Time sync — различия между версиями
Andy (обсуждение | вклад) (→Конфигурирование ntpd) |
Andy (обсуждение | вклад) (→Конфигурирование ntpd) |
||
| Строка 48: | Строка 48: | ||
Доступ к демону <code>ntpd</code> регулируется списками доступа, указанными в директиве <code>restrict</code>, конфигурационного файла <code>/etc/ntp.conf</code>. | Доступ к демону <code>ntpd</code> регулируется списками доступа, указанными в директиве <code>restrict</code>, конфигурационного файла <code>/etc/ntp.conf</code>. | ||
По-умолчанию запрещены: | По-умолчанию запрещены: | ||
| − | # <code>nomodify</code> - | + | # <code>nomodify</code> - попытки модифицировать состояние сервера (то есть переконфигурировать время) утилитами <code>ntpq</code> и <code>ntpdc</code> |
| + | # <code>notrap</code> - получения трапов, созданых утилитой <code>ntpdc</code> | ||
| + | # <code>nopeer</code> - попытки неатунтицированного обмена информацией | ||
| + | # <code>noquery</code> - попытки запросов не касающихся времени, при помощи утилит <code>ntpq</code> и <code>ntpdc</code> | ||
== Ссылки == | == Ссылки == | ||
[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-configuring_ntp_using_the_chrony_suite Configuring NTP using chrony]<br /> | [https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-configuring_ntp_using_the_chrony_suite Configuring NTP using chrony]<br /> | ||
[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-configuring_ntp_using_ntpd Configuring NTP using ntpd]<br /> | [https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-configuring_ntp_using_ntpd Configuring NTP using ntpd]<br /> | ||
Версия 12:29, 7 марта 2018
Содержание
Конфигурирование сервера точного времени
Предварительные требования
- Виртуальная машина с двумя сетевыми интерфейсами
- Установленные пакеты:
bash-completion,chorny, либоntpdиntpdate
Общая информация
Сервер точного времени необходим для определения точного времени наступления событий, которые будут записаны в журнал,
так же он чрезвычайно важен для системы билетов kerberos, так как при расхождении времени между сервером и
клиентом kerberos, больше чем в 5 минут, клиент билета не получит. При синхронизации времени,
разница между источником и клиетом хранится в так называемом driftfile. При запуске системы, сервис точного
времени читает данный файл и корректирует время на клиенте, согласно разнице записанной в driftfile.
Так же протокол точного времени вводит понятие stratum. stratum - это величина удаления от
атомных часов, градации 0-15. Атомные часы, имеют stratum 0, но они не имеют открытого доступа в интернет и все подключены
к серверам, раздающим точное время и имеющим stratum 1.
Конфигурирование chrony
Конфигурирование ntpd
Сервис ntpd читает конфигурационный файл /etc/ntp.conf, однако
ключи, с которыми запускается демон находятся в файле /etc/sysconfig/ntpd:
[root@vm-01 ~]# cat /etc/sysconfig/ntpd
# Command line options for ntpd
OPTIONS="-g"
[root@vm-01 ~]#
По-умолчанию, в нем находится опция -g, которая разрешает один раз скорректировать время, если разница между источником и приемником составляет более 1000 секунд (без этого ключа,
ntpd пишет сообщение в системный журнал и прекращает работу). Если после корректировки времени, разница все еще превышает 1000 секунд, ntpd пишет сообщение в системный журнал и прекращает работу. В некоторых случаях, бывает полезно добавить опцию -x которая, увеличивает шаг подгонки времени (по-умолчанию 128 миллисекунд) до 600 секунд, однако nix ядра ограничены
подгонкой времени на 0.5 миллисекунд в секунду, для каждой следующей секундной подгонки требуется интервал в 2000 секунд, таким образом корректировка 600 секунд займет примерно 14 дней. Поскольку время
может меняться на клиентской машине как вперед, так и назад, то некоторое программное обеспечение может выдавать ошибки, в связи с резкой сменой времени.
В конфигурационном файле изменим серверы точного времени на те, что предоставляются ФГУП «Всероссийский научно-исследовательский институт физико-технических и радиотехнических измерений», в результате файл /etc/ntp.conf примет следующий вид:
[root@vm-01 ~]# grep "^[^#]" /etc/ntp.conf
driftfile /var/lib/ntp/drift
restrict default nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict ::1
server ntp1.vniiftri.ru iburst
server ntp2.vniiftri.ru iburst
server ntp3.vniiftri.ru iburst
server ntp4.vniiftri.ru iburst
includefile /etc/ntp/crypto/pw
keys /etc/ntp/keys
disable monitor
[root@vm-01 ~]#
Доступ к демону ntpd регулируется списками доступа, указанными в директиве restrict, конфигурационного файла /etc/ntp.conf.
По-умолчанию запрещены:
-
nomodify- попытки модифицировать состояние сервера (то есть переконфигурировать время) утилитамиntpqиntpdc -
notrap- получения трапов, созданых утилитойntpdc -
nopeer- попытки неатунтицированного обмена информацией -
noquery- попытки запросов не касающихся времени, при помощи утилитntpqиntpdc
