久，服务器的证书也没有在离到期时间太近的时候更新，应该足以让时间检查成功。作为最后的手段，你可以用 nocerttimecheck 指令禁用时间检查。详情请参见chrony.conf(5) 手册页。

运行下面的命令来确认客户端是否在进行 NTP 测量：

# chronyc -N sources
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* time.cloudflare.com           3   6   377    45   +355us[ +375us] +/-   11ms
^+ nts.sth1.ntp.se               1   6   377    44   +237us[ +237us] +/-   23ms
^+ nts.sth2.ntp.se               1   6   377    44   -170us[ -170us] +/-   22ms

Reach 列应该有一个非零值，最好是 377。上图所示的值 377 是一个八进制数，它表示最后八个请求都有有效的响应。如果启用了 NTS 的话，验证检查将包括 NTS 认证。如果该值一直很少或从未达到 377，则表明 NTP 请求或响应在网络中丢失了。众所周知，一些主要的网络运营商有中间设备，它可以阻止或限制大的 NTP 数据包的速率，以缓解利用 ntpd 的监控协议进行的放大攻击。不幸的是，这影响了受 NTS 保护的 NTP 数据包，尽管它们不会引起任何放大。NTP 工作组正在考虑为 NTP 提供一个替代端口，作为解决这个问题的办法。

在服务器上启用 NTS

如果你有自己的 NTP 服务器，运行着 chronyd，你可以启用服务器的 NTS 支持，让它的客户端安全同步。如果该服务器是其他服务器的客户端，它应该使用 NTS 或对称密钥与之同步。客户端假设同步链在所有服务器到主时间服务器之间是安全的。

启用服务器 NTS 类似于在 Web 服务器上启用 HTTPS。你只需要一个私钥和证书。例如，证书可以由 Let's Encrypt 权威机构使用 certbot 工具签署。当你有了密钥和证书文件（包括中间证书），在 chrony.conf 中用以下指令指定它们：

ntsserverkey /etc/pki/tls/private/foo.example.net.key
ntsservercert /etc/pki/tls/certs/foo.example.net.crt

确保之前在客户端配置中提到的 ntsdumpdir 指令存在于 chrony.conf 中。它允许服务器将其密钥保存到磁盘上，这样服务器的客户端在重启服务器时就不必获取新的密钥和 cookie 了。

重新启动 chronyd 服务：

systemctl restart chronyd

如果系统日志中没有来自 chronyd 的错误信息，那么它应该是可以接受客户端连接的，如果服务器有防火墙，则需要同时允许 UDP 123 和 TCP 4460 端口的 NTP 和 NTS-KE 服务。

你可以用下面的命令在客户端机器上进行快速测试：

$ chronyd -Q -t 3 'server foo.example.net iburst nts maxsamples 1'
2020-10-13T12:00:52Z chronyd version 4.0 starting (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +SCFILTER +SIGND +ASYNCDNS +NTS +SECHASH +IPV6 +DEBUG)
2020-10-13T12:00:52Z Disabled control of system clock
2020-10-13T12:00:55Z System clock wrong by -0.001032 seconds (ignored)
2020-10-13T12:00:55Z chronyd exiting

如果你看到一个“System clock wrong”消息，说明它是正确工作的。

在服务器上，你可以使用下面的命令来检查它已经处理了多少个 NTS-KE 连接和认证的 NTP 数据包：

# chronyc serverstats
NTP packets received       : 2143106240
NTP packets dropped        : 117180834
Command packets received   : 16819527
Command packets dropped    : 0
Client log records dropped : 574257223
NTS-KE connections accepted: 104
NTS-KE connections dropped : 0
Authenticated NTP packets  : 52139

如果你看到非零的 “NTS-KE connections accepted” 和 “Authenticated NTP packets”，这意味着至少有一些客户端能够连接到 NTS-KE 端口，并发送一个认证的 NTP 请求。

1. Fedora 33 Beta 安装程序包含一个较旧的 Chrony 预发布版本，它不能与当前的 NTS 服务器一起工作，因为 NTS-KE 端口已经改变。因此，在安装程序中的网络时间配置中，服务器总是显示为不工作。安装后，需要更新 chrony 包，才能与当前的服务器配合使用。 ↩︎

via: https://fedoramagazine.org/secure-ntp-with-nts/

作者：Miroslav Lichvar 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

NTP 意即 网络时间协议 Network Time Protocol ，它通过网络同步计算机系统之间的时钟。NTP 服务器可以使组织中的所有服务器保持同步，以准确时间执行基于时间的作业。NTP 客户端会将其时钟与 NTP 服务器同步。

我们已经写了一篇关于 NTP 服务器和客户端安装和配置的文章。如果你想查看这些文章，请导航至以下链接。

• 如何在 Linux 上安装、配置 NTP 服务器和客户端？
• 如何安装和配置 Chrony 作为 NTP 客户端？

我假设你已经使用上述链接设置了 NTP 服务器和 NTP 客户端。现在，如何验证 NTP 设置是否正常工作？

Linux 中有三个命令可用于验证 NTP 同步情况。详情如下。在本文中，我们将告诉您如何使用所有这些命令验证 NTP 同步。

• ntpq：ntpq 是一个标准的 NTP 查询程序。
• ntpstat：显示网络世界同步状态。
• timedatectl：它控制 systemd 系统中的系统时间和日期。

方法 1：如何使用 ntpq 命令检查 NTP 状态？

ntpq 实用程序用于监视 NTP 守护程序 ntpd 的操作并确定性能。

该程序可以以交互模式运行，也可以使用命令行参数进行控制。它通过向服务器发送多个查询来打印出连接的对等项列表。如果 NTP 正常工作，你将获得类似于下面的输出。

# ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*CentOS7.2daygee 133.243.238.163  2 u   14   64   37    0.686    0.151  16.432

细节：

• -p：打印服务器已知的对等项列表以及其状态摘要。

方法 2：如何使用 ntpstat 命令检查 NTP 状态？

ntpstat 将报告在本地计算机上运行的 NTP 守护程序（ntpd）的同步状态。如果发现本地系统与参考时间源保持同步，则 ntpstat 将报告大致的时间精度。

ntpstat 命令根据 NTP 同步状态返回三种状态码。详情如下。

• 0：如果时钟同步则返回 0。
• 1：如果时钟不同步则返回 1。
• 2：如果时钟状态不确定，则返回 2，例如 ntpd 不可联系时。

# ntpstat

synchronised to NTP server (192.168.1.8) at stratum 3
   time correct to within 508 ms
   polling server every 64 s

方法 3：如何使用 timedatectl 命令检查 NTP 状态？

timedatectl 命令用于查询和更改系统时钟及其在 systmed 系统中的设置。

# timedatectl
或
# timedatectl status

      Local time: Thu 2019-05-30 05:01:05 CDT
  Universal time: Thu 2019-05-30 10:01:05 UTC
        RTC time: Thu 2019-05-30 10:01:05
       Time zone: America/Chicago (CDT, -0500)
     NTP enabled: yes
NTP synchronized: yes
 RTC in local TZ: no
      DST active: yes
 Last DST change: DST began at
                  Sun 2019-03-10 01:59:59 CST
                  Sun 2019-03-10 03:00:00 CDT
 Next DST change: DST ends (the clock jumps one hour backwards) at
                  Sun 2019-11-03 01:59:59 CDT
                  Sun 2019-11-03 01:00:00 CST

更多技巧

Chrony 是一个 NTP 客户端的替代品。它可以更快地同步系统时钟，时间精度更高，对于一直不在线的系统尤其有用。

chronyd 较小，它使用较少的内存，只在必要时才唤醒 CPU，这样可以更好地节省电能。即使网络拥塞较长时间，它也能很好地运行。

你可以使用以下任何命令来检查 Chrony 状态。

检查 Chrony 跟踪状态。

# chronyc tracking

Reference ID    : C0A80105 (CentOS7.2daygeek.com)
Stratum         : 3
Ref time (UTC)  : Thu Mar 28 05:57:27 2019
System time     : 0.000002545 seconds slow of NTP time
Last offset     : +0.001194361 seconds
RMS offset      : 0.001194361 seconds
Frequency       : 1.650 ppm fast
Residual freq   : +184.101 ppm
Skew            : 2.962 ppm
Root delay      : 0.107966967 seconds
Root dispersion : 1.060455322 seconds
Update interval : 2.0 seconds
Leap status     : Normal

运行 sources 命令以显示有关当前时间源的信息。

# chronyc sources

210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* CentOS7.2daygeek.com          2   6    17    62    +36us[+1230us] +/- 1111ms

via: https://www.2daygeek.com/check-verify-ntp-sync-is-working-or-not-in-linux-using-ntpq-ntpstat-timedatectl/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：wxy 校对：校对者ID

本文由 LCTT 原创编译，Linux中国 荣誉推出

NTP 服务器和 NTP 客户端可以让我们通过网络来同步时钟。之前，我们已经撰写了一篇关于 NTP 服务器和 NTP 客户端的安装与配置 的文章。

如果你想看这些内容，点击上述的 URL 访问。

Chrony 客户端

Chrony 是 NTP 客户端的替代品。它能以更精确的时间和更快的速度同步时钟，并且它对于那些不是全天候在线的系统非常有用。

chronyd 更小、更节能，它占用更少的内存且仅当需要时它才唤醒 CPU。即使网络拥塞较长时间，它也能很好地运行。它支持 Linux 上的硬件时间戳，允许在本地网络进行极其准确的同步。

它提供下列两个服务。

• chronyc：Chrony 的命令行接口。
• chronyd：Chrony 守护进程服务。

如何在 Linux 上安装和配置 Chrony？

由于安装包在大多数发行版的官方仓库中可用，因此直接使用包管理器去安装它。

对于 Fedora 系统，使用 DNF 命令 去安装 chrony。

$ sudo dnf install chrony

对于 Debian/Ubuntu 系统，使用 APT-GET 命令 或者 APT 命令 去安装 chrony。

$ sudo apt install chrony

对基于 Arch Linux 的系统，使用 Pacman 命令 去安装 chrony。

$ sudo pacman -S chrony

对于 RHEL/CentOS 系统，使用 YUM 命令 去安装 chrony。

$ sudo yum install chrony

对于 openSUSE Leap 系统，使用 Zypper 命令 去安装 chrony。

$ sudo zypper install chrony

在这篇文章中，我们将使用下列设置去测试。

• NTP 服务器：主机名：CentOS7.2daygeek.com，IP：192.168.1.5，OS：CentOS 7
• Chrony 客户端：主机名：Ubuntu18.2daygeek.com，IP：192.168.1.3，OS：Ubuntu 18.04

服务器的安装请访问 在 Linux 上安装和配置 NTP 服务器 的 URL。

我已经在 CentOS7.2daygeek.com 这台主机上安装和配置了 NTP 服务器，因此，将其附加到所有的客户端机器上。此外，还包括其他所需信息。

chrony.conf 文件的位置根据你的发行版不同而不同。

对基于 RHEL 的系统，它位于 /etc/chrony.conf。

对基于 Debian 的系统，它位于 /etc/chrony/chrony.conf。

# vi /etc/chrony/chrony.conf

server CentOS7.2daygeek.com prefer iburst
keyfile /etc/chrony/chrony.keys
driftfile /var/lib/chrony/chrony.drift
logdir /var/log/chrony
maxupdateskew 100.0
makestep 1 3
cmdallow 192.168.1.0/24

更新配置后需要重启 Chrony 服务。

对于 sysvinit 系统。基于 RHEL 的系统需要去运行 chronyd 而不是 chrony。

# service chronyd restart
# chkconfig chronyd on

对于 systemctl 系统。 基于 RHEL 的系统需要去运行 chronyd 而不是 chrony。

# systemctl restart chronyd
# systemctl enable chronyd

使用像 tacking、sources 和 sourcestats 这样的子命令去检查 chrony 的同步细节。

去检查 chrony 的追踪状态。

# chronyc tracking
Reference ID    : C0A80105 (CentOS7.2daygeek.com)
Stratum         : 3
Ref time (UTC)  : Thu Mar 28 05:57:27 2019
System time     : 0.000002545 seconds slow of NTP time
Last offset     : +0.001194361 seconds
RMS offset      : 0.001194361 seconds
Frequency       : 1.650 ppm fast
Residual freq   : +184.101 ppm
Skew            : 2.962 ppm
Root delay      : 0.107966967 seconds
Root dispersion : 1.060455322 seconds
Update interval : 2.0 seconds
Leap status     : Normal

运行 sources 命令去显示当前时间源的信息。

# chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* CentOS7.2daygeek.com          2   6    17    62    +36us[+1230us] +/- 1111ms

sourcestats 命令显示有关 chronyd 当前正在检查的每个源的漂移率和偏移估计过程的信息。

# chronyc sourcestats
210 Number of sources = 1
Name/IP Address            NP  NR  Span  Frequency  Freq Skew  Offset  Std Dev
==============================================================================
CentOS7.2daygeek.com        5   3    71    -97.314     78.754   -469us   441us

当 chronyd 配置为 NTP 客户端或对等端时，你就能通过 chronyc ntpdata 命令向每一个 NTP 源发送/接收时间戳模式和交错模式的报告。

# chronyc ntpdata

Remote address  : 192.168.1.5 (C0A80105)
Remote port     : 123
Local address   : 192.168.1.3 (C0A80103)
Leap status     : Normal
Version         : 4
Mode            : Server
Stratum         : 2
Poll interval   : 6 (64 seconds)
Precision       : -23 (0.000000119 seconds)
Root delay      : 0.108994 seconds
Root dispersion : 0.076523 seconds
Reference ID    : 85F3EEF4 ()
Reference time  : Thu Mar 28 06:43:35 2019
Offset          : +0.000160221 seconds
Peer delay      : 0.000664478 seconds
Peer dispersion : 0.000000178 seconds
Response time   : 0.000243252 seconds
Jitter asymmetry: +0.00
NTP tests       : 111 111 1111
Interleaved     : No
Authenticated   : No
TX timestamping : Kernel
RX timestamping : Kernel
Total TX        : 46
Total RX        : 46
Total valid RX  : 46

最后运行 date 命令。

# date
Thu Mar 28 03:08:11 CDT 2019

为了立即跟进系统时钟，绕过任何正在进行的缓步调整，请以 root 身份运行以下命令（以手动调整系统时钟）。

# chronyc makestep

via: https://www.2daygeek.com/configure-ntp-client-using-chrony-in-linux/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：arrowfeng 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

你也许听说过这个词很多次或者你可能已经在使用它了。在这篇文章中我将会清晰的告诉你 NTP 服务器和客户端的安装。

之后我们将会了解 Chrony NTP 客户端的安装。

什么是 NTP 服务?

NTP 意即 网络时间协议 Network Time Protocol 。它是通过网络在计算机系统之间进行时钟同步的网络协议。换言之，它可以让那些通过 NTP 或者 Chrony 客户端连接到 NTP 服务器的系统保持时间上的一致（它能保持一个精确的时间）。

NTP 在公共互联网上通常能够保持时间延迟在几十毫秒以内的精度，并在理想条件下，它能在局域网下达到低于一毫秒的延迟精度。

它使用用户数据报协议（UDP）在端口 123 上发送和接受时间戳。它是个 C/S 架构的应用程序。

NTP 客户端

NTP 客户端将其时钟与网络时间服务器同步。

Chrony 客户端

Chrony 是 NTP 客户端的替代品。它能以更精确的时间更快的同步系统时钟，并且它对于那些不总是在线的系统很有用。

为什么我们需要 NTP 服务？

为了使你组织中的所有服务器与基于时间的作业保持精确的时间同步。

为了说明这点，我将告诉你一个场景。比如说，我们有两个服务器（服务器 1 和服务器 2）。服务器 1 通常在 10:55 完成离线作业，然后服务器 2 在 11:00 需要基于服务器 1 完成的作业报告去运行其他作业。

如果两个服务器正在使用不同的时间（如果服务器 2 时间比服务器 1 提前，服务器 1 的时间就落后于服务器 2），然后我们就不能去执行这个作业。为了达到时间一致，我们应该安装 NTP。

希望上述能清除你对于 NTP 的疑惑。

在这篇文章中，我们将使用下列设置去测试。

• NTP 服务器： 主机名：CentOS7.2daygeek.com，IP：192.168.1.8，OS：CentOS 7
• NTP 客户端： 主机名：Ubuntu18.2daygeek.com，IP：192.168.1.5，OS：Ubuntu 18.04

NTP 服务器端：如何在 Linux 上安装 NTP？

因为它是 C/S 架构，所以 NTP 服务器端和客户端的安装包没有什么不同。在发行版的官方仓库中都有 NTP 安装包，因此可以使用发行版的包管理器安装它。

对于 Fedora 系统，使用 DNF 命令 去安装 ntp。

$ sudo dnf install ntp

对于 Debian/Ubuntu 系统，使用 APT-GET 命令 或者 APT 命令 去安装 ntp。

$ sudo apt install ntp

对基于 Arch Linux 的系统，使用 Pacman 命令 去安装 ntp。

$ sudo pacman -S ntp

对 RHEL/CentOS 系统，使用 YUM 命令 去安装 ntp。

$ sudo yum install ntp

对于 openSUSE Leap 系统，使用 Zypper 命令 去安装 ntp。

$ sudo zypper install ntp

如何在 Linux 上配置 NTP 服务器？

安装 NTP 软件包后，请确保在服务器端的 /etc/ntp.conf 文件中取消以下配置的注释。

默认情况下，NTP 服务器配置依赖于 X.distribution_name.pool.ntp.org。 如果有必要，可以使用默认配置，也可以访问https://www.ntppool.org/zone/@站点，根据你所在的位置（特定国家/地区）进行更改。

比如说如果你在印度，然后你的 NTP 服务器将是 0.in.pool.ntp.org，并且这个地址适用于大多数国家。

# vi /etc/ntp.conf

restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict -6 ::1
server 0.asia.pool.ntp.org
server 1.asia.pool.ntp.org
server 2.asia.pool.ntp.org
server 3.asia.pool.ntp.org
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
driftfile /var/lib/ntp/drift
keys /etc/ntp/keys

我们仅允许 192.168.1.0/24 子网的客户端访问这个 NTP 服务器。

由于默认情况下基于 RHEL7 的发行版的防火墙是打开的，因此要允许 ntp 服务通过。

# firewall-cmd --add-service=ntp --permanent
# firewall-cmd --reload

更新配置后要重启服务：

对于 sysvinit 系统。基于 Debian 的系统需要去运行 ntp 而不是 ntpd。

# service ntpd restart
# chkconfig ntpd on

对于 systemctl 系统。基于 Debian 的需要去运行 ntp 和 ntpd。

# systemctl restart ntpd
# systemctl enable ntpd

NTP 客户端：如何在 Linux 上安装 NTP 客户端？

正如我在这篇文章中前面所说的。NTP 服务器端和客户端的安装包没有什么不同。因此在客户端上也安装同样的软件包。

对于 Fedora 系统，使用 DNF 命令 去安装 ntp。

$ sudo dnf install ntp

对于 Debian/Ubuntu 系统，使用 APT-GET 命令 或者 APT 命令 去安装 ntp。

$ sudo apt install ntp

对基于 Arch Linux 的系统，使用 Pacman 命令 去安装 ntp。

$ sudo pacman -S ntp

对 RHEL/CentOS 系统，使用 YUM 命令 去安装 ntp。

$ sudo yum install ntp

对于 openSUSE Leap 系统，使用 Zypper 命令 去安装 ntp。

$ sudo zypper install ntp

我已经在 CentOS7.2daygeek.com` 这台主机上安装和配置了 NTP 服务器，因此将其附加到所有的客户端机器上。

# vi /etc/ntp.conf

restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict -6 ::1
server CentOS7.2daygeek.com prefer iburst
driftfile /var/lib/ntp/drift
keys /etc/ntp/keys

更新配置后重启服务：

对于 sysvinit 系统。基于 Debian 的系统需要去运行 ntp 而不是 ntpd。

# service ntpd restart
# chkconfig ntpd on

对于 systemctl 系统。基于 Debian 的需要去运行 ntp 和 ntpd。

# systemctl restart ntpd
# systemctl enable ntpd

重新启动 NTP 服务后等待几分钟以便从 NTP 服务器获取同步的时间。

在 Linux 上运行下列命令去验证 NTP 服务的同步状态。

# ntpq –p
或
# ntpq -pn

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*CentOS7.2daygee 133.243.238.163  2 u   14   64   37    0.686    0.151  16.432

运行下列命令去得到 ntpd 的当前状态。

# ntpstat
synchronised to NTP server (192.168.1.8) at stratum 3
   time correct to within 508 ms
   polling server every 64 s

最后运行 date 命令。

# date
Tue Mar 26 23:17:05 CDT 2019

如果你观察到 NTP 中输出的时间偏移很大。运行下列命令从 NTP 服务器手动同步时钟。当你执行下列命令的时候，确保你的 NTP 客户端应该为未活动状态。（LCTT 译注：当时间偏差很大时，客户端的自动校正需要花费很长时间才能逐步追上，因此应该手动运行以更新）

# ntpdate –uv CentOS7.2daygeek.com

via: https://www.2daygeek.com/install-configure-ntp-server-ntp-client-in-linux/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：arrowfeng 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在这个教程中，我们会讨论如何安装和配置 Chrony，一个类 Unix 系统上 NTP 客户端和服务器的替代品。Chrony 可以更快的同步系统时钟，具有更好的时钟准确度，并且它对于那些不是一直在线的系统很有帮助。Chrony 是自由开源的，并且支持 GNU/Linux 和 BSD 衍生版（比如 FreeBSD、NetBSD）、macOS 和 Solaris 等。

安装 Chrony

Chrony 可以从大多数 Linux 发行版的默认软件库中获得。如果你使用的是 Arch Linux，运行下面的命令来安装它：

$ sudo pacman -S chrony

在 Debian、Ubuntu、Linux Mint 上：

$ sudo apt-get install chrony

在 Fedora 上：

$ sudo dnf install chrony

当安装完成后，如果之前没有启动过的话需启动 chronyd.service 守护进程：

$ sudo systemctl start chronyd.service

使用下面的命令让它每次重启系统后自动运行：

$ sudo systemctl enable chronyd.service

为了确认 chronyd.service 已经启动，运行：

$ sudo systemctl status chronyd.service

如果一切正常，你将看到类似下面的输出：

● chrony.service - chrony, an NTP client/server
Loaded: loaded (/lib/systemd/system/chrony.service; enabled; vendor preset: ena
Active: active (running) since Wed 2018-10-17 10:34:53 UTC; 3min 15s ago
Docs: man:chronyd(8)
man:chronyc(1)
man:chrony.conf(5)
Main PID: 2482 (chronyd)
Tasks: 1 (limit: 2320)
CGroup: /system.slice/chrony.service
└─2482 /usr/sbin/chronyd

Oct 17 10:34:53 ubuntuserver systemd[1]: Starting chrony, an NTP client/server...
Oct 17 10:34:53 ubuntuserver chronyd[2482]: chronyd version 3.2 starting (+CMDMON
Oct 17 10:34:53 ubuntuserver chronyd[2482]: Initial frequency -268.088 ppm
Oct 17 10:34:53 ubuntuserver systemd[1]: Started chrony, an NTP client/server.
Oct 17 10:35:03 ubuntuserver chronyd[2482]: Selected source 85.25.84.166
Oct 17 10:35:03 ubuntuserver chronyd[2482]: Source 85.25.84.166 replaced with 2403
Oct 17 10:35:03 ubuntuserver chronyd[2482]: Selected source 91.189.89.199
Oct 17 10:35:06 ubuntuserver chronyd[2482]: Selected source 106.10.186.200

可以看到，Chrony 服务已经启动并且正在工作！

配置 Chrony

NTP 客户端需要知道它要连接到哪个 NTP 服务器来获取当前时间。我们可以直接在该 NTP 配置文件中的 server 或者 pool 项指定 NTP 服务器。通常，默认的配置文件位于 /etc/chrony/chrony.conf 或者 /etc/chrony.conf，取决于 Linux 发行版版本。为了更可靠的同步时间，建议指定至少三个服务器。

下面几行是我的 Ubuntu 18.04 LTS 服务器上的一个示例。

[...]
# About using servers from the NTP Pool Project in general see (LP: #104525).
# Approved by Ubuntu Technical Board on 2011-02-08.
# See http://www.pool.ntp.org/join.html for more information.
pool ntp.ubuntu.com iburst maxsources 4
pool 0.ubuntu.pool.ntp.org iburst maxsources 1
pool 1.ubuntu.pool.ntp.org iburst maxsources 1
pool 2.ubuntu.pool.ntp.org iburst maxsources 2
[...]

从上面的输出中你可以看到，NTP 服务器池项目 已经被设置成为了默认的时间服务器。对于那些好奇的人，NTP 服务器池项目是一个时间服务器集群，用来为全世界千万个客户端提供 NTP 服务。它是 Ubuntu 以及其他主流 Linux 发行版的默认时间服务器。

在这里， * iburst 选项用来加速初始的同步过程 * maxsources 代表 NTP 源的最大数量

请确保你选择的 NTP 服务器是同步的、稳定的、离你的位置较近的，以便使用这些 NTP 源来提升时间准确度。

在命令行中管理 Chronyd

chrony 有一个命令行工具叫做 chronyc 用来控制和监控 chrony 守护进程（chronyd）。

为了检查是否 chrony 已经同步，我们可以使用下面展示的 tracking 命令。

$ chronyc tracking
Reference ID : 6A0ABAC8 (t1.time.sg3.yahoo.com)
Stratum : 3
Ref time (UTC) : Wed Oct 17 11:48:51 2018
System time : 0.000984587 seconds slow of NTP time
Last offset : -0.000912981 seconds
RMS offset : 0.007983995 seconds
Frequency : 23.704 ppm slow
Residual freq : +0.006 ppm
Skew : 1.734 ppm
Root delay : 0.089718960 seconds
Root dispersion : 0.008760406 seconds
Update interval : 515.1 seconds
Leap status : Normal

我们可以使用命令确认现在 chrony 使用的时间源：

$ chronyc sources
210 Number of sources = 8
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^- chilipepper.canonical.com 2 10 377 296 +102ms[ +104ms] +/- 279ms
^- golem.canonical.com 2 10 377 302 +105ms[ +107ms] +/- 290ms
^+ pugot.canonical.com 2 10 377 297 +36ms[ +38ms] +/- 238ms
^- alphyn.canonical.com 2 10 377 279 -43ms[ -42ms] +/- 238ms
^- dadns.cdnetworks.co.kr 2 10 377 1070 +40ms[ +42ms] +/- 314ms
^* t1.time.sg3.yahoo.com 2 10 377 169 -13ms[ -11ms] +/- 80ms
^+ sin1.m-d.net 2 10 275 567 -9633us[-7826us] +/- 115ms
^- ns2.pulsation.fr 2 10 377 311 -75ms[ -73ms] +/- 250ms

chronyc 工具可以对每个源进行统计，比如使用 sourcestats 命令获得漂移速率和进行偏移估计。

$ chronyc sourcestats
210 Number of sources = 8
Name/IP Address NP NR Span Frequency Freq Skew Offset Std Dev
==============================================================================
chilipepper.canonical.com 32 16 89m +6.293 14.345 +30ms 24ms
golem.canonical.com 32 17 89m +0.312 18.887 +20ms 33ms
pugot.canonical.com 32 18 89m +0.281 11.237 +3307us 23ms
alphyn.canonical.com 31 20 88m -4.087 8.910 -58ms 17ms
dadns.cdnetworks.co.kr 29 16 76m -1.094 9.895 -83ms 14ms
t1.time.sg3.yahoo.com 32 16 91m +0.153 1.952 +2835us 4044us
sin1.m-d.net 29 13 83m +0.049 6.060 -8466us 9940us
ns2.pulsation.fr 32 17 88m +0.784 9.834 -62ms 22ms

如果你的系统没有连接到互联网，你需要告知 Chrony 系统没有连接到 互联网。为了这样做，运行：

$ sudo chronyc offline
[sudo] password for sk:
200 OK

为了确认你的 NTP 源的状态，只需要运行：

$ chronyc activity
200 OK
0 sources online
8 sources offline
0 sources doing burst (return to online)
0 sources doing burst (return to offline)
0 sources with unknown address

可以看到，我的所有源此时都是离线状态。

一旦你连接到互联网，只需要使用命令告知 Chrony 你的系统已经回到在线状态：

$ sudo chronyc online
200 OK

为了查看 NTP 源的状态，运行：

$ chronyc activity
200 OK
8 sources online
0 sources offline
0 sources doing burst (return to online)
0 sources doing burst (return to offline)
0 sources with unknown address

所有选项和参数的详细解释，请参考其帮助手册。

$ man chronyc
$ man chronyd

这就是文章的所有内容。希望对你有所帮助。在随后的教程中，我们会看到如何使用 Chrony 启动一个本地的 NTP 服务器并且配置客户端来使用这个服务器同步时间。

保持关注！

via: https://www.ostechnix.com/chrony-an-alternative-ntp-client-and-server-for-unix-like-systems/

作者：SK 选题：lujun9972 译者：zianglei 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出