SCROLL
7 лет назад
28 002 просмотров
Комментариев нет
Среднее время на прочтение: 2 мин.

Синхронизация времени NTP на Debian

NTP (Network Time Protocol) — сетевой протокол для синхронизации внутренних часов компьютера с использованием сетей с переменной латентностью.

Для правильной работы системы, необходимо чтобы на ней было правильное время. Рассмотрим как настроить NTP на Debian 10.

Содержание

Перед началом установки обновляем систему до актуального состояния:

apt-get update && sudo apt-get upgrade -y

Установка NTP

Устанавливаем пакеты:

apt-get install ntp ntpdate -y

Создаем необходимый каталог и применяем соответствующие права доступа:

mkdir -p /var/log/ntpsec
chown ntpsec:ntpsec /var/log/ntpsec

Troubleshoot

В случае если при попытке установки ntp пакета возникает следующая ошибка:

Следующие пакеты имеют неудовлетворённые зависимости:
 ntpsec : Конфликтует: time-daemon
 systemd-timesyncd : Конфликтует: time-daemon
E: Ошибка: pkgProblemResolver::Resolve привёл к появлению сломанных пакетов. Это может быть вызвано зафиксированными пакетами.

Сперва нужно удалить конфликтный пакет systemd-timesyncd, а затем повторить установку ntp.

Настройка NTP-клиента

Для настройки NTP-клиента, необходимо указать ему какие сервера синхронизации времени использовать. В файле конфигурации /etc/ntpsec/ntp.conf находим строки:

/etc/ntpsec/ntp.conf
server 0.debian.pool.ntp.org iburst dynamic
server 1.debian.pool.ntp.org iburst dynamic
server 2.debian.pool.ntp.org iburst dynamic
server 3.debian.pool.ntp.org iburst dynamic

Для жителей РФ вписываем:

/etc/ntpsec/ntp.conf
server 0.ru.pool.ntp.org iburst dynamic
server 1.ru.pool.ntp.org iburst dynamic
server 2.ru.pool.ntp.org iburst dynamic
server 3.ru.pool.ntp.org iburst dynamic
Список серверов синхронизации можно найти на сайте www.pool.ntp.org/zone/@ который рекомендуется в конфигурационном файле NTP /etc/ntpsec/ntp.conf

Останавливаем службу NTP:

systemctl stop ntp

Проверяем расхождение во времени с сервером синхронизации времени:

ntpdate -q ru.pool.ntp.org

server 178.236.29.161, stratum 4, offset 0.030093, delay 0.02907
server 81.5.108.5, stratum 2, offset 0.002562, delay 0.02797
server 91.239.5.129, stratum 3, offset 0.000566, delay 0.03282
server 78.140.251.2, stratum 2, offset 0.003915, delay 0.03467
7 Jan 09:31:38 ntpdate[20408]: adjust time server 81.5.108.5 offset 3.256370 sec
offset расхождение во времени с этим сервером синхронизации в секундах.
delay задержка синхронизации в секундах.

Из вывода видно что, часы на локальной машине спешат на 3 секунды по сравнению с сервером синхронизации. Нужно синхронизировать часы локальной машины с сервером синхронизации времени.

Синхронизируем часы с сервером синхронизации времени:

ntpdate -bs ru.pool.ntp.org

Запускаем службу NTP:

systemctl start ntp

Настройка NTP-сервера

По-умолчанию NTP-сервер будет доступен всем хостам в Интернет. Параметр restrict в файле /etc/ntp.conf позволяет контролировать доступ к NTP-серверу.

Пример простой настройки безопасности, правим файл конфигурации /etc/ntpsec/ntp.conf:

# Ограничение доступа к серверу (игнорирование всех):
restrict default ignore

# Разрешаем любые действия локальной машине.
restrict 127.0.0.1

# Разрешенные действия для конкретных машин. (Разрешено все, кроме ловушек и запросов)
restrict 192.168.0.2 noquery notrap
restrict 192.168.0.5 noquery notrap

# Разрешенные действия для локальной сети (Разрешаем все, кроме ловушек и модификаций)
restrict 192.168.0.1 mask 255.255.255.0 nomodify notrap nopeer
ПараметрОписание
ignore Игнорировать любые виды входящих пакетов и запросов на NTP-сервер.
kod Разрешать этому хосту отправлять пакеты kiss-o’-death (KoD) (Клиент, отправляющий слишком частые запросы, сначала получает kod-пакет (предупреждение об отказе в обслуживании), а затем будет отключен от сервера).
nomodify Не разрешать этому хосту/подсети изменять параметры NTP-сервера.
noquery Не разрешать этому хосту/подсети запрашивать ваш статус NTP-сервера.
nopeer Отказать в пакетах этому хосту/подсети, которые могли бы мобилизовать ассоциацию, если не были аутентифицированы.
noserve Не не показывать время этому хосту/подсети. (Используется когда хотим разрешить хосту/подсети получать доступ к NTP-серверу, только для мониторинга и/или дистанционной настройки.)
notrap Не разрешать этому хосту/подсети доступ службе trap
notrust Игнорировать все пакеты NTP, которые не имеют криптографической аутентификации

На остальных компьютерах в сети указываем в роли сервера времени наш локальный NTP-сервер (вместо списка серверов).

 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

Обсуждение

0 комментариев

Нет комментариев.

Похожие записи